Digitale Forensik

Computer Forensik mit Open-Source Tools

Computer Forensik ist nicht nur für die Strafverfolgung interessant. Es gibt viele Gründe, forensische Analysen im Unternehmen selbst durchzuführen. Die Umsetzung indes gestaltet sich für Administratoren nicht einfach und stellt diese vor diverse Probleme. Zum einen ist geeignete proprietäre Software für forensische Auswertung sehr teuer. Zum anderen handelt es sich vielfach um Insider-Wissen, für das es keine öffentlich zugängliche Dokumentationen gibt.

Diese Schulung setzt auf die Stärken von Linux. Kaum ein anderes Betriebssystem ist in der Lage, die Vielfalt der vorhanden Dateisysteme diverser Betriebssysteme zu analysieren, den Zeitverlauf von Dateien zu untersuchen, oder gelöschte Dateien zu restaurieren. In diesem Bereich gewinnt auch die Virtualisierung immer größere Bedeutung, Virtualbox und KVM leisten hier wichtige Hilfestellung.

In dieser Schulung konfigurieren wir eine Linux basierte Auswertestation und lernen die forensischen Grundlagen zur Auswertung von Dateisystemen. Die gezeigten Techniken sind auf allen gängigen Desktop-Betriebssystemen anwendbar, und werden hier am Beispiel von Windows praktisch durchgeführt.

Zur Auswertung von Linux/BSD Serversystemen bieten wir einen weiterführenden Kurs an, der auf diesem Kurs aufbaut.

Trainer und Dozenten

Hans-Peter Merkel (Dipl. Ing.) bildet seit vielen Jahren Strafverfolgungsbehörden in Deutschland und im Ausland aus. Er unterstützt Strafverfolgungsbehörden bei Durchsuchungen und führt zusammen mit ihnen die anschließende forensische Auswertungen durch. Sein Schwerpunkt liegt dabei auf der Auswertung von Linux/BSD Internet Servern.

Inhalt

Einführung

  • Überblick und Installation von für die Forensik wichtigen Programmen
  • Installation/Konfiguration von Virtualisierungen unter Virtualbox und KVM
  • wichtige FUSE Treiber installieren

Daten Akquisition

  • Erste Schritte mit Live CDs, DVD und bootfähigen USB Sticks
  • Erstellung forensischer Images im EWF und AFF Format

Auswertung von Images

  • Einblicke in die Partitionsinformationen
  • Mit dem Sleuthkit Dateilisten mit MAC Zeitinformationen erstellen
  • Konvertierungen mit xmount (ewf, aff, dd, qcow, vd, etc)
  • Logische Auswertung von Speichermedien
  • Umgang mit gelöschte Dateien und Unallocated Space
  • Rekonstruktion gelöschter Dateien
  • File/RAM Slack

File Carving

  • Rekonstruktion von Dateien bei beschädigten Medien über Header Analyse
  • Aufspüren von email Adressen, URL's, IP Adressen oder Kreditkartennummern

Passwort Cracking von Windows Systemen

  • Mit Ophcrack und den Rainbow Tables LM/NTLM Hashes cracken
  • Bitlocker Verschlüsselung bei TPM (Windows 11) aushebeln
  • Virtualisierung

    • EWF Images virtualisieren
    • Hürden von problematischen Windows Systemen überwinden um ein solches System erfolgreich zu booten (Bluescreen, AntiWPA, Treiber)

Kurszeiten

Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.

An den Kurstagen dann von 9-18 Uhr (mit 2 Kaffee- und 1 Mittagspause) etwa 60% Schulungen und 40% Übungen. Selbstverständlich arbeitet jeder Teilnehmer am von uns gestellten Notebook oft parallel zum Referenten mit.

Anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.