Informationen in Form von Text, Bilder oder Videomaterial werden innerhalb eines Dateisystems auf Datenträgern abgespeichert. Digital-forensische Untersuchungen beschäftigen sich oft intensiv mit den Eigenschaften solcher Dateisysteme, um Geschehnisse rekonstruieren oder hinweise auf das konkrete Vorgehen zu könne.
mitre datasources:
Vorlesung CRS SW14-Mathias fuchs, Mathias fuchs auch noch auf befragungsliste nehmen
Diese Domain mit Fokus auf Chain of Custody und Writeblocker etc entwickeln
.
Aus Tuccillo Fordin 01/Folie 47
– Primärspeicher (flüchtige Speicher, Arbeitsspeicher, …)
– Sekundärspeicher (Festplatten, Flash-Speicher, …)
– Tertiärspeicher (Magnetbänder, optische Medien, …)
– Speicherdienste (DB, Cloud Storage, Social Media, …)
writeblocker kapitle:
aus tuccillo fordin 01/47
Hardware zur forensischen Sicherung von Datenträgern
(Tableau, Atola, …)
– Spezial-HW für Mobilgeräte (UFED, .XRY/XACT, …)
folie 49 ff:
– Software
– Allgemeine Forensic Tools (EnCase, X-Ways oder OpenSource-Tools)
– Spezialisierte Forensic Tools (AXIOM, UFED, Oxygen, …) + SNH (ARinafolie fordin)
– Diverse Spezialprogramme (Passwort-Cracker, Viewer,
Decoder, …)
– Zertifizierungen von Tools und Best Practice Methoden
– Zulassung von Tools an (amerikanischen) Gerichten
– Zertifizierungen von Anwendern auf bestimmten Tools und Methoden
– Forschung und Publikation von Best Practice Methoden durch anerkannte Institutionen (NIST)
arina folien fordin:
Mobile Forensik
• Cellebrite / Live Demo
• Oxygen / Live Demo
• Magnet Forensics / Live Demo
• MoBILedit
• Spezialgebiete: Auto-, Navi- und Drohnen-Forensik
OSINT
• Social Network Harvester
• Cobwebs WebLoc (Kieran Penwill)
Marktübersicht «Digital Investigations»
Computer Forensik
• Image / Video: Briefcam, Lace, Amped
• EnCase / Live Demo
Enterprise Security
Big Data Analyse: Nuix / Live Demo
Cobwebs?
• Opentext, Enterprise World
https://www.opentext.com/enterprise-world/global
• Nuix Connect and Nuix User Exchange
https://events.nuix.com/
• Techno Security
https://www.technosecurity.us/
• DFRWS
https://dfrws.org/
• ACFE
https://www.fraudconference.com/
• ISS World
https://www.issworldtraining.com/
Synonyme Begriffe: Protokolldatei, Ereignisprotokoll, Eventlog, log file, log.
Die schiere Masse an Datenträgern mit einer unmenge an Speicherplatz stellt private wie staatliche Ermittler vor enorme Schwierigkeiten.
Folgende Prinzipien sollten eingehalten werden:
Diese Domain mit Fokus auf Chain of Custody und Writeblocker etc entwickeln
Einige Dateisysteme von praktischer Relevanz:
[…]
Header-Daten: Die Header-Daten von E-Mails können Rückschlüsse auf die Autorenschaft und den Transportweg des E-Mails ermöglichen.7Vgl. Geschonneck, S. 332;
Mail-Inhalt: Die Inhalte der Mails geben bspw. bei Phishingmails oder bei Betrugsmails oft Einblick in die Infrastruktur der Täterschaft. So lassen sich Rückschlüsse auf die Täterschaft über die verwendeten Domains machen oder die Täter benutzen Trackingpixel, um zu prüfen, ob ihre Mails gelesen wurden. In solchen Fällen kann auf die Domainregistrare resp. die Trackinganbieter zurückgegriffen werden.
[…]