Datei-Metadaten in Vista

| 2 Kommentare

Die Warnung der Gartner Group vor Gefahren durch Metadaten war mir dann doch einen kurzen Versuch wert. Ergebnis: die Metadaten sind in einem ADS abgelegt. Beim Versand per E-Mail oder Kopieren der Datei auf ein FAT-Volume werden die Metadaten automatisch entfernt.

Um herauszufinden, ob nicht vielleicht doch ein neuer Mechanismus hinter den "gefährlichen" Metadaten steckt, habe ich also unter Vista Build 5270 auf einem NTFS-Volume eine Datei erstellt und ihr ein Keyword zugeordnet.

Die Informationen erscheinen wie vermutet in einem Alternate Data Stream, sein Name ist ":WindowsProperties:". Der Stream ist in EnCase 4.20 sowie den einschlägigen Programmen wie lns und LADS sichtbar.

Bekanntlich unterstützt FAT keine Alternate Data Streams. Ich habe die Testdatei dann auf ein FAT-Volume kopiert. Und prompt warnt Vista vor dem Verlust der Metadaten.

Vista warnt beim Kopieren einer Datei auf eine FAT-Partition vor dem Verlust der Metadaten.

Wie erwartet fehlten die Metadaten auf dem FAT-Volume. Es gab auch keine weitere (versteckte) Datei, in der sie gespeichert worden wären. Nach dem Zurückkopieren der Testdatei (unter einem anderen Namen) auf das NTFS-Volume fehlten die Metadaten immer noch.

Fazit: Die Metadaten von Vista / Longhorn sind lediglich eine inhaltliche Erweiterung des bereits mit Windows 2000 eingeführten Konzepts zur Verwaltung von Metadaten. Die Daten werden in Alternate Data Streams gespeichert. Nur NTFS bietet hierzu die notwendigen Funktionen. Vista enthält zumindest in Build 5270 keinen besonderen Mechanismus, der die Metadaten vor dem Untergang bewahrt, wenn die Datei auf ein Dateisystem ohne Streams-Unterstützung verschoben wird.

2 Kommentare

Hallo,

wollte mal nachfragen, ob die Metadaten in der finalen Version genauso nur lokal gespeichert werden und somit ausgeschlossen werden kann, dass sie übertragen werden (z.b per Mailverkehr).

Könnten sie das überprüfen bzw ist es schon überprüft worden?


Grüße

Darky

Entscheidend ist, ob das Übertragungsverfahren ADS unterstützt. In der Regel wird das bei einer Übertragung per E-Mail nicht der Fall sein.

Aber natürlich könnte ein Softwarehersteller einen offenen oder proprietären Standard zur Übertragung von ADS entwickeln und implementieren.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.
Powered by Movable Type 5.12