All rights reserved deu Riegler, M. (Markus) 2011 Computerforensik; Video; Codec St. Pölten, FH-Stg. Information Security, Dipl.-Arb., 2011 Diese Diplomarbeit befasst sich mit der forensischen Analyse des von Google und On2 entwickelten VP8 Videocodecs sowie des Containerformates WebM. Nach einem Überblick über die derzeitige Lizenzlage zu Videocodecs und der Bedeutung von VP8 und WebM werden die technischen Aspekte zum Thema Videokompression und Videocodierung beschrieben. Das Hauptziel der Arbeit ist, aus einer mittels File Carving Methoden gefundenen WebM Fragmenten auf einem Datenträger vollständige sogenannte VP8 Keyframes zu finden und diese zu extrahieren. Das Resultat ist ein konvertierter VP8 Keyframe, der in einem Bildformat und somit als forensischer Beweis zur Verfügung steht. Dieses erzeugte Bild eines VP8 Keyframe dient als Beweis dafür, dass sich ein bestimmtes Video auf einem bestimmten Datenträger befindet oder befunden hat. Um dieses Ziel erreichen zu können, müssen der gesamte Aufbau und die gesamte Funktionsweise der Formate VP8 und WebM analysiert und verstanden werden. Dazu wird eine vollständige Formatbeschreibung der beiden Formate VP8 und WebM durchgeführt. Dabei liegt der Fokus der Analyse jeweils auf den forensisch wichtigen Aspekten. Den Abschluss der Arbeit bildet ein Praxisbeispiel, anhand dessen nachvollzogen werden kann, wie der Ablauf einer Extraktion eines VP8 Keyframes mit anschließender Konvertierung stattfindet. This master thesis deals with the qanalysis of the videocodec VP8 as well as the container format WebM developed by Google and On2 in the content of forensics investigations. After an overview of the present licence situation of videocodecs and the importance of VP8 and WebM the technical aspects such as videocompression and videocoding are described. The main aim of the work is to find so-called VP8 Keyframes and extract them from a data carrier or a WebM File by File Carving methods. The result is a converted VP8 Keyframe which is available in a picture format. This generated picture of a VP8 Keyframe serves as a proof of the fact that a certain video is on a certain data carrier, or had been there. To be able to reach this aim, the whole construction and the whole functionality of the formats VP8 and WebM has to be analyzed and understood. In addition an entire format description of both formats VP8 and WebM is carried out. Beside, the focus of the analysis lies in each case on the forensic important aspects. Finally, a practical example is presented to understand the whole procedure of an extraction and conversion of a VP8 Keyframe. http://phaidra.fhstp.ac.at/o:2091 application/pdf 2358715 bytes Forensische Analyse des VP8 Video Codecs Text