Fortgeschrittene forensische Informatik - Cheatsheet

Methoden der Datenakquise und Image-Erstellung

Definition:

Methoden zur Sammlung von Daten von digitalen Geräten und zur Erstellung exakter Kopien (Images) für forensische Untersuchungen

Details:

• Datenakquise: Der Prozess, Daten zu sammeln, ohne ihre Integrität zu verändern
• Image-Erstellung: Erzeugung einer bitgenauen Kopie eines Datenträgers
• Schreibblocker: Verhindern Schreibzugriffe während der Akquise
• Live-Akquise: Datenakquise von laufenden Systemen
• Dead-Akquise: Datenakquise von ausgeschalteten Systemen
• Hashing: Verwendung von Algorithmen wie MD5/SHA-1 zur Verifizierung der Integrität von Images
• Tools: Beliebte Tools beinhalten FTK Imager, EnCase und dd

Verifizierung und Validierung von digitalen Beweisen

Definition:

Verifizierung: Überprüfung, ob digitale Beweise korrekt und unverändert sind. Validierung: Sicherstellen, dass digitale Beweise für den vorgesehenen Zweck geeignet sind.

Details:

• Verifizierung: Nutzung kryptografischer Hashes (\texttt{z.B. SHA-256}) zur Integritätsprüfung.
• Validierung: Beweisstruktur und -inhalt analysieren, Kontext und Anwendbarkeit sicherstellen.
• Tools: Forensische Software (z.B. EnCase, FTK)
• Protokolle: Chain of Custody zur lückenlosen Dokumentation
• Rechtliche Aspekte: Einhaltung von Standards und gesetzlichen Vorschriften

Techniken zur Analyse von Cyberangriffen

Definition:

Methoden und Strategien zur Untersuchung und Identifikation von Cyberangriffen, um die Ursache, den Umfang und die Auswirkungen zu bestimmen.

Details:

• Logfile-Analyse: Untersuchung von System- und Applikationsprotokollen zur Identifikation verdächtiger Aktivitäten.
• Netzwerkverkehrsanalyse: Überwachung und Analyse des Datenverkehrs zur Erkennung anomaler Muster oder verdächtiger Verbindungen.
• Dateisystemanalyse: Überprüfung von Dateien und Dateisystemen auf Anzeichen von Manipulation oder schädlichem Code.
• Mustererkennung: Einsatz von Algorithmen und maschinellem Lernen zur Erkennung bekannter Angriffsvektoren.
• Speicheranalyse: Auswertung des Arbeitsspeichers eines Systems zur Identifizierung von Malware oder verdächtigen Prozessen.
• Reverse Engineering: Rückführung von Schadsoftware in ihren Quellcode, um ihr Verhalten zu verstehen.
• Forensische Bildanalyse: Nutzung von Snapshots oder Bildern eines kompromittierten Systems zur genauen Untersuchung ohne weitere Systemänderungen.
• Signaturbasierte Erkennung: Verwendung von bekannten Signaturen und Mustern zur Identifizierung bekannter Malware.
• Anomaliebasierte Erkennung: Identifikation von Abweichungen vom normalen Verhalten als Hinweis auf einen möglichen Angriff.

Spurensicherung in virtuellen Umgebungen

Definition:

Spurensicherung in virtuellen Umgebungen bezieht sich auf die Sammlung und Analyse digitaler Beweismittel in einer virtuellen Infrastruktur, z.B. in virtuellen Maschinen oder Cloud-Diensten.

Details:

• Verwendung spezialisierter Tools zur Erstellung forensischer Snapshots und Datenträgerabbilder.
• Erheben von Speicherabbildern zur Analyse flüchtiger Daten.
• Analyse von Metadaten zur Rückverfolgung von Änderungen und Aktivitäten.
• Wichtigkeit von Integrität und Beweissicherungsmaßnahen bei Sicherung und Analyse der Daten (z.B. Hash-Werte).
• Sicherung von Logs und Ereignisprotokollen zur Nachverfolgung von Systemaktivitäten.

Datenrekonstruktion und -wiederherstellung

Definition:

Wiederherstellung von gelöschten/abhandengekommenen Daten mithilfe forensischer Methoden und Tools.

Details:

• Verwendung von Tools wie EnCase, FTK, und Autopsy.
• Datenfragmente und Metadaten analysieren zur Rekonstruktion.
• Erkennung und Umgehung von Datenverbergungstechniken: z.B. Steganographie, Verschlüsselung.
• Dateisystem-Analyse zur Wiederherstellung von Dateistrukturen.
• Nutzung von \texttt{dd}, \texttt{grep} und anderen CLI-Tools für Datenextraktion.
• Anwendung von Low-Level-Disk-Analyse zur Rohdatenwiederherstellung.
• Datenintegrität und Originalität sichern zur Vermeidung von Manipulationen.

Reverse Engineering von Schadsoftware

Definition:

Analyse und Rekonstruktion von Schadsoftware, um deren Funktion und Verhalten zu verstehen.

Details:

• Ziel: Erkennen und Neutralisieren von Malware-Bedrohungen.
• Statische Analyse: Untersuchung des Codes ohne Ausführung.
• Dynamische Analyse: Überwachung der Schadsoftware während der Ausführung.
• Tools: Disassembler (z.B. IDA Pro), Debugger (z.B. OllyDbg), Sandboxes.
• Techniken: Signaturanalyse, Verhaltenserkennung, Entschlüsselung verschlüsselten Codes.
• Fähigkeiten: Programmierkenntnisse, Verständnis von Betriebssystemen, Netzwerkprotokollen.

Dynamische und statische Analysetechniken

Definition:

Techniken zur Analyse und Prüfung von Software auf Fehleranteile und Sicherheitslücken, entweder durch Ausführen des Codes oder durch Untersuchung des Quellcodes bzw. der Binärdateien ohne Ausführung.

Details:

• Dynamische Analyse: Untersuchung des Verhaltens eines Programms während der Ausführung.
• • Ermöglicht Erkennung von Laufzeitfehlern.
  • Nützlich für Performance-Analyse und Debugging.
  • Beispiele: Debugging, Fuzzing, Profiler.
• Statische Analyse: Prüfung des Quellcodes oder der Binärdateien ohne diesen auszuführen.
• • Früherkennung von Fehlern und Sicherheitsproblemen.
  • Automatisierbar durch Werkzeuge.
  • Beispiele: Linters, Abstract Syntax Trees (AST), Data Flow Analysis.
• Kombination beider Ansätze führt zu umfassenderer Fehlererkennung und erhöhter Software-Sicherheit.

Chain of Custody in der digitalen Beweissicherung

Definition:

Nachweis der lückenlosen und unveränderten Verwahrung und Dokumentation von digitalen Beweismitteln von der Erhebung bis zur Präsentation vor Gericht.

Details:

• Protokollierung aller Zugriffe und Handlungen
• Sicherstellung der Integrität der Beweismittel durch Hash-Werte (\text{MD5}, \text{SHA-1})
• Transport mit geeigneten Maßnahmen zur Sicherung vor Manipulation
• Nennung aller Beteiligten und ihrer Rolle
• Dokumentation der gesamten Beweiskette (\text{Chain of Custody})