Analyse der Speicherformate gängiger Notizenapps für iPads zur automatischen Datenauswertung, Reinhard Hendricks

Reinhard Hendricks

Kurzfassung

Die folgende Arbeit beschäftigt sich mit der Analyse von gängigen Notizenapps für iPads. Dazu wurden die fünf Apps „Apple Notes“, „Evernote“, „Nebo“, „Notability“ und „Notepad+“ ausgewählt, um Erkenntnisse für die Aufbereitung von Notizen zu erlangen. Im Fokus steht die forensische Verwertbarkeit der Ergebnisse, die sich für die Aufklärung von Straftaten eignen müssen. Die Datenspeicherung der Notizenapps wurde analysiert und die notwendigen Schritte zur Wiederherstellung der Inhalte dokumentiert. Sofern frei zugängliche Tools zur Aufbereitung existieren, wurden diese genutzt und teilweise ergänzt. Für einige Notizenapps wurden eigene Tools entwickelt, die diese Aufbereitung automatisieren. Dabei wird davon ausgegangen, dass ein Speicherabbild des Tablets angefertigt werden konnte und zur Analyse zur Verfügung steht.

Schlagwörter: iPad, Notizen, App, Forensik, Analyse, Datenstruktur, Wiederherstellung

Abstract

The following thesis deals with the analysis of popular note-taking apps for iPads. For this purpose, the five apps „Apple Notes“, „Evernote“, „Nebo“, „Notability“ and „Notepad+“ were selected in order to gain insights for the processing of notes. The focus is on the forensic usability of the results, which must be suitable for solving crimes. The data storage of the note apps was analyzed and the necessary steps to recover the content were documented. Where freely available tools for preparation exist, these were used and in some cases supplemented. For some note apps, custom tools were developed to automate this reprocessing. It is assumed that a memory image of the tablet could be created and is available for analysis.

Keywords: iPad, Notes, App, Forensic, Analysis, Datastructure, Recovery