Disk-Forensik/ Sonstige/ Temporäre Auslagerung von Anwendungen

Systemaktivitäten |  Disk-Forensik | Keylogger, Sniffer, Backdoors, Fernzugriffstools und Rootkits

Kapitel:

• Richtlinien und Vorgehensmodelle

Unterkapitel

• Das SAP-Modell
• Dokumentation
• Datenschutz
• Reihenfolge bzw. Vorgehensweise bei der Untersuchung
• Benötigte Software
• Dinge, die man nicht tun sollte
• Checkliste für Vorfallsmeldung
• Quellen

 

• Arten von Beweismittelquellen

Unterkapitel

• Grundlagen eines Volumes
• Beweismittelquellen auf einem Volume
• Grundlagen der Dateisysteme
• Beweismittelquellen im Dateisystem
• Logfiles
• Metadaten
• Quellen

 

• Gewinnung digitaler Beweismittel

Unterkapitel

• Zustand des Computers sichern
• Beschlagnahmung ganzer Computersysteme
• Beschlagnahmung von Backup
• Selektives Kopieren
• Imaging
• Suchkriterien digitaler Beweismittel
• Eindeutige Daten
• Versteckte Daten
• Quellen

 

• Die Analyse digitaler Beweismittel

Unterkapitel

• Grundlagen der Analyse
• Imageerkennung
• Dateisystemerkennung
• Datenanalyse
• Die Notwendigkeit von Analyswerkzeugen
• EnCase
• ILook
• SleuthKit
• Autopsy Forensic Browser
• Dokumentation
• Quellen

 

• Sonstige digitale Beweismittel

Unterkapitel

• E-Mail
• Web Browsing
• Systemaktivitäten
• Temporäre Auslagerung von Anwendungen
• Keylogger, Sniffer, Backdoors, Fernzugriffstools und Rootkits
• Cronjob und Scheduler
• Kerneldaten
• Archive
• Protokolldaten
• Quellen

 

• Rechtliche Rahmenbedingungen

Unterkapitel

• Cyber Crime Convention
• Unternehmen
• Privatanwender
• Behörden
• Schutz der Beweismittel
• Beweise vor Gericht
• Mögliche Fehler bei der Beweissicherung
• Dokumentation
• Quellen

 

Das Wort "temporär", welches zurzeit weder in deutschen Wörterbüchern noch in diversen Lexika zu finden ist, ist in der IT-Welt wohl bekannt und bedeutet "für einen begrenzten Zeitraum".

Betriebssysteme und Anwendungen erzeugen bei deren Ausführung oft temporär gespeicherte Dateien welche im Normalfall, sobald sie nicht mehr gebraucht werden, gelöscht werden. Grundsätzlich sollten diese Dateien von der gleichen Applikation, welche diese erzeugt haben auch wieder gelöscht werden. In der Praxis zeigt sich jedoch sehr häufig, dass derartige Dateien oft auf der Festplatte verweilen, bis sie manuell oder zeitgesteuert entfernt werden. Diese Daten können für die forensische Beweissicherung wichtige Informationen beherbergen.

Da viele Anwendungen temporäre Dateien erzeugen, gibt es in den Betriebssystemen meist ein definiertes Verzeichnis für diese. Hier ist zu beachten, dass dieses Verzeichnis verwendet werden kann, aber nicht muss. Die temporären Verzeichnisse sind wie folgt zu finden:

* Microsoft Windows: %userprofile%\Lokale Einstellungen\Temp bzw. %userprofile%\Local Settings\Temp

* UNIX und UNIX-artige: /tmp

Oft ist das Verzeichnis, in dem temporäre Dateien gespeichert werden, konfigurierbar. In Microsoft Windows Systemen gibt es eine bzw. zwei Systemvariablen, mit denen das Verzeichnis angezeigt und konfiguriert werden kann.

C:\>echo %tmp%
C:\DOKUME~1\<USERNAME>\LOKALE~1\Temp
C:\>set tmp=c:\temp

Diese Konfiguration ist auch in der grafischen Benutzeroberfläche in der Systemsteuerung möglich.

Wie schon erwähnt können Programme ihre temporären Dateien auch an andere Orte speichern. Viele Programme speichern diese im eigenen Installations-Verzeichnis. Vor allem bei Programmen, die viel Speicherplatz für ihre temporären Dateien belegen, gibt es die Möglichkeit, dass der Ort der Speicherung durch den Benutzer konfigurierbar ist (siehe z.B.: CD/DVD-Brenner Software).

Welche Informationen aus temporären Dateien gewonnen werden können, ist schwer zu katalogisieren, da Applikationen alle Arten von Informationen ablegen. Die Palette reicht von Updates, Setup-Dateien, kompletten Dokumenten bis hin zu Bild- und Video-Dateien.

Microsoft Office Dokumente legen während der Bearbeitung einer Datei meist mehrere temporäre Dateien im selben Ordner an, in dem sich die zu bearbeitende Datei befindet. Sobald diese Datei geschlossen wird, werden diese normalerweise wieder entfernt. Falls die Anwendung vor dem Schließen abstürzt, oder andere Probleme auftreten, bleiben diese temporär erstellten Dateien bestehen und können, falls dies öfter passiert, sehr viel Speicherplatz für sich beanspruchen. Außerdem können sie mögliche Zwischenspeicherungen von Dokumenten enthalten, die für eine forensische Untersuchung wichtig sein können. Zum Zeitpunkt der Bearbeitung dieses Dokuments legte z.B. Microsoft Word folgende drei temporäre Dateien an: ~$nstige digitale Beweismittel v0.1.doc, ~WRL0003.tmp, ~WRL0005.tmp.

Zum Löschen dieser temporären Dateien, muss im Explorer unter dem Punkt "Extras/Optionen" im Reiter "Ansicht" die Einstellung über versteckte Ordner und Dateien geändert werden. Wenn dies auf "Alle Dateien und Ordner anzeigen" eingestellt ist, werden unter anderem diese temporären Dateien angezeigt, wodurch sie wie jede andere Datei gelöscht werden können.