computer-forensik.org » Buch

4. Auflage “Computer Forensik” erschienen

Alexander Geschonneck — Tue, 16 Feb 2010 10:14:51 +0000

Liebe Leser,

ich halte gerade die ersten Exemplare der nunmehr vierten Auflage meines Buches “Computer Forensik” in den Händen.

Amazon

beginnt Anfang nächster Woche mit der Auslieferung. Die Seite mit den Leseproben sind ebenso aktualisiert worden, wie die Seite mit den Ergänzungen. Ich wünsche Ihnen viel Spass beim Lesen.

Alexander Geschonneck

Frohes Fest + vierte Auflage vor der Tür

Alexander Geschonneck — Thu, 24 Dec 2009 14:56:50 +0000

Ich wünsche allen Lesern dieses Blogs und meines Buches ein frohes Fest, erholsame Feiertage (*) und ein gesundes und erfolgreiches Neues Jahr. Diejenigen, die auf Amazonkein Exemplar der 3. Auflage mehr erhalten haben, kann ich auf Ende Januar vertrösten, da dann die 4. Auflage erscheinen wird (**).

*) Ich muss mit meinem Team leider zu einer akuten Investigation ausrücken.
**) Mehr Infos demnächst hier.

Fragen und Antworten (1)

Alexander Geschonneck — Thu, 08 Jan 2009 19:58:40 +0000

Liebe Leser, von Zeit zu Zeit erreichen mich Fragen zu einzelnen Kapiteln des Buches. Die Fragen reichen von Verständnisproblemen grundsätzlicher Dinge bis hin zu Themen, wo es bei Formulierung und Herleitung wohl etwas Optimierungsbedarf gibt. Da die Beantwortung der Fragen sicherlich für mehr Leser von Interesse sein wird, werde ich hier einige Fragen anonym veröffentlichen und diese dann hier auch beantworten. Also los geht’s mit der ersten Zuschrift:

Frage:
Kapitel 5.2 – Analyse des File-Slacks (S. 106)
Warum gibt es im MFT-Slack keinen File-Slack? Sie schreiben folgendes ” (…) Wenn die Daten allerdings kleiner als die 1.024 Byte eines Record sind, kann der überschüssige Bereich Fragmente von alten Dateien enthalten. (…)” Wenn an dieser Stelle eine neue Datei gespeichert wird, stellt dies doch ebenfalls File- respektive Drive-Slack dar?

Antwort:
Die MFT ist keine Datei im klassischen Sinne, wie wir sie von einem NTFS her kennen. Die MFT ist eine Art Datenbank und ist mit Bordmitteln nicht sichtbar, erst die Analyse mit Spezialwerkzeugen oder einem Hex-Editor fördert die Inhalte von $MFT zu Tage. Bei der Veränderung der MFT entsteht somit kein File-Slack, wie wir ihn von regulären Daten her kennen. Der MFT-Slack ist lediglich innerhalb der der einzelnen MFT-Records zu finden. Dieser Slack ist vollkommen unabhängig vom File- bzw. Drive-Slack.

Review: PC-Welt

Alexander Geschonneck — Tue, 09 Dec 2008 17:33:54 +0000

Die PC-Welt (nun gut, einige Blogleser mögen von der Zeitung eine besondere Meinung haben) hat einen sehr guten Review über mein Buch veröffentlicht. Ich mag in diesem Fall auch sehr gern darüber hinweg sehen, dass der Rezensent findet, dass das Buch nicht zur Unterhaltung gedacht ist, denn sein Fazit ist – wie der gesamte Text an sich – sehr versöhnlich:

Das Buch liest sich trotz längerer theoretischer und juristischer Passagen durchwegs spannend, obwohl es überhaupt nicht zur Unterhaltung geschrieben ist. Der Informationsgewinn sowohl für Nichttechniker als auch für IT-Spezialisten dürfte durchwegs hoch sein. Wer in Unternehmen oder Behörden in irgendeiner Weise mit IT-Sicherheit und mit dem Funktionieren der IT-Infrastruktur befasst ist oder unternehmerische Verantwortung trägt, sollte dieses Buch lesen. Aber auch Privatanwender lernen viel über Datenwiederherstellung und Spurensicherung – ein Wissen, dass man durchaus auch für die Sicherheit des eigenen Rechners oder des eigenen kleinen Heimnetzwerkes gewinnbringend einsetzen kann. Ein gewisses Maß an fortgeschrittenen Kenntnissen von Betriebssystemen, insbesondere von Kommandozeilenbefehlen, sollte aber vorhanden sein, um der Lektüre folgen zu können.

Hier der Link auf die gesamte Rezension.

Review: c’t

Alexander Geschonneck — Thu, 18 Sep 2008 19:42:46 +0000

In der Ausgabe 20/2008 der c’t ist eine Rezension der dritten Auflage meines Buches erschienen.

3. erweiterte Auflage "Computer Forensik" erschienen!

Alexander Geschonneck — Wed, 30 Apr 2008 17:14:01 +0000

Ich halte gerade die ersten Exemplare der 3. aktualisierten und erweiterten Auflage meines Buches “Computer Forensik. Computerstraftaten erkennen, ermitteln, aufklären.” in den Händen. Für die 3. Auflage wurden

die Werkzeugbeschreibungen aktualisiert und neue Ermittlungsmethoden aufgenommen. Neue Themen sind digitale Spurenanalyse von Windows Vista und aktuelle Entwicklungen bei der Analyse von Hauptspeicherinhalten. Das Kapitel zu Mobiltelefonen wurde komplett überarbeitet und um die Analyse von SIM-Karten ergänzt.

Zusätzlich habe ich den Ermittlungsprozess weiter standardisiert und das S-A-P Modell weiter ausgebaut. Da ich ja für das BSI das Thema “Behandlung von Sicherheitsvorfällen” in den IT-Grundschutzkatalogen aktualisiert habe, finden sich nun auf einander abgestimmte Handlungsanweisungen und Empfehlungen in beiden Werken.

Beschwerden wegen der Farbe nehme ich nicht an.

Link zu Amazon

Inhaltsverzeichnis der 3. Auflage

Alexander Geschonneck — Wed, 16 Apr 2008 15:48:59 +0000

Anbei das Inhaltsverzeichnis der 3. aktualisierten und erweiterten Auflage meines Buches “Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären.”

Geleitwort
Einleitung 1
Wer sollte dieses Buch lesen? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Was lernt man in diesem Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Was lernt man in diesem Buch nicht? . . . . . . . . . . . . . . . . . . . . . . . 4
Wie liest man dieses Buch? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Was ist neu in der 2. Auflage? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Was ist neu in der 3. Auflage? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1 Bedrohungssituation 11
1.1 Bedrohung und Wahrscheinlichkeit . . . . . . . . . . . . . . . . . 11
1.2 Risikoverteilung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.3 Motivation der Täter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.4 Innentäter vs. Außentäter . . . . . . . . . . . . . . . . . . . . . . . . . 20
1.5 Bestätigung durch die Statistik? . . . . . . . . . . . . . . . . . . . . 23

2 Ablauf von Angriffen 29
2.1 Typischer Angriffsverlauf . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.1.1 Footprinting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.1.2 Port- und Protokollscan . . . . . . . . . . . . . . . . . . . . 30
2.1.3 Enumeration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
2.1.4 Exploiting/Penetration . . . . . . . . . . . . . . . . . . . . . 31
2.1.5 Hintertüren einrichten . . . . . . . . . . . . . . . . . . . . . 31
2.1.6 Spuren verwischen . . . . . . . . . . . . . . . . . . . . . . . . 32
2.2 Beispiel eines Angriffs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

3 Incident Response als Grundlage der Computer-Forensik 41
3.1 Der Incident-Response-Prozess . . . . . . . . . . . . . . . . . . . . . 41
3.2 Organisatorische Vorbereitungen . . . . . . . . . . . . . . . . . . . 42
3.3 Zusammensetzung des Response-Teams . . . . . . . . . . . . . 43
3.4 Incident Detection: Systemanomalien entdecken . . . . . . . . 45
3.4.1 Vom Verdacht zum Beweis . . . . . . . . . . . . . . . . . . 45
3.4.2 Netzseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . . 46
3.4.3 Serverseitige Hinweise . . . . . . . . . . . . . . . . . . . . . . 47
3.4.4 Intrusion-Detection-Systeme . . . . . . . . . . . . . . . . . 48
3.4.5 Externe Hinweise . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.5 Incident Detection: Ein Vorfall wird gemeldet . . . . . . . . . . 50
3.6 Sicherheitsvorfall oder Betriebsstörung? . . . . . . . . . . . . . . 53
3.7 Wahl der Response-Strategie . . . . . . . . . . . . . . . . . . . . . . . 56
3.8 Reporting und Manöverkritik . . . . . . . . . . . . . . . . . . . . . . 57

4 Einführung in die Computer-Forensik 61
4.1 Ziele einer Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
4.2 Anforderungen an den Ermittlungsprozess . . . . . . . . . . . . 62
4.3 Phasen der Ermittlung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
4.4 Das S-A-P-Modell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
4.5 Welche Erkenntnisse kann man gewinnen? . . . . . . . . . . . . 66
4.6 Wie geht man korrekt mit Beweismitteln um? . . . . . . . . . . 73
4.6.1 Juristische Bewertung der Beweissituation . . . . . . 74
4.6.2 Datenschutz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
4.6.3 Welche Daten können erfasst werden? . . . . . . . . . 78
4.6.4 Bewertung der Beweisspuren . . . . . . . . . . . . . . . . . 78
4.6.5 Durchgeführte Aktionen dokumentieren . . . . . . . . 79
4.6.6 Beweise dokumentieren . . . . . . . . . . . . . . . . . . . . . 80
4.6.7 Mögliche Fehler bei der Beweissammlung . . . . . . . 82
4.7 Flüchtige Daten sichern: Sofort speichern . . . . . . . . . . . . . 85
4.8 Speichermedien sichern: forensische Duplikation . . . . . . . 87
4.8.1 Wann ist eine forensische Duplikation sinnvoll? . . 89
4.8.2 Geeignete Verfahren . . . . . . . . . . . . . . . . . . . . . . . 89
4.9 Was sollte alles sichergestellt werden? . . . . . . . . . . . . . . . 91
4.10 Erste Schritte an einem System für die Sicherstellung . . . . 92
4.10.1 System läuft nicht (ist ausgeschaltet) . . . . . . . . . . 92
4.10.2 System läuft (ist eingeschaltet) . . . . . . . . . . . . . . . 93
4.11 Untersuchungsergebnisse zusammenführen . . . . . . . . . . . 93
4.12 Häufige Fehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
4.13 Anti-Forensik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

5 Einführung in die Post-mortem-Analyse 101
5.1 Was kann alles analysiert werden? . . . . . . . . . . . . . . . . 101
5.2 Analyse des File Slack . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
5.3 MAC-Time-Analysen . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
5.4 NTFS-Streams . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
5.5 Vistas TxF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
5.6 Vistas Volumen-Schattenkopien . . . . . . . . . . . . . . . . . . . 112
5.7 Auslagerungsdateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
5.8 Versteckte Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
5.9 Dateien oder Fragmente wiederherstellen . . . . . . . . . . . 119
5.10 Unbekannte Binärdateien analysieren . . . . . . . . . . . . . . . 120
5.11 Systemprotokolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
5.12 Analyse von Netzwerkmitschnitten . . . . . . . . . . . . . . . . 133

6 Forensik- und Incident-Response-Toolkits im Überblick 135
6.1 Grundsätzliches zum Tooleinsatz . . . . . . . . . . . . . . . . . . 135
6.2 Sichere Untersuchungsumgebung . . . . . . . . . . . . . . . . . . 137
6.3 F.I.R.E. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
6.4 Knoppix Security Tools Distribution . . . . . . . . . . . . . . . 143
6.5 Helix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143
6.6 ForensiX-CD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
6.7 EnCase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
6.8 dd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156
6.9 Forensic Acquisition Utilities . . . . . . . . . . . . . . . . . . . . . 160
6.10 AccessData Forensic Toolkit . . . . . . . . . . . . . . . . . . . . . 161
6.11 The Coroner’s Toolkit und TCTUtils . . . . . . . . . . . . . . . 164
6.12 The Sleuth Kit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
6.13 Autopsy Forensic Browser . . . . . . . . . . . . . . . . . . . . . . . . 170
6.14 Eigene Toolkits für Unix und Windows erstellen . . . . . . 175
6.14.1 F.R.E.D. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
6.14.2 Incident Response Collection Report (IRCR) . . . 176
6.14.3 Windows Forensic Toolchest (WFT) . . . . . . . . . . 177
6.14.4 Live View . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

7 Forensische Analyse im Detail 181
7.1 Forensische Analyse unter Unix . . . . . . . . . . . . . . . . . . . 181
7.1.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 181
7.1.2 Forensische Duplikation . . . . . . . . . . . . . . . . . . . 187
7.1.3 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 195
7.1.4 P.m.-Analyse der Images mit Autopsy . . . . . . . . . 202
7.1.5 Dateiwiederherstellung mit unrm und lazarus . . . 208
7.1.6 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 209
7.2 Forensische Analyse unter Windows . . . . . . . . . . . . . . . . 212
7.2.1 Die flüchtigen Daten speichern . . . . . . . . . . . . . . 213
7.2.2 Analyse des Hauptspeichers . . . . . . . . . . . . . . . . 216
7.2.3 Forensische Duplikation . . . . . . . . . . . . . . . . . . 222
7.2.4 Manuelle P.m.-Analyse der Images . . . . . . . . . . . 227
7.2.5 P.m.-Analyse der Images mit dem
AccessData FTK . . . . . . . . . . . . . . . . . . . . . . . . . 228
7.2.6 P.m.-Analyse der Images mit EnCase . . . . . . . . . 233
7.2.7 P.m.-Analyse der Images mit X-Ways Forensics . 236
7.2.8 Weitere hilfreiche Tools . . . . . . . . . . . . . . . . . . . 240
7.3 Forensische Analyse von mobilen Geräten . . . . . . . . . . . 255
7.3.1 Was ist von Interesse bei mobilen Geräten? . . . . 256
7.3.2 Welche Informationen sind auf der
SIM-Karte von Interesse? . . . . . . . . . . . . . . . . . . 257
7.3.3 Grundsätzlicher Ablauf der Sicherung
von mobilen Geräten . . . . . . . . . . . . . . . . . . . . . 258
7.3.4 Software für die forensische Analyse
von mobilen Geräten im Überblick . . . . . . . . . . . 260
7.4 Forensische Analyse von Routern . . . . . . . . . . . . . . . . . . 268

8 Empfehlungen für den Schadensfall 271
8.1 Logbuch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271
8.2 Den Einbruch erkennen . . . . . . . . . . . . . . . . . . . . . . . . . 273
8.3 Tätigkeiten nach festgestelltem Einbruch . . . . . . . . . . . . 274
8.4 Nächste Schritte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278

9 Backtracing 279
9.1 IP-Adressen überprüfen . . . . . . . . . . . . . . . . . . . . . . . . . 279
9.1.1 Ursprüngliche Quelle . . . . . . . . . . . . . . . . . . . . 279
9.1.2 IP-Adressen, die nicht weiterhelfen . . . . . . . . . . . 280
9.1.3 Private Adressen . . . . . . . . . . . . . . . . . . . . . . . . 280
9.1.4 Weitere IANA-Adressen . . . . . . . . . . . . . . . . . . . 281
9.1.5 Augenscheinlich falsche Adressen . . . . . . . . . . . . 282
9.2 Spoof Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282
9.2.1 Traceroute Hopcount . . . . . . . . . . . . . . . . . . . . . 282
9.3 Routen validieren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
9.4 Nslookup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
9.5 Whois . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
9.6 E-Mail-Header . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

10 Einbeziehung der Behörden 297
10.1 Organisatorische Vorarbeit . . . . . . . . . . . . . . . . . . . . . . 297
10.2 Strafrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 299
10.2.1 Inanspruchnahme des Verursachers . . . . . . . . . . 299
10.2.2 Möglichkeiten der Anzeigeerstattung . . . . . . . . . 299
10.2.3 Einflussmöglichkeiten auf das Strafverfahren . . . 302
10.3 Zivilrechtliches Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . 303
10.4 Darstellung in der Öffentlichkeit . . . . . . . . . . . . . . . . . . 304
10.5 Die Beweissituation bei der privaten Ermittlung . . . . . . . 305
10.6 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

Anhang
Tool-Überblick 311
Literaturempfehlungen 317
Stichwortverzeichnis 319

3. Auflage ist fast fertig

Alexander Geschonneck — Sun, 16 Mar 2008 12:14:01 +0000

Auch wenn mich private Rückschläge gerade beschäftigen, möchte ich mitteilen, dass die 3. Auflage meines Buches fast fertig ist. Ich mache gerade die letzten Satz-Korrekturen, dann sollte der Druck beginnen. Was wird neu sein: Windows-Vista, Analyse von SIM-Karten, Analyse von Binärdateien, Vorstellung und Erläuterung des S-A-P Modells, RAM-Analyse und vieles mehr.

Vorbestellungen sind bereits möglich.

Umfrage beendet

Alexander Geschonneck — Thu, 04 Oct 2007 15:17:30 +0000

Einige Leser haben es ja mitbekommen, die letzten Monate lief auf dieser Seite eine kleine Umfrage, welche Themen in der kommenden 3. Auflage meines Buches näher beleuchtet werden sollten. Die Umfrage ist nun geschlossen und ergab nun, dassdie Themen Netzwerkforensik und PDA/Mobiltelefon-Analyse stärker in den Vordergrund rücken sollen. Ich persönlich hatte eigentlich erwartet, dass RAM-Forensik viel stärker gewünscht wird. Aber so kann man sich täuschen.

Note: There is a poll embedded within this post, please visit the site to participate in this post's poll.

Da ich nun mitten in der Aktualisierung des Buches stecke, werde ich den Zeitplan nochmal überarbeiten und hoffe, dass ich die gewünschten Themen aufnehmen kann. Die forensische Analyse des RAM werde ich trotzdem behandeln. Ätsch.

Interview mit Stefan Becker

Alexander Geschonneck — Tue, 21 Nov 2006 09:44:03 +0000

Der Kölner Stadtanzeiger hat heute einen Artikel über KHK Stefan Becker veröffentlicht, der mich bei meinem Buchprojekt unterstützt hat:

Ein typischer Arbeitstag kann damit beginnen, dass sich der Administrator des Netzwerks eines mittelständischen Unternehmens bei Becker meldet und klagt, das System sei gekapert worden. Deutlichster Hinweis darauf wäre, dass die Festplatte des Servers plötzlich vor Musik- oder Videodateien zweifelhafter Herkunft überquillt. Die Mitarbeiter des Unternehmens werden ein spürbar langsamer arbeitendes System beobachten. Die Rechner sind nur noch damit beschäftigt, illegale Software über Tauschbörsen zu verteilen und weitere Schadensprogramme in Umlauf zu bringen. Sie sind Teil eines so genannten Bot-Nets geworden, eines Zusammenschlusses vieler Computer, die gegen den Willen ihrer Besitzer ferngesteuert werden.

Den ganzen Artikel gibt es hier .

Weiterer Termin für das Computer Forensik Praxis Training

Alexander Geschonneck — Tue, 26 Sep 2006 15:52:40 +0000

Kurze Info: Auf Grund der riesigen Nachfrage gibt es für das 5-tägige Computer Forensik Praxis Training einen zusätzlichen Termin in Berlin. Wir haben noch einige wenige Plätze frei für den 6.11. – 10.11.

Alle Infos zur Agenda und zum Ablauf finden Sie hier. Anmeldung über mich.

Computer Forensik Praxis Training in Berlin

Alexander Geschonneck — Sat, 02 Sep 2006 11:11:41 +0000

Auf Grund der zahlreichen Nachfragen unserer Kunden hat sich meine Firma, die HiSolutions AG entschieden, einmalig ein offenes fünftägiges Computer-Forensik Seminar anzubieten. Bisher haben wir diese Spezial-Trainings nur als geschlossene interne Seminare für Behörden und Unternehmen durchgeführt. Da diese Veranstaltungen sehr erfolgreich waren und unsere anderen Kunden weitere Seminare gewünscht haben, freuen wir uns, Ihnen nun dieses Intensiv-Seminar anbieten zu können.
Sie lernen von den Mitgliedern unseres Forensik-Ermittlungsteams Details zur Analyse von verdächtigen Unix- bzw. Windowssystemen, Mobiltelefonen bzw. PDAs und auffälligen Netzwerkaktivitäten. Das Seminar ist als Praxis-Seminar konzipiert, d.h. neben der theoretischen Wissensvermittlung können die Teilnehmer das Erlernte an realen Fallbeispielen unter Anleitung direkt ausprobieren.

Jeder Tag besteht aus einem einführenden Theorieteil und praktischen Übungen.

Folgende Agenda ist vorgesehen:

1 Einführung in die Computer-Forensik
1.1 Bedeutung der Computer-Forensik
1.2 Grundregeln der Ermittlung

2 Incident Response
2.1 Erkennung von Sicherheitsvorfällen
2.2 Vergleich der Analyse-Ansätze

3 Dateisysteme
3.1 NTFS
3.2 FAT 12 / 16 / 32
3.3 VFAT
3.4 Ext 2 / 3

4 Auffinden von verborgenen Informationen
4.1 Slack Space
4.2 MAC-Zeitstempel / Timeline
4.3 Alternate Data Streams
4.4 Metadaten und versteckte Inhalte in Office-Produkten
4.5 Steganographie
4.6 Analyse von Binärdateien
4.7 Anti-Forensik

5 Live-Analyse von Windows-Systemen
5.1 Methoden und Tools zur Beweismittelsicherung
5.2 Verwendung von Incident Response Toolkits
5.3 Sicherstellung der volatilen Informationen
5.4 Auswertung der gewonnenen Informationen

6 Live-Analyse eines Unix-Systems
6.1 Methoden und Tools zur Beweismittelsicherung
6.2 Sicherstellung der volatilen Informationen
6.3 Auswertung der gewonnenen Informationen

7 Forensische Duplikation
7.1 Methodiken
7.2 Realisierung durch Verwendung von Hard- und Software
7.3 Einsatz der Live-CD Helix

8 Post-mortem Analyse eines Windows-Systems
8.1 Potentiell evidente Daten in einem Windows System
8.2 Integrierte Analyseumgebungen zur Analyse der Daten
8.3 Live Demonstration X-Ways Forensics
8.4 Wiederherstellung gelöschter Daten
8.5 Weitere Analysewerkzeuge
8.6 Analyse der Ereignisprotokolle
8.7 Protokollanalyse

9 Post-mortem Analyse eines Unix-Systems
9.1 The Sleuthkit und Autopsy
9.2 Auswertung von Logfiles

10 Netzwerk-Forensik
10.1 Methoden und Tools zur Analyse von Netzwerkverkehr
10.2 Erkennung von Angriffssignaturen

11 Mobile Forensics
11.1 Analyse von Mobiltelefonen
11.2 Analyse von PDAs

Die für die praktischen Übungen benötigte Hardware wird durch HiSolutions gestellt. Auf Wunsch können die Teilnehmer auch eigene Notbooks mit DVD-Laufwerk und Ethernet-Interface mitbringen.

Eigene EnCase-, FTK- oder X-Ways-Dongles (wenn vorhanden) können ebenfalls mitgebracht werden.

Termin: 16.10.-20.10.2006
Ort: Berlin
Preis pro Person: 3450,00 Euro (Behördenrabatt oder andere Sonderkonditionen auf Anfrage)

Alle Teilnehmer erhalten eine Teilnahmebestätigung.
Natürlich ist die Veranstaltung auch weiterhin als Inhouse-Seminar zu Sonderkonditionen buchbar.

Bei Erfolg planen wir weitere Termine und Orte!

Anmeldungen sind direkt über mich möglich.

Review “spektrumdirekt”

Alexander Geschonneck — Fri, 25 Aug 2006 07:22:54 +0000

“spektrumdirekt” – August 2006

“Haltet den virtuellen Dieb!”
“[...] Das Buch liest sich sehr gut – einfach vorn beginnen und dann am Schluss aufhören. Bei knapp 270 Seiten geht das recht schnell. [...] Mit etwa 40 Euro ist das Buch kein Schnäppchen – aber sein Geld wert.”

Anmerkung: Der Rezensent hat das Buch genau gelesen, denn er hat den kleinen Satzfehler im Anhang entdeckt

Die vollständige Rezension gibt es hier.

Review: “computer-security.de”

Alexander Geschonneck — Sat, 29 Apr 2006 21:33:49 +0000

“computer-security.de”, 26.04.2006

“Fazit: ‘Computer Forensik. Systemeinbrüche erkennen, ermitteln, aufklären.’ bietet in der vorliegenden 2. Auflage einen sehr guten Einblick in dieses komplexe Thema. Dabei ist das Verhältnis aus theoretischen Erläuterungen und praktischen Erklärungen und Beispielen sehr ausgewogen. Da die meisten im Buch besprochenen Toolkits frei erhältlich sind, kann ein interessierter Leser die einzelnen Beispiele sehr gut am eigenen System nachvollziehen. “

Was ist neu in der zweiten Auflage?

Alexander Geschonneck — Sun, 22 Jan 2006 18:21:16 +0000

Lohnt sich eigentlich der Kauf der zweiten Auflage, wenn man bereits die erste besitzt?

In der zweiten Auflage wurde eine Aktualisierung der Statistiken und der Werkzeuge vorgenommen. Neue Tools wurden aufgenommen, alte entfernt. Da gerade der Toolmarkt eine rasante Weiterentwicklung erfährt, ist dies ein recht wichtiger Aspekt. Die neuen Funktionen von EnCase 5 wurden ebenso aufgenommen, wie die neuen Werkzeuge X-Ways Forensics, Adepto und Helix.

Zusätzlich wurden die juristische Aspekte an die aktuelle Rechtssprechung angepasst.

Wer auf dem neusten Stand der Computer Forensik bleiben möchte, sollte die zweite Auflage unbedingt kaufen.