Alle Artikel mit dem Schlagwort: Forensik

KOL009 Computer-Forensik

Die klassische Forensik ist bei der Polizei schon lange auf die digitale Welt ausgedehnt worden. Damit ändern sich auch die Anforderungen und das Feld der digitalen Forensik ist eine ganz eigene Disziplin geworden, die eine besondere Ausbildung voraussetzt. Digitale Forensik spielt natürlich auch in der freien Wirtschaft eine große Rolle, um Schäden zu analysieren, die durch Angriffe verursacht wurden. Victor Völzow und Lorenz Kuhlee haben ihr Wissen aus der Polizeiarbeit und -ausbildung über das Thema im Buch “Computer-Forensik Hacks” zusammengetragen, das jetzt bei O’Reilly erschienen ist. Im Gespräch mit Tim Pritlove stellen die beiden Autoren das Thema vor und berichten von ihren Erfahrungen und welche Lehren man daraus auch für die eigene Datensicherheit ziehen kann. Themen: Vorstellung der Autoren und des Themas; Datensicherungsmaßnahmen; Live-Forensik; Analysetechniken; Beweissicherung; Analyse von Betriebssystemen; Analyse von Anwendungen; Datenwiederherstellung; Forensik und der Mac; Virtualisierung; Zusammenarbeit mit O’Reilly. Links: Buchseite Computer-Forensik Hacks Autorenblog / Linksammlung Forensikhacks.de IT-Forensik Penetrationstest Buffer Overflow SQL-Injection Trojanisches Pferd Citizen Kane Random-Access Memory (RAM) Dateisystem NTFS The Sleuth Kit log2timeline Forensic Focus metasploit SQLite Pinguin’s HQ OpenGates Filesystem …

Auszug aus Computer-Forensik Hacks – Teil 3

100 Tricks und Tools moderner Computerforensik – und alles Open Source! Unser Computerforensik-Buch zeigt in detailliert beschriebenen Hacks die State-of-the-Art-Ansätze der modernen Computerforensik – von der Sicherung und Wiederherstellung von Daten und Spuren bis zur Diagnose typischer Angriffszenarien. Drei Hacks veröffentlichen wir hier im oreillyblog – nach Hack #3 und Hack #47  folgt nun Hack #72.  Kleine Vorbemerkung: Um diesen Hack zu verstehen, sollten Sie die wichtigsten Grundlagen von SQLite-Abfragen kennen. Im Buch wird dies in vorangestellten Hacks erklärt.  Analysieren der Chrome-History “Jetzt wird es metallisch” Wir fangen bei der Untersuchung des Browsers Chrome mit der Internet-History an, denn sie ist diejenige Spur, die Ihnen bei einer Datenträgerauswertung die besten Rückschlüsse auf das Surfverhalten eines Benutzers geben kann. Die History von Chrome finden Sie unter folgenden Pfaden: Windows XP: C:\Dokumente und Einstellungen\<Benutzername>\Anwendungsdaten\Google\Chrome\User Data\Default\ Windows Vista / 7: C:\Users\<Benutzername>\AppData\Local\Google\Chrome\User Data\Default\ Linux (Ubuntu): /home/<Benutzername>/.config/google-chrome/Default/ Mac OS X: /Users/<Benutzername>/Library/Ap plication Support/Google/Chrome/ Default/  An diesen Orten liegen neben der History auch die meisten anderen Benutzerspuren von  Chrome in SQLite-Datenbanken. Wie Sie sicherlich schon vermutet haben, befinden sich die Surfspuren in der Datei History. Laden Sie diese …

Auszug aus Computer-Forensik Hacks – Teil 2

100 Tricks und Tools moderner Computerforensik – und alles Open Source! Unser Computerforensik-Buch zeigt in detailliert beschriebenen Hacks die State-of-the-Art-Ansätze der modernen Computerforensik – von der Sicherung und Wiederherstellung von Daten und Spuren bis zur Diagnose typischer Angriffszenarien. Drei Hacks veröffentlichen wir hier im oreillyblog – nach Hack #3  folgt nun Hack #47: Die Registry-Top 10 “Zentral gespeichert” Mindestens genauso interessant wie die Dateien und Ordner im Dateisystem ist auf Windows-Systemen die Registry. Die Registry ist die zentrale Datenbank, in der das Windows-Betriebssystem und auch die meisten gängigen Anwendungen ihre Einstellungen speichern. Jedes Programm, das einmal auf dem Rechner installiert war, hinterlässt hier seine Spuren, denn nur die wenigsten Anwendungen löschen bei der Deinstallation ihre hinterlegten Informationen aus der Registry.   Die Registry ist hierarchisch strukturiert und besteht aus fünf Hauptschlüsseln (auch Wurzelschlüssel genannt): HKEY_CLASSES_ROOT (HKCR) HKEY_LOCAL_MA CHINE (HKLM) HKEY_USERS (HKU) [ HKEY_CURRENT_USER (HKCU) ] [ HKEY_CURRENT_CONFIG (HKCC) ] Die letzten beiden CURRENT-Schlüssel sind streng genommen keine eigenständigen Schlüssel, sondern lediglich Verweise, die während der Laufzeit des Systems gebildet werden. So verweist HKCU auf den entsprechenden Unterschlüssel von HKU, und HKCC verweist …