Disk-Forensik/ Richtlinien/ Benötigte Software

Reihenfolge bzw. Vorgehensweise bei der Untersuchung |  Disk-Forensik | Dinge, die man nicht tun sollte

Kapitel:

• Richtlinien und Vorgehensmodelle

Unterkapitel

• Das SAP-Modell
• Dokumentation
• Datenschutz
• Reihenfolge bzw. Vorgehensweise bei der Untersuchung
• Benötigte Software
• Dinge, die man nicht tun sollte
• Checkliste für Vorfallsmeldung
• Quellen

 

• Arten von Beweismittelquellen

Unterkapitel

• Grundlagen eines Volumes
• Beweismittelquellen auf einem Volume
• Grundlagen der Dateisysteme
• Beweismittelquellen im Dateisystem
• Logfiles
• Metadaten
• Quellen

 

• Gewinnung digitaler Beweismittel

Unterkapitel

• Zustand des Computers sichern
• Beschlagnahmung ganzer Computersysteme
• Beschlagnahmung von Backup
• Selektives Kopieren
• Imaging
• Suchkriterien digitaler Beweismittel
• Eindeutige Daten
• Versteckte Daten
• Quellen

 

• Die Analyse digitaler Beweismittel

Unterkapitel

• Grundlagen der Analyse
• Imageerkennung
• Dateisystemerkennung
• Datenanalyse
• Die Notwendigkeit von Analyswerkzeugen
• EnCase
• ILook
• SleuthKit
• Autopsy Forensic Browser
• Dokumentation
• Quellen

 

• Sonstige digitale Beweismittel

Unterkapitel

• E-Mail
• Web Browsing
• Systemaktivitäten
• Temporäre Auslagerung von Anwendungen
• Keylogger, Sniffer, Backdoors, Fernzugriffstools und Rootkits
• Cronjob und Scheduler
• Kerneldaten
• Archive
• Protokolldaten
• Quellen

 

• Rechtliche Rahmenbedingungen

Unterkapitel

• Cyber Crime Convention
• Unternehmen
• Privatanwender
• Behörden
• Schutz der Beweismittel
• Beweise vor Gericht
• Mögliche Fehler bei der Beweissicherung
• Dokumentation
• Quellen

 

Die folgende Liste stellt eine allgemeine Definition dar, welche Software für die korrekte Durchführung einer forensischen Analyse benötigt wird.

• Programme zur Prozessanalyse (aktuelle Prozesse, Speicherverbrauch, Prozesskette,… )
• Programme zur allgemeinen Systemanalyse (offene Netzwerkverbindungen, ARP-Cache, offene Dateien,…)
• Software für die Erstellung von Bit-genauen Kopien (für flüchtigen und festen Speicher)
• Programme zur Erstellung von Prüfsummen (Hashes) und Signaturen.
• Programme zum Auslesen der Prozessorregister.
• Weitere Software (vorbereitete Skripts, Toolkits,…)