Was ist eigentlich eine forensisch einwandfreie (engl.: forensically sound) Kopie? Bis vor einigen Wochen war noch alles klar, aber dann kam Michael Murr...
Bislang verstand man unter einer forensisch einwandfreien Kopie eines digitalen Spurenträgers eine bitgenaue Kopie. Der Vorgeng des Kopierens darf dabei das Original nicht verändern. Michael Murr weist in seinem Blog darauf hin, dass die Veränderung des Originals aber bei der Kopie des Arbeitsspeichers eher die Regel als die Ausnahme ist. Brauchen wir also andere Verfahren zur Sicherung von Arbeitsspeicherinhalten oder eine angepasste Definition für eine forensisch einwandfreie Kopie?
Michael Murr entschied sich für letzteres. Sein Ansatz sorgte für reichlich Diskussionen. Neben Harlan Carvey äußerte sich auch Richard Bejtlich im TaoSecurity Blog - und provozierte seinerseits etliche Kommentare.
Die weitere Diskussion dieser Grundsatzfrage wird jetzt in einer Yahoo!-Gruppe weitergeführt.
