Anthurium schrieb:Wäre es sinnvoll, eine Übersicht zu erstellen, welche iPhone Rohdaten im NFI-Bericht enthalten sind und welche nicht?
Es gibt sehr viele verschiedene Log-Dateien wie lockdownd.log, powerlog.gz, whatsapp-xxxxxxxxx.log mit geschätzt 10.000 Logs vom 31.3. bis 11.4., hinzu kommen SQ-Lite Datenbanken wie call_history.db, Property List Dateien, Snapshots usw., das alles sind direkte "Handyverhalten"-Rohdaten. Hinzu kommen noch System-Rohdaten wie FSEvents in unüberschaubarer Menge, die das Nutzungsverhalten quasi im Low Level Bereich abbilden.
Diese Rohdaten sind idR logisch miteinander verknüpft. Zum Beispiel könnte man anhand von Powerlogs feststellen, dass zum Zeitpunkt X die Telefon-App verwendet wurde, aber nicht welche Telefonnummer oder ob es einen Anrufversuch im Funkloch gab, das ist nur in der call_history.db ersichtlich. Selbst wenn ein Teil Rohdaten fehlt oder undokumentiert ist, hat man in den meisten Fällen noch genug dokumentierte Rohdaten und Beschreibungen der Forensiker, um zu unterscheiden, ob etwas vom NFI nicht ausgewertet wurde, ob es nur undokumentiert ist oder tatsächlich (auch auf den DVDs) fehlt.
Im NFI-Bericht sind an allen Tagen zu allen Zeitpunkten wichtige Rohdaten aus o.g. Kategorien dokumentiert. Es gibt also auch Rohdaten-Logs vom 4. bis 11. April = Rohdaten immer anwesend.
#
Primär geht es ja um Powerlogs wie App-Nutzung, Signalstärke und Akkustand. Und um deren komplettes Fehlen am 3. April 11:46 Uhr sowie vom 4. bis 11. April.
Am 3. April 16 Uhr sieht das vereinfacht dargestellt zB so aus:
Line 150 04/03/14 16:00:50 Signalstärke -113 dBm, Bars=1
Line 251 04/03/14 16:00:52 Signalstärke -113 dBm, Bars=1
Line 260 04/03/14 16:02:43 Signalstärke -113 dBm, Bars=1
04/03/14 16:02:43 Akkustand 39.00%; Akku-Temperatur=26.20 C;
Bei allen Signalstärke-Logs wurde eine Zeilennummer davorgesetzt (am 1. April bis zum Notruf im 5.000er Bereich), woraus sich mE die Position in der Powerlog-Datei des jeweiligen Tages ergibt. Am 3. April haben wir also nur ca. 300 Powerlogs auf DVD (am 1. April ~5.000), was bei dreimaliger Nutzung (9:32, 11:46, 15:59) sehr kurze Betriebszeiten widerspiegelt. Die wichtigsten Powerlogs (u.a. App-Nutzung, Signalstärke, Akkustand) sind im NFI-Bericht dokumentiert, selbst wenn diese nur wenige Sekunden auseinanderliegen und denselben Inhalt haben.
Wie wahrscheinlich ist es nach der Erklärung nun, dass das NFI diese wichtigen Powerlogs am 3. April 11:46 Uhr und vom 4. bis 11. April einfach mal komplett schlabbert, diese aber auf DVD vorhanden sind? Eben ..
PhiloSolver schrieb:Oder haben die tatsächlich alle Logs komplett 1:1 ausgedruckt und dem Bericht als Anhang zugefügt ?
Wenn das so wäre und ich nix davon weiß, war das mein letzter Beitrag in diesem Thread. :-)
Origines schrieb:Vermutlich ist das mit 40:60, 70:90 usw. gemeint. Außerhalb der exakten Wissenschaften und bei Gutachten in Gerichtsprozessen verwendet man dafür Begriffe wie "möglich/hinreichend/überwiegend/wenig/sehr usw. wahrscheinlich".
Doctective schrieb:Die Artefakte sind dafür bedeutungslos. Da wollte niemand eine Kulisse stagen.
