Disk-Forensik/ Beweismittelanalyse/ ILook

EnCase |  Disk-Forensik | SleuthKit

Kapitel:

• Richtlinien und Vorgehensmodelle

Unterkapitel

• Das SAP-Modell
• Dokumentation
• Datenschutz
• Reihenfolge bzw. Vorgehensweise bei der Untersuchung
• Benötigte Software
• Dinge, die man nicht tun sollte
• Checkliste für Vorfallsmeldung
• Quellen

 

• Arten von Beweismittelquellen

Unterkapitel

• Grundlagen eines Volumes
• Beweismittelquellen auf einem Volume
• Grundlagen der Dateisysteme
• Beweismittelquellen im Dateisystem
• Logfiles
• Metadaten
• Quellen

 

• Gewinnung digitaler Beweismittel

Unterkapitel

• Zustand des Computers sichern
• Beschlagnahmung ganzer Computersysteme
• Beschlagnahmung von Backup
• Selektives Kopieren
• Imaging
• Suchkriterien digitaler Beweismittel
• Eindeutige Daten
• Versteckte Daten
• Quellen

 

• Die Analyse digitaler Beweismittel

Unterkapitel

• Grundlagen der Analyse
• Imageerkennung
• Dateisystemerkennung
• Datenanalyse
• Die Notwendigkeit von Analyswerkzeugen
• EnCase
• ILook
• SleuthKit
• Autopsy Forensic Browser
• Dokumentation
• Quellen

 

• Sonstige digitale Beweismittel

Unterkapitel

• E-Mail
• Web Browsing
• Systemaktivitäten
• Temporäre Auslagerung von Anwendungen
• Keylogger, Sniffer, Backdoors, Fernzugriffstools und Rootkits
• Cronjob und Scheduler
• Kerneldaten
• Archive
• Protokolldaten
• Quellen

 

• Rechtliche Rahmenbedingungen

Unterkapitel

• Cyber Crime Convention
• Unternehmen
• Privatanwender
• Behörden
• Schutz der Beweismittel
• Beweise vor Gericht
• Mögliche Fehler bei der Beweissicherung
• Dokumentation
• Quellen

 

ILook Investigator wurde ursprünglich von Elliot Spencer entwickelt, der es mittlerweile an den Internal Revenue Service der USA abgegeben hat. ILook läuft auf Windows Betriebssystemen und ist ein Werkzeug für eine umfassende forensische Untersuchung. Das Programm ist zwar kostenlos erhältlich, allerdings ausschließlich für Personen im Bereich der Computerforensik, welche zustzlich noch bei einer der folgenden Institutionen beschäftigt sind:

Strafverfolgungsbehörde

Staatlicher Geheimdienst

Militär (im Bereich Kriminalität oder Spionageabwehr)

Staatliche oder regulierende Behörde im Bereich der Strafverfolgung

Insbesondere wird die Ausgabe an Forschungseinrichtungen explizit untersagt. Dies sind sehr starke Einschränkungen die eine weite Verbreitung des Programms verhindern. Ähnlich sieht es auch mit Informationen über dieses Programm aus. Es existiert keine offizielle öffentliche Diskussionsmöglichkeit, auf ein internes Message-Board ist der Zugriff nur mit Anmeldung möglich, die den gleichen Auflagen wie denen des Programmes entsprechen.

Analysierbare Systeme

Ilook unterstützt die Analyse von folgenden Dateisystemen:

FAT12

FAT16

FAT32

FAT32x

VFAT

NTFS

NTFS Compressed

HFS

HFS+

Ext2FS

Ext3FS

ReiserFS 1,2,and 3

SysV-AFS

SysV-EAFS

SysV-HTFS

NWFS

NWFS Compressed

VMWare Drive Mount Disk Drives

MS VPC Virtual Disks

CDFS CD Format

ISO 9660 CD Format

ISO 9660 File Format

UDF CD Format

Suchfunktion

Ilook bietet Suchfunktionen, mit denen nach allokierten sowie nicht allokierten Dateien, Dateityp (nach Signatur oder Erweiterung) und Schlüsselwörtern gesucht werden kann. Die Suche unterstützt auch komprimierte Zip Dateien.