Diskussion:Disk-Forensik

Aus Wikibooks
Zur Navigation springen Zur Suche springen

Ohne die vorige Diskussion gelesen zu haben, wären einzelne Unterseiten für die Übersicht empfehlenswert. --Gronau 20:54, 10. Jan. 2007 (CET)

Diskussion zum Buch Disk Forensik[Bearbeiten]

29.12.2006 [PfoeMa] Danke Georgous. Die Diskussionsfunktion hat ja echt diverse Powerfunktionen, dass es einen nur so wegbläst vor lauter Staunen.

19.12.2006 [KremGe] Hallo Leute, ich hab mir mal die Freiheit genommen und mal einzelne Bereiche für jedes Kapitel angelegt, da es für das ganze Wikibook nur ein einziges Plain-File zur Diskussion gibt. Weitere Unterteilung der Diskussionskapitel überlass ich mal den Präferenzen der einzelnen Gruppen. Leider bietet Wikibooks nichts besseres, aber laut Vorgabe müssen wir die Diskussionsfunktion benutzen und machen wir mittels der Strukturierung und ein paar kleiner Regeln das Beste daraus. Wer noch gute Vorschläge hat unten ranhängen ;)

Wenn ihr das Buch in Kapitel unterteilt, hat jedes Kapitel seine eigene Diskussionsseite :-) -- Klaus 22:11, 7. Mär. 2007 (CET)

  • Posten: {Datum}[Username] Message
  • Posten im zugehörigen "Kapitelteil"

28.12.06 [SessMa] Hi, Vorschläge für eine Einheitliche Literaturangabe erwünscht! Mir gefällt die Variante von Kapitel 4 ganz gut.

28.12.06 [FuerHa] Bin deiner Meinung, ein Literaturunterkapitel am Ende jedes Kapitels ist wohl die beste Variante. Allerdings würd ichs Quellen nennen, zumindest haben das die meisten schon so.

29.12.06 [KremGe] Den Meinungen meiner beiden Vorredner schließe ich mich an. Wir sollten das vereinheitlichen, dass das Buch ein einheitliches Gesicht hat.


Richtlinien und Vorgehensmodelle[Bearbeiten]

29.12.2006 [PfoeMa] Ich bin tatsächlich jetzt schon auf die fabelhafte Diskussionsfunktion draufgekommen. Sämtliche Verbesserungen haben wir jetzt im Peer-Correcting-Verfahren via ICQ gemacht. Ich kann logs posten.

31.12.2006 [PertRo] hier sind noch ein paar punkte, die ich bei der recherche zu meinem teil gefunden habe, die aber besser in eueren teil passen. koennt ihr euch die bitte anschauen und gegebenfalls uebernhmen?

  • Die Systeme, des Ermittlers absichern, sodass Eindringliche nicht auch dieses System kompromitieren
  • Festhalten des Bildschirminhalts (ev. auch mit einer Kamera, nicht nur zu Beginn der Untersuchungen, sondern auch während der Untersuchen, falls dies notwendig erscheint)
  • Befinde sich Datenträger in den Laufwerken (CD/DVD, Diskette)?
  • Jedes Beweismittel aufzeichnen und eindeutig kennzeichnen (inkl. Aufzeichnung, wer zu welchem Zeitpunkt Zugriff auf ein Beweismittel hatte)
  • Alle ausgeführten Kommandos dokumentieren
  • Anzahl und Konfiguration der Festplatten
  • Beschreibung der Komponenten eines Computersystems (Mainboard, CPU, RAM)
  • Dokumentation nicht auf dem Untersuchtenden System abspeichern, sondern auf einem eigenen Medium z.B. einem USB-Stick.

Arten von Beweismittelquellen[Bearbeiten]

28.12.06 [HintCl] Ich habe eine ALLGEMEINE Frage: Wie schaut es mit dem Einbinden von Bildern aus? Gestattet, erwünscht, ...?

Siehe Hilfe:Bilder/ Urheberrecht --62.47.62.147 19:11, 29. Dez. 2006 (CET)

29.12.06 [RoesSt] Glaub kaum, dass jemanden Bilder stören.. sonst kann er seine Meinung eh äußern. ;-)

28.12.06 [RoesSt] Hallo Sandra, wie wärs wenn du die Aufzählungspunkte um eins einrückst (mit : vor dem Stern)? Würd eventuell die Lesbarkeit etwas verbessern.

28.12.06 [WoecSa] Hi Stefan! Aufzählungspunkte sind eingerückt. Kannst du bitte noch die zu den Dateiinformationen zugehörigen Quellen zum Literaturverzeichnis hinzufügen? Danke.

07.01.07 [HintCl] Hallo ihr zwei, hab jetzt mal unseren Teil auf Fehler und Satzstellung durchgelesn und auch ausgebessert. Bei einer Sache vom Stefan bin ich mir nicht ganz sicher ... Slack Space - [... Die Größe dieser Cluster ist von Betriebssystem zu Bestriebssytem verschieden. ] Wäre es nicht besser Dateisystem zu schreiben?

08.01.07 [WoecSa] Hi! Habs mir jetzt auch noch mal durchgelesen und no a paar Fehler ausgebessert.

Gewinnung digitaler Beweismittel[Bearbeiten]

28.12.2006 [FuerHa] Hallo Roman, wie da Stefan schon in deren Kapitel vorgeschlagen hat, würd ich auch sagen : vor Aufzählung für größere Einrückung. Schaut einfach besser aus.

28.12.2006 [FuerHa] Nochmal Hi, habs selber geändert, auch bei dir. Und noch ein Unterkapitel Quellen angelegt.

29.12.2006 [FuerHa] Ich möchte bei den einzelnen DataHiding Techniken jeweils noch eine Unterteilung in Methode und Auffinden der Daten machen. Was hältst davon ? Glaub das würde Sinn machen. Eventuell noch ein paar Screenshots, zB. zu den Dateiattributen wie Hidden usw..., Ob eine detaillierte Vorgehensweise zu den Methoden sinnvoll ist, sollt ma mal drüber reden. Auch Input anderer ist willkommen :), Jaja ich weiß, Silvester kommt.

31.12.2006 [PertRo] Danke fuer die aenderung der aufzahelungszeichen

31,12,2006 [PertRo] hi harry, ich verstehe nicht ganz den unterschied zw. Umbenennen der Datei und Dateiendung ändern. ansonsten ev. noch ein bisi mehr ueber logfiles oder so, waer ev. noch interessant. naja.. das mit analyse is halt so ne sache.. weil das macht ja eine andere gruppe :) bin jetzt mit meinem teil erst mal fertig, d.h. der text ist soweit mal vollständig. muss naechste woche nochmal genau korrekturlesen

2.1.2007 [HintCl] Hallo, beim übfliegen ist mir mal aufgefallen, dass ihr ADS auch erklärt habt. Des is bei uns (Arten von Beweismitteln) auch drinnen. Vl. macht ihr einen Verweis auf unsere!

05.01.2007 [FuerHa] Ja ich weiß, daran gedacht hab ich auch schon, gemacht hab ichs aber nicht *g*. Warum, weiß ich nimma. Ich werds intern verlinken, bei Gelegenheit.

07.02.2007 Ich habe mal beim Sichern diese Formulierung "100% 1:1 Kopie" rausgenommen, das ist doch doppelt gemoppelt. 1:1 Kopien sind immer 100%. Auch ist die Formulierung "Die Sicherung muß mit einem anerkannten Tool erfolgen" schlicht falsch, weil es keine verbindlichen "anerkannten" Tools gibt, leider verläßt man sich da weitgehend auf die Versprechungen der Hersteller. Eine verbindliche Richtlinie, wie es sie z.B. für die USA vom Department of Justice gibt, existiert so in Deutschland nicht.Also ist auch kein "Tool" (ohnehin kein gutes Wort) "anerkannt", sondern höchstens als Blackbox "geduldet" oder "vermutet". Ferner habe ich die Formulierung hinzugefügt: "Sämtlicher an der Schnittstelle verfügbarer Daten eines Datenträgers", denn es werden z.B. auch an Festplatten an der IDE/SATA/SCSI-Schnittstelle nur logische Daten zur Verfügung gstellt, aber keine physikalischen Daten !(siehe z.B. Wikepedia-Artikel zu MFM,RLL oder EPRML oder auch EFM für CD/DVD).

Die Analyse digitaler Beweismittel[Bearbeiten]

15.1.2007 [PfisMi] Ups, hätt ma fast vergessen die Kommunikation von Telefon und Mail auch hier her zu verlegen. Also mit der besprochenen untergliederung bin ich wie eh schon gesagt einverstanden und ich glaub langsam wirds Zeit, mal die Texte ausgearbeitet hier rein zu setzen, was meinst du? Ahja, die Analyse flüchtiger Speicher sollten wir sekundär behandeln, da wir uns laut Hr. Greifeneder eher auf permanente Speichermedien (in dem Fall Festplatten) konzentrieren sollen.

15.1.2007 [GrubPe] Bin ich deiner Meinung, dass flüchtige Speicher nicht wirklich dazu gehören.

15.1.2007 [PfisMi] Achja, deine Quellen bitte noch in das Unterkapitel "Quellen" eintragen! Und schau dir bitte mal meine Eintragung zum SleuthKit an.

15.1.2007 [GrubPe] Werde ich noch machen, sobald alles von mir online ist.

16.1.2007 [PfisMi] Guten Morgen. Heut werd ich das Unterkapitel SleuthKit nochmal bisschen überarbeiten und das Unterkapitel "Autopsy Forensic Browser" hinzufügen.

17.1.2007 [PfisMi] So, ich mach heut noch was über EnCase. Übernimmst du das ILook?

17.1.2007 [GrubPe] Bin schon dabei was über ILook zu schreiben, allerdings weiß ich zeitlich noch nicht genau, wann ich fertig werde. Habe mir deine Sachen einmal durchgelesen und bin damit einverstanden

17.1.2007 [PfisMi] Bin mit EnCase mal so weit fertig. Schaust du dir das mal bitte kurz durch? Wenn du dem nix mehr hinzuzufürgen hast, dann wärs das mal von meiner Seite.

Sonstige digitale Beweismittel[Bearbeiten]

18.12.2006 [KremGe] Lisi vergiss nicht auf die Quellenangaben... Ich hoffe ich benutze das Ding hier richtig, ein Forum wäre sicher praktischer, als ein plain File, aba wir müssen wohl mit dem Ding hier auskommen ;)

19.12.2006 [DemeEl] da ich keine Ahnung hab, wie wir sonst die Quellen nach jedem Kapitel angeben sollen, hab ich mal unter E-Mail ein Unterkapitel Quellen E-Mail angelegt.. kann ma ja dann eh noch ändner, falls anders ghört..

27.12.2006 [FuerHa] Hallo ihr Zwei, find die Quellenangabe von Gruppe erstes Kapitel beispielsweise nicht schlecht, einfach am Ende des Kapitels die Quellen als eigenes Unterkapitel.

29.12.2006 [DemeEl] Ich hab jetz mal meine Quellen gesammelt am ende unseres Kapitels reingehängt. Außerdem hab ich wie auch schon a paar andere Gruppen a paar sachen mit : eingerückt.. is jetz definitiv schöner und übersichtlicher. Beim Kapitel Protokolldaten und temporäre Daten hab ich leider nicht mehr gefunden. Würd aber sagen, dass das eh schon relativ komplett is. Falls du aber noch was findest kannstas gern hinzufügen

29.12.2006 [KremGe] Ich hab auch grad die v1.0 meines Teils fertig gestellt. Meine Quellen muss i no schnell hinzufügen ;) *g* Ich hab bei manchen Dingen auch sehr wenig gefunden und deshalb das hingeschrieben, was ich weiß. Literatur ist für Teile unseres Kapitel nix zu finden. Zum Thema Rootkits hab ich eh geschrieben, dass des Buch vom Hoglund und Butler gut ist, aber leider für dieses Buch nicht sonderlich sinnvoll, da es die Funktionsweise und Aufbau beschreibt. Mit Hilfe des Buchs könnte man sich ein eigenes Rootkit schreiben, oder ein Tool schreiben, das Rootkits findet. Jetzt haben wir ja eh noch Zeit unser Kapitel zu vervollständigen, falls wir noch über gutes Material stolpern sollten.

02.01.2007 [DemeEl] Ich hab mir grad deinen Teil durchgelesen. Nur ein paar Kleinigkeiten:

  • keylogger und sniffer: da könntest dazuschreiben, dass die daten die gesammelt werden dann meist per e-mail an den angreifer geschickt werden. bei der analyse is es dadurch vielleicht möglich, die e-mail herauszufinden, an die das geschickt wird (könnt ich mir halt vorstellen). außerdem hast sniffer nicht wirklich erklärt. da könnt ma noch was machen.
  • backdoors und fernzugriffstools: da könntest dazuschreiben, dass ma teilweise (oder vielleicht auch immer.. keine ahnung) mit netstat überprüfen kann, ob a verbindung auf listening is, wo eigentlich nichts sein dürfte.
  • rootkits aufspüren: da könntest DKOM genauer erklären
  • cronjob und sceduler: da würd ich den ersten satz weglöschen
  • cron (bzw allgemein, aba dort is mir aufgefalln): die ganzen dateinamen könntest mit <tt></tt> hervorheben.
  • kerneldaten: willst da noch was dazuschreiben, weil du am ende a paar fragen stehn hast? falls nicht solltest die weg..
  • chat: ich würd schon auch noch icq und so web-chats erwähnen.. nur der vollständigkeit halber und dass es schon auch chats gibt, wo ma sich zumindest registrieren muss und meistens schon den gleichen benutzernamen hat, und dass eben auch zumindest icq meistens eine history am computer speichert, die zwar verändert werden kann, aba vielleicht ja doch als beweis hilfreich sein kann.

sonst hab ich nix auszusetzen ;)

15.01.2007 [KremGe] Ich hab' jetzt durchs ganze Kapitel hindurch Rechtschreib- und Grammatikfehler ausgebessert, die ich gefunden habe. Darüber hinaus habe ich stilistische Änderungen vorgenommen:

* Wiederholungen durch Abkürzungen: z.B. SMTP-Protokoll -> SMT-Protokoll, da das P ja eh für Protokoll steht
* Satzbau generell
* Wortwiederholungen durch andere Formulierungen vermeiden
* Füllwörter entfernt

Schau bitte nochmal drüber, ob dir nochwas auffällt...

Inhaltliche Änderungen:

* Speicherort von Browsercache & Cookies -> Opera könnte man auch einfügen
* RFCs -> könnte man alle verlinken
* Linux Programme nachweisen -> allgemein den jeweiligen Paketmanager verwenden (ein Satz einzufügen)
* Protokolldaten allgemein -> Speicherort der Logs ? Abhängig von der speziellen Applikation oder ? ----> durch icq-Gespräch Missverständnis ausgeräumt.

Soda, jetzt hab ich deine Verbesserungsvorschläge auch eingepflegt, bitte diese nochmal kurz anzuschaun :)

17.01.2007 [DemeEl] Hab die Änderungen übernommen, mir das ganze nochmal durchgelesen und ein zwei Sachen ausgebessert. Würd aber allgemein sagen dass passt.

17.01.2007 [KremGe] Sehr fein, dann brauchen wir nur noch eine Präsentation erstellen.

Rechtliche Rahmenbedingungen[Bearbeiten]

28.12.06 [SessMa] Hi Ulli, ich bin der Meinung dass wir das Unterkapitel "Durchgeführte Aktionen dokumentieren" von dir streichen sollten, da gleich anschließend das Kapitel "Dokumentation" von mir folgt. Alle Inhalte kommen auch bei mir vor ;)

28.12.06 [SessMa] Wir müssen uns noch was einheiliches bzgl Literatur/Quellen ausmachen; Evtl. ein Unterkaptiel "Literatur" wie in Kaptiel 4 (Arten von Beweismittelquellen) ?? - Noch besser wäre natürlich Einheitlichkeit im Buch!!!

28.12.06 [MayrUl] Hi Max stimme ich dir zu. Mir ist des mit den Literaturangaben auch schon aufgefallen. Und das Unterkapitel "Durchgeführte Aktionen dokumentieren" können wir auch gerne streichen. Weil des eigentlich in dem Teil der "Dokumentation" steht.

28.12.06 [MayrUl] Könntest bitte meine Teil auf Rechtschreibfehler korrigieren. Ich schaue in zwischen deinen Part an ;-)

28.12.06 [SessMa] Mir ist aufgefallen du hast in Kapitel "Mitarbeiterüberwachung" bereits Fallbeispiele. Was hälts du davon, daher das letzte Kapitel zu streichen - bzw. dieses Fallbeispiele dort hin zu migrieren. Deine Beispiele - Deine Entscheidung! ;)

28.12.06 [MayrUl] können wir machen. aber ich hab diese Fallbeispiele auf den Datenschutz und die Mitarbeiterüberwachung beschränkt.

28.12.06 [SessMa] Wir hätten "Vorsätzliches Löschen von Daten" und "Betriebsspionage" geplant - das geht auch in diese Richtung.

28.12.06 [SessMa] Hallo; Ich habe eben ein Unterkapitel "Literatur" erstellt und auch deine Quellen eingetragen und im Text angepasst. Bitte kontrolliere diese bei Gelegenheit noch mal!

28.12.06 [MayrUl] Max des finde ich persönlich voll super, weil des Literaturverzeichnis macht des sehr überschaubar. und man sieht gleich welche Quellen für dieses Kapitel verwendet wurden.

05.01.07 [FuerHa] Was mir beim schnellen, sehr schnellen überfliegen sofort aufgefallen ist, sind eure viel zu langen Links. Gibts eine Möglichkeit die Links so anzuführen das man nur die URL sieht und dahinter dann den tatsächlichen Link, eh wissen, wie halt auf einer normalen Homepage?

06.01.07 [SessMa] Hi Harry, stimmt, die sind mir auch ein Dorn im Auge. Leider weiß ich derzeit noch keine Lösung für das Problem aber ich werde mal meinen Freund GOOGLE fragen ;) thx für den Hinweis!

06.01.07 [SessMa] Erledigt! Syntax: [<URL> Alternativtext]