Die Website zum Buch "Computer Forensik" und zur Digitalen Forensik in Deutschland
Vint Cerf , Chief Internet Evangelist bei Google und TCP/IP-„Erfinder“, stellte die These auf, daß ein Viertel der Internet-PC Mitglieder eines Botnetzes sind, also mit einem Trojaner o.ä. verseucht sind und auf Fernsteuerung warten. Die Besitzer dieser PC wissen davon nichts. Gegenüber BBC erklärte Cert:
„Of the 600 million computers currently on the internet, between 100 and 150 million were already part of these botnets“.
Diese Weiterlesen…
Microsoft hat mit dem „Fundamental Computer Investigation Guide for Windows“ ein Papier veröffentlich, daß sich eigentlich an Einsteiger im Bereich Windows-Forensik richten soll. Unter diesem Aspekt kann man dann mit einigen Oberflächlichkeiten in dem Dokument leben. Nach dem Microsoft die Tools von Sysinternals gekauft, neue Werkzeuge daraus entwickelt und als integrierte Suite neu veröffentlicht hat, scheint dies nun der konsequente Weg zu sein, die Neuerwerbungen zu promoten. Die Analyse von kompromittierten Windows-Systemen wird basierend auf dem Computer Investigation Modell von Warren G. Kruse II und Jay G. Heise beschrieben: Weiterlesen…
Es wird auch in diesem Jahr wieder Computer-Forensik-Workshops geben. Diesmal wird es mit der Zeitschrift iX aus dem Heise Verlag in Deutschland, Österreich und in der Schweiz jeweils zweitägige Kurse geben.
Wir haben folgende Termin und Veranstaltungsorte geplant:
Manchmal bin ich schon verwundert, welche Erwartungen manchmal an die Analysegeschwindigkeit gestellt werden. „Bei CSI im Fernsehen geht das doch auch so schnell, warum dauert denn die Analyse der Festplatte bei Ihnen so lange?“ „Haben Sie schon erste Spuren?“ „Was können wir dem Vorstand sagen?„. Der Ermittlungsleiter muss in solchen Fällen Weiterlesen…
The Sleuthkit (TSK) ist eine Sammlung von freien Werkzeugen, um an Datenträgern forensische Analysen durchzuführen. Sie können entweder auf der Kommandozeile ausgeführt oder mit der grafischen Oberfläche Autopsy verwendet werde. Folgende Bugfixes sind laut Brian Carrier in die neue Release 2.07 eingeflossen:
Die auch für Nicht-Experten verständliche und einfache Darstellung großer Datenmengen ist immer wieder eine Herausforderung in der IT-Forensik (gerade auch im Bereich der Wirtschaftsdelikte). Wir erleben es oft, dass der Auftraggeber einer Ermittlung am Anfang einer Analyse nicht immer klare Vorstellungen von seiner „Suche“ hat. Erst während der Ermittlung fallen ihm immer neue Dinge ein oder sie ergeben sich aus vorherigen (Zufalls-)Funden. Dies ist verständlich, da nicht die gesamte Vorgeschichte mit allen möglichen Details an den Ermittler übermittelt werden können. Um nun zu vermeiden, dass sich ein Ermittler mit dem Auftraggeber tagelang in einem stillen Kämmerlein mit der Schlagwortsuche aufhält – die gängigen Forensik-Tools sind leider nicht immer für Nicht-Experten intuitiv bedienbar – gibt es Methoden, große Datenmengen für den Auftraggeber „selbst erfahrbar“ zu analysieren.
Hier ein Beispiel anhand von Enron : Weiterlesen…
GetData Software hat eine neue Version von Mount Image Pro veröffentlicht. Wir setzen Mount Image Pro selbst gelegentlich ein, da es eine einfache und schnelle Möglichkeit ist, von einem Windows Analysesystem auf Datenträgerimages zuzugreifen. Mount Image Pro ermöglicht das Mounten von EnCase Images, Weiterlesen…
Ich kann nur jedem ans Herz legen, bei der Dokumentation und Weitergabe von verdächtigen externen IP-Adressen sorgsam zu sein. Zahlendreher können leicht passieren, vor Weitergabe sollten die IP-Adressen nochmals verfiziert werden. Heise berichtet, dass wegen einer Verwechselung der IP-Adresse durch den angefragten Provider, die Wohnung einer unschuldigen Person wegen des Verdachts auf Kinderpornografie durchsucht wurde.
Ein weiterer Stolperstein auch für Ermittler und Administratoren Weiterlesen…
Mit dem kostenlosen Werkzeug PEiD kann man eine erste Analyse einer unbekannten Binärdatei durchführen. Das Tool liefert sehr viele Informationen über ausführbare Dateien. Es werden über 450 unterschiedliche „Packer“ und Compiler erkannt. Über eine Plugin-Schnittstelle können Weiterlesen…