forensics.cyber-kill-chain.ch

Data Media

Definition und Begriff
Datenträger (Festplatten, USB-Sticks, CD-ROM, Disketten etc.) sind häufige Untersuchungsobjekte digital-forensischer Ermittlungen. Der Umgang insbesondere mit beschreibbaren Datenträgern erfordert höchste Sorgfalt und präzise Protokollierung der Tätigkeiten (Chain of Custody). Die Forensic Domain «Data Media» ist Grundlage für viele andere Domains.

Informationen in Form von Text, Bilder oder Videomaterial werden innerhalb eines Dateisystems auf Datenträgern abgespeichert. Digital-forensische Untersuchungen beschäftigen sich oft intensiv mit den Eigenschaften solcher Dateisysteme, um Geschehnisse rekonstruieren oder hinweise auf das konkrete Vorgehen zu könne.

Synonyme Begriffe: Protokolldatei, Ereignisprotokoll, Eventlog, log file, log.

Overview: Data Media
Praktische Relevanz

Die schiere Masse an Datenträgern mit einer unmenge an Speicherplatz stellt private wie staatliche Ermittler vor enorme Schwierigkeiten.

Praktische Vorgehensweise / Beweissicherungsprinzipien

Folgende Prinzipien sollten eingehalten werden:

  • Die forensischen Grundsätze gelten bei Log Files uneiengeschränkt;
  • Administrtoren/Owner von Log Files oder Systemen mit relevanten Log Files oder von zentralen Log Verwaltungsinstanzen dürfen nicht die eigenen untersuchungen führen (vgl. )
  • Log Files müssen in einem Kontext betrachtet und analysiert werden: Es müssen gleichzeitig mit der Log File-Sicherung aktuelle Netzwerktopologien herausverlangt oder erstellt werden; anders lassen sich viele netzwerktechnische Sachverhalte nicht interpretieren;
  • Verschiedene Log Files müssen zeitlich synchronisiert werden, damit wird die zeitliche Interpretation der Vorkommnisse stark erleichtert1BSI, Leitfaden IT-Forensik, S. 203; Mohan/Anderson/Collie/Del Vel/McKemmish, S. 84 f.;
  •  …
 
File Systems
Allgemeines zu Dateisystemen Files System Analysis2Carrier, Kap. 8;

Einige Dateisysteme von praktischer Relevanz:

  • File Allocation Table – FAT (FAT 16, FAT32, extFAT)3Carrier, Kap. 9 und 10;,
  • NTFS4Carrier, Kap. 11 bis 13; Geschonneck, S. 119 ff.;,
  • Extended Filesystem – ExtX (Ext, Ext2, Ext3, Ext4)5Carrier, Kap. 14 und 15;,
  • Universal Flash Storage – UFS6Carrier, Kap. 16 und 17;,
  • Applezeugs.
Malware-Forensik

[…]

E-Mail-Forensik

Header-Daten: Die Header-Daten von E-Mails können Rückschlüsse auf die Autorenschaft und den Transportweg des E-Mails ermöglichen.7Vgl. Geschonneck, S. 332;

Mail-Inhalt: Die Inhalte der Mails geben bspw. bei Phishingmails oder bei Betrugsmails oft Einblick in die Infrastruktur der Täterschaft. So lassen sich Rückschlüsse auf die Täterschaft über die verwendeten Domains machen oder die Täter benutzen Trackingpixel, um zu prüfen, ob ihre Mails gelesen wurden. In solchen Fällen kann auf die Domainregistrare resp. die Trackinganbieter zurückgegriffen werden.

Referenzen
Referenzen
1 BSI, Leitfaden IT-Forensik, S. 203; Mohan/Anderson/Collie/Del Vel/McKemmish, S. 84 f.
2 Carrier, Kap. 8;
3 Carrier, Kap. 9 und 10;
4 Carrier, Kap. 11 bis 13; Geschonneck, S. 119 ff.;
5 Carrier, Kap. 14 und 15;
6 Carrier, Kap. 16 und 17;
7 Vgl. Geschonneck, S. 332;
Weitere Materialien