FTK 2.0 - Ein Absturz und die Folgen

Während ich meinen ersten Fall mit dem neuen FTK 2.0 anlegte, stellte das Programm plötzlich die Arbeit ein. Doch zu meiner Überraschung war dann doch nicht alles verloren.

Gleich nach der Installation des neuen FTK 2.0 erstellte ich meinen ersten Fall. Hierzu gehörten einige Abbilder von Festplatten und USB-Sticks. Insgesamt handelt es sich um ca. 200 GB Daten mit etwa 2,4 Millionen Objekten im Dateisystem. Durch Carving und die Aufbereitung lokal gespeicherter E-Mails (PST-Dateien) erhöht sich die Objektzahl nochmals beträchtlich.

Irgendwann bemerkte ich, dass der Computer zur Ruhe gekommen war. Die Fortschrittsanzeige blinkte wie gewohnt. Das Hauptfenster des FTK reagierte jedoch nicht mehr. Der virtuelle Speicher war auf 3 GiB angewachsen. Dem standen jedoch nur 2 GiB physischer Speicher gegenüber. Ich entschloss mich deshalb, die Anwendung zu beenden und den Computer neu zu starten.

Auch das FTK startete ich neu. Zu meiner Überraschung war der Fall nicht komplett verloren. FTK setzte an einem früheren Verarbeitungsstand auf und beendete schließlich die Aufbereitung des Falls.

Was aber war nun die Ursache? Vermutlich war das System überlastet. Wie ich schon bei der Installation schrieb, erfüllt der Computer gerade einmal die Mindestanforderungen. Offenbar konnte FTK dann auf den Dongle nicht mehr zugreifen und stellte die Arbeit ein.

Die gute Nachricht ist hier auf jeden Fall, dass die neue Version - ganz im Gegensatz zu ihren Vorgängern - die Arbeit nach einem Absturz fortsetzen kann. Man verliert so möglicherweise einige Minuten oder Stunden an Rechenzeit, nicht mehr aber mehrere Tage.

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.