Near-Duplicates und Spool-Files

Near-Duplicates basieren auf Shingle-Lists und bieten dem Anwender die Möglichkeit, Dokumente oder E-Mails mit ähnlichem Inhalt zu finden. Dieses Verfahren funktioniert auch zwischen unterschiedlichen Dateitypen und kann somit die Ermittlung relevanter Daten in Ihren Fall entscheidend weiterbringen.

Spool-Files hat wahrscheinlich fast jeder Anwender schon einmal erzeugt - meistens wohl unbewusst. Wenn Sie eine Datei an Ihren Drucker senden, wird das zu druckende Objekt “gespoolt”, sprich: für den Drucker in ein verständliches Format konvertiert. Diese neu generierten Dateien können Sie mit der richtigen Vorgehensweise aufspüren und auswerten, auch wenn das Original-Dokument bereits lange zuvor gelöscht wurde.

Klingt interessant?
Weitere Details über Near-Duplicates können Sie im Nuix Foundations Investigations Kurs erlernen.
Die Analyse von Spool-Files wird im EnCase Computer Forensics II Kurs genauer erläutert.


Stehen die beschriebenen Themen eigentlich in einem Zusammenhang? Absolut!
Eine Person druckt ein Dokument aus und löscht danach die Originaldatei. Wie Sie jetzt wissen, können Sie unter Umständen noch immer Spuren des gedruckten Objektes finden und dessen Text indexieren. Mit Near-Duplicates werden Sie folglich in der Lage sein, den restlichen Datenbestand nach Dateien mit ähnlichem Text-Inhalt zu durchsuchen.

Wir freuen uns darauf, Sie an unseren Kursen zu begrüssen!

26.08.2015, Roman Locher