c’t Artikel: „Auf frischer Tat ertappen – Spurensicherung am lebenden Objekt“

c't cover 05/2007In c’t 05/2007 erschien – nach langen Wehen – ein Artikel von mir zum Thema „Live Response“. Neben den klassischen Live-Response-Themen habe ich mich ausführlich der RAM-Analyse gewidmet.

Ich hoffe, dass ich wegen des Faustkeilvergleichs nicht bei der nächsten Gelegenheit ein Bier ausgeben muß, aber auch dies werde ich mit Würde und ebenfalls großem Durst ertragen. 😉

Die Tools Weiterlesen…

Fundamental Computer Investigation Guide For Windows

iconMicrosoft hat mit dem „Fundamental Computer Investigation Guide for Windows“ ein Papier veröffentlich, daß sich eigentlich an Einsteiger im Bereich Windows-Forensik richten soll. Unter diesem Aspekt kann man dann mit einigen Oberflächlichkeiten in dem Dokument leben. Nach dem Microsoft die Tools von Sysinternals gekauft, neue Werkzeuge daraus entwickelt und als integrierte Suite neu veröffentlicht hat, scheint dies nun der konsequente Weg zu sein, die Neuerwerbungen zu promoten. Die Analyse von kompromittierten Windows-Systemen wird basierend auf dem Computer Investigation Modell von Warren G. Kruse II und Jay G. Heise beschrieben: Weiterlesen…

Dies ist kein CSI

Manchmal bin ich schon verwundert, welche Erwartungen manchmal an die Analysegeschwindigkeit gestellt werden. „Bei CSI im Fernsehen geht das doch auch so schnell, warum dauert denn die Analyse der Festplatte bei Ihnen so lange?“ „Haben Sie schon erste Spuren?“ „Was können wir dem Vorstand sagen?„. Der Ermittlungsleiter muss in solchen Fällen Weiterlesen…

The Sleuthkit 2.07

The Sleuthkit (TSK) ist eine Sammlung von freien Werkzeugen, um an Datenträgern forensische Analysen durchzuführen. Sie können entweder auf der Kommandozeile ausgeführt oder mit der grafischen Oberfläche Autopsy verwendet werde. Folgende Bugfixes sind laut Brian Carrier in die neue Release 2.07 eingeflossen:

Weiterlesen…

Windows-Eventlog-Forensik

 Mein Kollege Sebastian Krause hat in der aktuellen iX (01/2007) einen interessanten Artikel zum Thema forensische Analyse von Windows-Ereignisprotokollen veröffentlicht. Er beschäftigt sich mit den technischen Möglichkeiten, Einbruchs- bzw. Mißbrauchsspuren aus Windows-Ereignisprotokollen zu erkennen und stellt einige Analyseansätze und -werkzeuge vor.

In erster Linie dienen Windows-Ereignisprotokolle dem Administrator
zur Fehlersuche. Überdies können sie bei kriminalistischen Ermittlungen
wertwolle Beweise liefern. Selbst wenn sie beschädigt oder gelöscht
wurden – mit dem richtigen Werkzeug und Know-how lässt sich
einiges an Spuren sicherstellen.

Sebastians Ermittlungsschwerpunkt Weiterlesen…

Forensische Datenanalyse von Mails am Beispiel von ENRON

icon Die auch für Nicht-Experten verständliche und einfache Darstellung großer Datenmengen ist immer wieder eine Herausforderung in der IT-Forensik (gerade auch im Bereich der Wirtschaftsdelikte). Wir erleben es oft, dass der Auftraggeber einer Ermittlung am Anfang einer Analyse nicht immer klare Vorstellungen von seiner „Suche“ hat. Erst während der Ermittlung fallen ihm immer neue Dinge ein oder sie ergeben sich aus vorherigen (Zufalls-)Funden. Dies ist verständlich, da nicht die gesamte Vorgeschichte mit allen möglichen Details an den Ermittler übermittelt werden können. Um nun zu vermeiden, dass sich ein Ermittler mit dem Auftraggeber tagelang in einem stillen Kämmerlein mit der Schlagwortsuche aufhält – die gängigen Forensik-Tools sind leider nicht immer für Nicht-Experten intuitiv bedienbar – gibt es Methoden, große Datenmengen für den Auftraggeber „selbst erfahrbar“ zu analysieren.

Hier ein Beispiel anhand von Enron : Weiterlesen…