Digitale Forensik

Computer Forensik mit Open-Source Tools

Computer Forensik ist nicht nur für die Strafverfolgung interessant. Es gibt viele Gründe forensische Analysen im Unternehmen selbst durchzuführen. Die Umsetzung indes gestaltet sich für Administratoren nicht einfach und stellt diese vor diverse Probleme. Zum einen ist geeignete proprietäre Software für forensische Auswertung sehr teuer. Zum anderen handelt es sich vielfach um Insider-Wissen, für das es keine öffentlich zugängliche Dokumentationen gibt.

Diese Schulung setzt auf die Stärken von Linux. Kaum ein anderes Betriebssystem ist in der Lage, die Vielfalt der vorhanden Dateisysteme diverser Betriebssysteme zu analysieren, den Zeitverlauf von Dateien zu untersuchen, oder gelöschte Dateien zu restaurieren. In diesem Bereich gewinnt auch die Virtualisierung immer größere Bedeutung, Virtualbox und KVM leisten hier wichtige Hilfestellung.

In dieser Schulung konfigurieren wir eine Linux basierte Auswertestation und lernen die forensischen Grundlagen zur Auswertung von Dateisystemen. Die gezeigten Techniken sind auf allen gängigen Desktop-Betriebssystemen anwendbar, und werden hier am Beispiel von Windows praktisch durchgeführt.

Zur Auswertung von Linux/BSD Serversystemen bieten wir einen weiterführenden Kurs an, der auf diesem Kurs aufbaut.

Trainer und Dozenten

Hans-Peter Merkel (Dipl. Ing.) bildet seit vielen Jahren Strafverfolgungsbehörden in Deutschland und im Ausland aus. Er unterstützt Strafverfolgungsbehörden bei Durchsuchungen und führt zusammen mit ihnen die anschließende forensische Auswertungen durch. Sein Schwerpunkt liegt dabei auf der Auswertung von Linux/BSD Internet Servern.

Inhalt

Einführung

  • Überblick und Installation von für die Forensik wichtigen Programmen
  • Installation/Konfiguration von Virtualsierungen unter Virtualbox und KVM
  • wichtige FUSE Treiber installieren

Daten Akquisition

  • Erste Schritte mit Live CDs, DVD und bootfähigen USB Sticks
  • Erstellung forensischer Images im EWF und AFF Format

Auswertung von Images

  • Einblicke in die Partitionsinformationen
  • Mit dem Sleuthkit Dateilisten mit MAC Zeitinformationen erstellen
  • Konvertierungen mit xmount (ewf, aff, dd, qcow, vd, etc)
  • Logische Auswertung von Speichermedien
  • Umgang mit gelöschte Dateien und Unallocated Space
  • Rekonstruktion gelöschter Dateien
  • File/RAM Slack

File Carving

  • Rekonstruktion von Dateien bei beschädigten Medien über Header Analyse
  • Aufspüren von email Adressen, URL's, IP Adressen oder Kreditkartennummern

Passwort Cracking von Windows Systemen

  • Mit Ophcrack und den Rainbow Tables LM/NTLM Hashes cracken

Virtualisierung

  • EWF Images virtualisieren
  • Hürden von problematischen Windows Systemen überwinden um ein solches System erfolgreich zu booten (Bluescreen, AntiWPA, Treiber)