neue Methode zur RAM-Analyse

Auf dem diesjährigen Digital Forensics Research Workshop (DRFWS) stellte Andreas Schuster einige sehr interressante Ermittlungsansätze zur Sammlung flüchtiger Daten bei der Live-Response von verdächtigen Windows-Systemen vor.
Er nutzt hauptsächlich Strukturen der Speicherverwaltung des Windows-Kernels und seiner Objekte, um beim sequenziellen Durchsuchen eines Arbeitsspeicher-Abbildes Verwaltungsinformationen zu Prozessen und Threads zu identifizieren. Weiterlesen…

Forensik-Artikel in der KES: „Tatort PC“

KES 2/2006 „Tatort PC – Ermittlungen nach dem S-A-P Modell“

Die Zeitschrift für Kommunikations- und EDV-Sicherheit „KES“ hat das Thema Computer-Forensik in Ausgabe 2/2006 zu einem Themenschwerpunkt gemacht. Ich habe die Titelgeschichte „Tatort PC“ geschrieben und mich eingehender mit dem Ermittlungsprozess beschäftigt. Dreh- und Angelpunkt war das sog. S-A-P Modell (Secure, Analyze, Present). In jeder Phase Weiterlesen…

Was ist Computer-Forensik?

Das ist die offizielle neue Website zur neuen Auflage von:
„Computer Forensik – Computerstraftaten erkennen, ermitteln, aufklären“ dpunkt.verlag 6., aktualisierte und erweiterte Auflage, März 2014, 388 Seiten, 42,90€, ISBN 3864901332

Cover Computer-Forensik 6. Auflage

Der Begriff Computer-Forensik, IT-Forensik oder auch Digitale Forensik (engl. Computer Forensics, Digital Forensics, IT-Forensics) hat sich in den letzten Jahren für den Nachweis und die Ermittlung von Straftaten aus dem Bereich der Computerkriminalität durchgesetzt. In Anlehnung an die allgemeine Erklärung des lateinischen Wortes Forensik, ist die Computer Forensik ein Teilgebiet, das sich mit dem Nachweis und der Aufklärung von strafbaren Handlungen z.B. durch Analyse von digitalen Spuren beschäftigt. Themen wie Aufklärung nach Attacken durch Hacker oder Cracker sind ebenso relevant wie das Aufspüren von kinderpornografischem oder anderweitig illegalem Datenmaterial.

Die Ziele einer forensischen Analyse nach einem Hackerangriff oder Fällen von Computersabotage, Datendiebstahl, Wirtschaftsspionage oder einem anderen möglicherweise ernsthaften Sicherheitsvorfall sind in der Regel:

  • die Identifikation des Angreifers oder Täters,
  • das Erkennen der Methode oder der Schwachstelle, die zum Systemeinbruch oder Straftat geführt haben könnte,
  • die Ermittlung des entstandenen Schadens nach einem Systemeinbruch bzw. anderen strafbaren Handlung und
  • die Sicherung der Beweise für weitere juristische Aktionen.

Weiterlesen…