forensics.cyber-kill-chain.ch

Menu

Data Media

Definition und Begriff
Datenträger (Festplatten, USB-Sticks, CD-ROM, Disketten etc.) sind häufige Untersuchungsobjekte digital-forensischer Ermittlungen. Der Umgang insbesondere mit beschreibbaren Datenträgern erfordert höchste Sorgfalt und präzise Protokollierung der Tätigkeiten (Chain of Custody). Die Forensic Domain «Data Media» ist Grundlage für viele andere Domains.

Informationen in Form von Text, Bilder oder Videomaterial werden innerhalb eines Dateisystems auf Datenträgern abgespeichert. Digital-forensische Untersuchungen beschäftigen sich oft intensiv mit den Eigenschaften solcher Dateisysteme, um Geschehnisse rekonstruieren oder hinweise auf das konkrete Vorgehen zu könne.

mitre datasources:

Vorlesung CRS SW14-Mathias fuchs, Mathias fuchs auch noch auf befragungsliste nehmen

 

Diese Domain mit Fokus auf Chain of Custody und Writeblocker etc entwickeln

.

R.
Gomm, N. Le-Khac, M. Scanlon and M. Kechadi, An analytical approach to
the recovery of data from third-party proprietary CCTV file systems, Proceedings of the Fifteenth European Conference on Cyber Warfare and Security, 2016.Google Scholar
 
  1. 2.
    A. Ariffin, J. Slay and K. Choo, Data recovery from proprietary formatted CCTV hard disks, in Advances in Digital Forensics IX, G. Peterson and S. Shenoi (Eds.), Springer, Heidelberg, Germany, pp. 213–223, 2013.Google Scholar
  1. 13.
    L. Morrison, H. Read, K. Xynos and I. Sutherland, Forensic evaluation of an Amazon Fire TV Stick, in Advances in Digital Forensics XIII, G. Peterson and S. Shenoi (Eds.), Springer, Heidelberg, Germany, pp. 63–79, 2017.Google Scholar
 
RAM and File Systems Investigations {{Barrios Ritar und Signori Yuri/span> in Bayuk, S. 309;

 

Aus Tuccillo Fordin 01/Folie 47

– Primärspeicher (flüchtige Speicher, Arbeitsspeicher, …)
– Sekundärspeicher (Festplatten, Flash-Speicher, …)
– Tertiärspeicher (Magnetbänder, optische Medien, …)
– Speicherdienste (DB, Cloud Storage, Social Media, …)

writeblocker kapitle:

aus tuccillo fordin 01/47

Hardware zur forensischen Sicherung von Datenträgern
(Tableau, Atola, …)
– Spezial-HW für Mobilgeräte (UFED, .XRY/XACT, …)

folie 49 ff:

– Software
– Allgemeine Forensic Tools (EnCase, X-Ways oder OpenSource-Tools)
– Spezialisierte Forensic Tools (AXIOM, UFED, Oxygen, …) + SNH (ARinafolie fordin)
– Diverse Spezialprogramme (Passwort-Cracker, Viewer,
Decoder, …)

 

– Zertifizierungen von Tools und Best Practice Methoden
– Zulassung von Tools an (amerikanischen) Gerichten
– Zertifizierungen von Anwendern auf bestimmten Tools und Methoden
– Forschung und Publikation von Best Practice Methoden durch anerkannte Institutionen (NIST)

 

arina folien fordin:

Mobile Forensik
• Cellebrite / Live Demo
• Oxygen / Live Demo
• Magnet Forensics / Live Demo
• MoBILedit
• Spezialgebiete: Auto-, Navi- und Drohnen-Forensik
OSINT
• Social Network Harvester
• Cobwebs WebLoc (Kieran Penwill)

 

Marktübersicht «Digital Investigations»
Computer Forensik
• Image / Video: Briefcam, Lace, Amped
• EnCase / Live Demo
Enterprise Security
Big Data Analyse: Nuix / Live Demo
Cobwebs?

 

• Opentext, Enterprise World
https://www.opentext.com/enterprise-world/global
• Nuix Connect and Nuix User Exchange
https://events.nuix.com/
• Techno Security
https://www.technosecurity.us/
• DFRWS
https://dfrws.org/
• ACFE
https://www.fraudconference.com/
• ISS World
https://www.issworldtraining.com/

Malware in dokumenten analyse: https://www.sans.org/posters/cheat-sheet-for-analyzing-malicious-documents/
Memory forensics: https://www.sans.org/posters/memory-forensics-cheat-sheet/
memory forensics rekall: https://www.sans.org/posters/rekall-cheat-sheet/
Hex Regex: https://www.sans.org/posters/hex-and-regex-forensics-cheat-sheet/
die in link library nehmen aber ein zusatz tag dass es nicht oben in den quicklinks kommt, das wären sonst zu viele

Synonyme Begriffe: Protokolldatei, Ereignisprotokoll, Eventlog, log file, log.

Overview: Data Media
Praktische Relevanz

Die schiere Masse an Datenträgern mit einer unmenge an Speicherplatz stellt private wie staatliche Ermittler vor enorme Schwierigkeiten.

Folien StA Luzern einbauen
Praktische Vorgehensweise / Beweissicherungsprinzipien

Folgende Prinzipien sollten eingehalten werden:

  • Die forensischen Grundsätze gelten bei Log Files uneiengeschränkt;
  • Administrtoren/Owner von Log Files oder Systemen mit relevanten Log Files oder von zentralen Log Verwaltungsinstanzen dürfen nicht die eigenen untersuchungen führen (vgl. )
  • Log Files müssen in einem Kontext betrachtet und analysiert werden: Es müssen gleichzeitig mit der Log File-Sicherung aktuelle Netzwerktopologien herausverlangt oder erstellt werden; anders lassen sich viele netzwerktechnische Sachverhalte nicht interpretieren;
  • Verschiedene Log Files müssen zeitlich synchronisiert werden, damit wird die zeitliche Interpretation der Vorkommnisse stark erleichtert1BSI, Leitfaden IT-Forensik, S. 203; Mohan/Anderson/Collie/Del Vel/McKemmish, S. 84 f.;
  •  …
 
File Systems

Diese Domain mit Fokus auf Chain of Custody und Writeblocker etc entwickeln

Allgemeines zu Dateisystemen Files System Analysis2Carrier, Kap. 8;

Einige Dateisysteme von praktischer Relevanz:

  • File Allocation Table – FAT (FAT 16, FAT32, extFAT)3Carrier, Kap. 9 und 10;,
  • NTFS4Carrier, Kap. 11 bis 13; Geschonneck, S. 119 ff.;,
  • Extended Filesystem – ExtX (Ext, Ext2, Ext3, Ext4)5Carrier, Kap. 14 und 15;,
  • Universal Flash Storage – UFS6Carrier, Kap. 16 und 17;,
  • Applezeugs.
Malware-Forensik

[…]

E-Mail-Forensik

Header-Daten: Die Header-Daten von E-Mails können Rückschlüsse auf die Autorenschaft und den Transportweg des E-Mails ermöglichen.7Vgl. Geschonneck, S. 332;

Mail-Inhalt: Die Inhalte der Mails geben bspw. bei Phishingmails oder bei Betrugsmails oft Einblick in die Infrastruktur der Täterschaft. So lassen sich Rückschlüsse auf die Täterschaft über die verwendeten Domains machen oder die Täter benutzen Trackingpixel, um zu prüfen, ob ihre Mails gelesen wurden. In solchen Fällen kann auf die Domainregistrare resp. die Trackinganbieter zurückgegriffen werden.

Werkzeug zur Wahrung der Integrität

[…]

Referenzen
Referenzen
1 BSI, Leitfaden IT-Forensik, S. 203; Mohan/Anderson/Collie/Del Vel/McKemmish, S. 84 f.
2 Carrier, Kap. 8;
3 Carrier, Kap. 9 und 10;
4 Carrier, Kap. 11 bis 13; Geschonneck, S. 119 ff.;
5 Carrier, Kap. 14 und 15;
6 Carrier, Kap. 16 und 17;
7 Vgl. Geschonneck, S. 332;
Weitere Materialien