Disk-Forensik/ Sicherstellung/ Zustand des Computers sichern

Gewinnung digitaler Beweismittel |  Disk-Forensik | Beschlagnahmung ganzer Computersysteme

Kapitel:

• Richtlinien und Vorgehensmodelle

Unterkapitel

• Das SAP-Modell
• Dokumentation
• Datenschutz
• Reihenfolge bzw. Vorgehensweise bei der Untersuchung
• Benötigte Software
• Dinge, die man nicht tun sollte
• Checkliste für Vorfallsmeldung
• Quellen

 

• Arten von Beweismittelquellen

Unterkapitel

• Grundlagen eines Volumes
• Beweismittelquellen auf einem Volume
• Grundlagen der Dateisysteme
• Beweismittelquellen im Dateisystem
• Logfiles
• Metadaten
• Quellen

 

• Gewinnung digitaler Beweismittel

Unterkapitel

• Zustand des Computers sichern
• Beschlagnahmung ganzer Computersysteme
• Beschlagnahmung von Backup
• Selektives Kopieren
• Imaging
• Suchkriterien digitaler Beweismittel
• Eindeutige Daten
• Versteckte Daten
• Quellen

 

• Die Analyse digitaler Beweismittel

Unterkapitel

• Grundlagen der Analyse
• Imageerkennung
• Dateisystemerkennung
• Datenanalyse
• Die Notwendigkeit von Analyswerkzeugen
• EnCase
• ILook
• SleuthKit
• Autopsy Forensic Browser
• Dokumentation
• Quellen

 

• Sonstige digitale Beweismittel

Unterkapitel

• E-Mail
• Web Browsing
• Systemaktivitäten
• Temporäre Auslagerung von Anwendungen
• Keylogger, Sniffer, Backdoors, Fernzugriffstools und Rootkits
• Cronjob und Scheduler
• Kerneldaten
• Archive
• Protokolldaten
• Quellen

 

• Rechtliche Rahmenbedingungen

Unterkapitel

• Cyber Crime Convention
• Unternehmen
• Privatanwender
• Behörden
• Schutz der Beweismittel
• Beweise vor Gericht
• Mögliche Fehler bei der Beweissicherung
• Dokumentation
• Quellen

 

Es ist wichtig, ein laufendes Computersystem nicht neu starten, da dadurch wichtige temporäre Dateien unwiderruflich verloren gehen können. Daher ist es wichtig, den aktuellen, laufenden Zustand des Computers festzuhalten, ohne dessen Zustand zu verändern (bzw. so wenig wie möglich zu verändern). Dazu sollte keine graphischen Tools verwendet werden, da diese zu fehleranfällig sind. Weiters ist es zu empfehlen, nicht die im System vorhanden Tools für die Aufzeichnung der Systemzustands zu verwenden, sondern dazu eine spezielle CD zu verwenden, welche die entsprechenden Tools enthält. Eine falsche Vorgehenweise kann hier wichtige Daten unwiderruflich vernichten. Das betreffende System darf unter keinen Umständen neu gestartet werden. Ein Betriebssystem verändert beim Systemstart zumindest die Zeitstempel von 1000 Dateien, teilweise auch deren Inhalt. Eine allgemeine Liste mit zu sicherenden Informationen und Vorgehensweisen findet sich weiter oben, in diesem Kapitel wird nur auf die speziell zu verwendenten Befehle unter Windows und Linux eingegangen. Eine sehr gute Möglichkeit für die Gewinnung dieser Informationen stellt die F.I.R.E. CD (Forensic and Incident Response Environment Bootable CD; https://www.dmzs.com/tools/) dar. Auf der CD befinden sich im Ordner statbins sowohl für Linux als auch für Windows statisch gelinkte Binaries der wichtigsten Systemdateien, die zum Sammeln der Informationen verwendet werden. Eine andere Möglichkeit wäre z.b. die Verwendung von cygwin (http://www.cygwin.com) bzw. der UnixUtils (http://unxutils.sourceforge.net) unter Windows sowie eine beliebige Live-CD unter Linux zu verwenden.