IT-Forensik

Die Veranstaltung gliedert sich in vier Bereiche

1. Computerkriminalität und IT-Forensik

Im ersten Teil der Vorlesung wird zunächst der Begriff der IT-Forensik eingeführt. Da Computerkriminalität häufig der Auslöser für eine IT-forensische Untersuchungen ist, werden danach verschiedene Bedrohungen für und Angriffe auf IT-Systeme erläutert. Den Abschluß des ersten Teils bildet die Erläuterung IT-forensischer Grundlagen. Dazu gehören z.B. die wissenschaftliche Methodik, essentielle Prinzipien, Analyseansätze und Modelle zur Vorgehensweise.

2. Live Response

Die IT-forensische Methode "Live Response" wird z.B. dann durchgeführt, wenn flüchtige Daten g

esichert werden sollen oder das System nicht heruntergefahren werden kann. Da das System sehr empfindlich gegen Eingriffe ist, muss besonders behutsam vorgegangen werden.

Anhand zweier Fallbeispiele wird vorgestellt, wie eine Live Response bei einem Windows- bzw. einem Unix-System grundsätzlich durchgeführt wird. Die Vorlesung orientiert sich in diesem Teil stark an K. Jones, R. Bejtlich, C. Rose: „Real Digital Forensics“, 2005.

3. Dateisystemanalyse

Dieser Teil bildet den Schwerpunkt der Veranstaltung. Bei einer Dateisystemanalyse wird ein nicht-flüchtiger Datenträger mit Dateisystem (meist eine Festplatte) analysiert. Bevor die Analyse jedoch durchgeführt werden kann, muss der Datenträger zunächst gesichert (dupliziert) werden. Danach werden Dateisysteme gesucht und analysiert.

Neben einer allgemeinen Erklärung von Festplatten-Technologie und der Analyse von Laufwerken, beschäftigt sich dieser Teil der Vorlesung insbesondere mit den Dateisystemen FAT bzw. NTFS. Die Analyse des System-Layouts, der Dateiinhalte, der Metadaten und der Dateinamen wird ausführlich erläutert. Die Inhalte der Veranstaltung basieren in diesem Teil auf einem Buch von Brian Carrier „File System Forensic Analysis“, 2005. Begleitet wird dieser Vorlesungsteil von einer Reihe von Versuchen, die die Studierenden selbständig an Laufwerks-Images mit einem bekannten forensischen Tool (The Sleuth Kit) durchführen

4. Smartphone Forensik

Den Abschluß der Vorlesung bildet die forensische Analyse von Smartphones (iPhone, Android und Windows Phone 7). Die Inhalte dieses Kapitels beruhen zum Teil auf neuer Literatur, basieren aber auch wesentlich auf Abschlussarbeiten, die an der FH Aachen durchgeführt wurden/werden.

Das Praktikum umfasst drei bis 4-stündige Versuche und wird durch das Projekt (s.u.) ergänzt.

Versuch 1 beschäftigt sich mit Live Response. Dabei werden aktuelle Daten eines laufenden Rechners (z.B. ein RAM Image) aufgezeichnet und analysiert. Neben laufenden Prozessen wird auch nach bestehenden Netzverbindungen gesucht.

In Versuch 2 wird Post Mortem zunächst mit einem RAM Image gearbeitet, das mit dem Framework Volatility untersucht wird. Danach analysieren Sie ein Festplatten-Image mithilfe von Autopsy und schließlich ein Dateisystem mithilfe eines Hex-Editors.

Der 3. Versuch beschäftigt sich mit Anti-Forensik. Sie manipulieren, verstecken und löschen Daten.

• Ein paar audio-kommentierte Folien zur Veranstaltung finden sich hier.
• Bücher
  • B. Galley, I. Minoggio, M. Schuba: „Unternehmenseigene Ermittlungen: Recht - Kriminalistik - IT“, 2015 (als eBook in der Bib)
  • K. Jones, R. Bejtlich, C. Rose: „Real Digital Forensics“, 2005
  • B. Carrier: „File System Forensic Analysis“, 2005
  • A. Geschonneck: „Computer Forensik“, 6. Auflage, 2014
  • A. Dewald, F. Freiling: „Forensische Informatik“, 2015
• Die Folien zur Vorlesung gibt es in ILIAS
• weitere Literaturhinweise und Links in der Vorlesung bzw. in ILIAS