Digitaleforensische Analyse und Untersuchung
Dauer:3 Tage
Eine komplexe Schulung über forensische Untersuchungsverfahren, über die elektronische Beweisführung im Falle von unberechtigten Aktivitäten und über die wichtigsten Schritte, die unmittelbar nach der Identifizierung eines Sicherheitsproblems durchgeführt werden.
Die Schulung eignet sich für Fachleute auf dem Gebiet der Computersicherheit und Wissenschaftler, die sich für diese Thematik interessieren. Die Methodik von forensischer Untersuchungsführung in diesem Bereich hat in den letzten Jahren viele Änderungen durchgemacht und dieser Kurs bietet Ihnen eine Zusammenfassung aktueller Trends auf den Gebieten Spurensicherung, Falluntersuchung und Fallanalyse.
In diesem Kurslernen die Teilnehmer den Beweismaterial in Übereinstimmung mit internationalen Vorschriften, die in diesem Bereich gelten, zu erhalten, außerdem gelangen sie zu allgemeinen Kenntnissen über Verfahren bei einer forensischen Analyse und über Instrumente, die in diesem Prozess verwendet werden. Informiert werden sie auch über Schritte, die sie sofort nach der Identifizierung eines sicherheitsrelevanten Ereignisses unternehmen sollten, um weitere Ausbreitung von Schäden zu vermeiden und möglichst genaue Informationen über den Verlauf zu erhalten.
Zielgruppe
Diese Schulung ist vor allem für Computer-Profis, die im Bereich Sicherheit von Computer-Netzwerken und Informationssystemen arbeiten, juristische Sachverständiger, die mit Gerichten in Zusammenhang mit Computerkriminalität zusammenarbeiten, für Wissenschaftler und Enthusiasten für diese Thematik, die einen Überblick über den Verlauf einer Intrusion-Untersuchung, sowie auch über die Vorbeugung solcher Ereignisse erhalten möchten.
Erwartete Kenntnisse der Teilnehmer
Diese fachliche Schulung erfordert von den Teilnehmern eingewisses Maß an Kenntnissen. Damit Sie aus dieser Schulung möglichst viele praktischen Informationen erhalten, erwarten wir von Ihnen einen allgemeinen Überblick über Computersystem- und Netzwerk-Architektur (TCP / IP), über die Funktionierung von Windows- und Unix- / Linux-Betriebssystemen und Grundkenntnisse über die FAT/32-, NTFS-, EXT2 / 3- Dateisystem-Operation. Grundkenntnisse über die Speicher-Verwaltung innerhalb der oben genannten Systeme sind ebenfalls sehr willkommen.
08:30 − 09:00 Präsentation der Teilnehmer
09:00 − 11:00 Einführung in forensische Wissenschaften
1. Übersicht der forensischen Wissenschaften und Verbrechensarten, die durch Computer-Beweismittel nachgewiesen werden können.
2. Arbeit mit Klienten− Unternehmen, Regierungen, Arbeitgebern.
3. Identifizierung vom Ausmaß des Falls und einleitende Schritte, die für Sicherung von Beweisen notwendig sind.
4. Vorbereitungder forensischen Vorgehensweisen, die bei der Untersuchung verwendet werden.
5. Ethischer Verhaltenskodexdes forensischen Ermittlers.
6. Vorbereitungund Sanierung von Speichermedien.
7. Ortsdokumentation, Fotografieren und Datenerhebung.
8. Rechnerarchitektur, BIOS, Datum und Uhrzeit, Speichergeräte.Startprozess von Betriebssystemen.
11:00 − 12:00 Praktischer Teil 1
Sanierung von Speichermedien. Einstellenvon Datum und Uhrzeit für forensische Instrumente. Fotografieren auf dem Ort des Vorfalls.
12:00 − 13:00 Mittagessen
13:00 − 15:00 Erhebung der forensischen Daten, Dateisysteme
1. Übersicht der Betriebssysteme (Windows 95 / 98 / NT / 2000 / XP / Vista / 7, Novell, Unix / Linux, DOS).
2. Beschaffung, Sammeln und Sicherung von magnetischen Medien.
3. Aufzeichnung der Sicherung von Medien und der Erzeugung ihrer Abbildungen („Images“).
4. Bewährte Vorgehensweisenfür die Erhebung, Sammlung und Sicherung der Daten in Umgebungen von verschiedenen Betriebssystemen und Dateisystemen.
5. Verwendete Instrumente − Hardware und Software, Schutz gegen unbefugte Veränderungen der erhobenen Daten („Write Blockers“).
6. Übersicht desFAT-Systems, seiner Struktur und Verfahren zur Datenrettung und Datenwiederherstellung.
15:30 − 16:15 Praktischer Teil 2
Sammelnvon Beweismaterial durch Kopieren und Erstellen von Spiegeleinträgen (dd, eo1, ad1 usw.)
16:15 − 17:00 Praktischer Teil 3
Anwendung der Verfahren in dem FAT-Dateisystem.
09:00 − 12:00 Dateisysteme
1. Überblick über NTFS. Struktur und Wiederherstellung von Dateien.
2. Partitionstabelle, Boot-Eintrag, Bitmaps, Hauptverzeichnis, MFT, Dateikopf, Attribute, versteckte Einträge, Daten und Uhrzeiten, Löschen von Dateien und deren Wiederherstellung, Verzeichniseinträge, „Registry Hives“, Untersuchung von NTFS-Datenträger.
3. Übersicht über die EXT2- und EXT3-Systeme. Datenstrukturund Datenrettung.
12:00 − 13:00 Mittagessen
13:00 − 13:45 Praktischer Teil 1
Anwendung der Verfahren in dem NTFS-Dateisystem.
13:45 − 16:00 Datenrettung
1. Einstellen von Datum und Uhrzeit für die Dateierstellung, den letzten Besuch, Änderungen usw. und deren Bedeutung.
2. Anti-forensischer Ansatz für Datum und Uhrzeit.
3. Ausblenden der Daten, anti-forensische Tätigkeiten, Steganographie.
4. Zugeordnete undfreigegebene Speicherkapazität.„Cutting“ von Dateien.
5. Analyse und Wiederherstellung von formatierten Medien.
16:00 − 17:00 Praktischer Teil 2
Rettung einer gelöschten Datei, „Cutting“ der Datei aus dem nicht zugeordneten Speicherraum.
09:00 − 11:15 Forensische Artefakte
1. Auslagerungsdatei („Swap“), temporäre Dateien, E-Mail, Cookies, Verlauf im Internet-Browser, Referenzen, „Spool“-Dateien, USB-Geräte.
2. Gelöschte Dateien im Papierkorb („Recycle Bin“).
3. Suche auf den digitalen Medien durch Schlüsselwörter, grep und reguläre Ausdrücke. Code-Seiten.
11:15 − 12:00 Praktischer Teil 1
Suche (grep), gelöschte Dateien, Verlauf des Internet-Browsers, „Prefetch“-Dateien
12:00 − 13:00 Mittagessen
13:00 − 15:30 Sofortige Reaktion auf einen Vorfall
1. Wie soll man bei einem Vorfall reagieren, sofortige Reaktion, Arbeit mit flüchtigen Daten (Speicher, Prozesse, Artefakte).
2. Einführung in verschiedene Instrumente und Ansätze für die sofortige Reaktion.
3. Erhebung und Sammelnvon flüchtigen Daten.
4. Speicher- und Prozesseanalyse.
5. Übersichtüber die Service-Einträgen („Logs“) von Betriebssystemen.
15:30 − 16:30 Praktischer Teil 2
Erhebung von Speicherinhalt, Analyse über ein "Live"-System, Betriebsystem-Einträge („Logs“).