Was ist die Aufgabe vom Arbeitsspeicher (RAM)?
Es ist der Speicherort für aktiv verarbeitete Computerdaten
Wiso lässt sich trotz Speicherverschlüsselung und Anti-Forensik-Techniken im Speicher häufig die Wahrheit finden?
Weil Schadsoftware welche verschlüsselt auf der Festplatte liegt, normalerweise unverschlüsselt auf dem Speicher ist und umgekehrt.
Was muss ich beim Auslesen von Speicherinhalten beachten?
Spezielle Hardware nutzen welche das Betriebssystem daran hindert den Speicherinhalt zu verändern
Diese muss vor dem Start des Geräts insalliert werden.
Beim direkten Zugriff auf den Speicher sind besondere Berechtigungen nötig
Was versteht man unter paging?
Wo wird eine ausgelagerte Datei gespeichert?
Wenn der RAM eine Speicherseite aus dem physischen Speicher in die Festplatte auslagert wird dies als paging bezeichnet
page-file.sys
Benenne die beiden grundlegenden Speichertypen.
Worin unterscheiden sich diese?
Kernelspeicher und Anwenderspeicher
Der Kernelspeicher: Wird vom Betriebssystem kontrolliert und kann aus dem physischen Speicher nicht ausgelagert werden.
Der Anwenderspeicher: Kann jederzeit ein und ausgelagert werden.
Welche Datentypen speichern Datenstrukturen?
Zeichen, Zeichenfolgen und ganze Zahlen
Details wie : Prozess-IDs, Programmpfade, Eingabeparameter
Was verbindet Objekte im Speicher miteinander?
Welcher Vorteil ergibt sich dadurch?
Daten und Obekte im Speicher sind miteinander durch Datenstrukturen verbunden
Dadurch können sie sich gegenseitig finden, ohne dass das System siche jede einhzelne Speicheradresse merken muss.
Statt Speicheradressen fest abzuspeichern verweist jedes Objekt auf das nächste
Was wird genuzt um die Ordnung in den Prozessen aufrechtzuerhalten?
In folgender Abbildung wird Prozess B beendet.
Was muss nun passieren um zu B zurückzukehren?
Es wird eine verknüpfte Liste verwendet
Nach beendigung von Prozess B wird eine direkte Verbindung von Prozess A mit Prozess C hergestellt.
Ohne diese Verbindung wäre ein Rückgang zu B unmöglich.
Was versteht man unter einem Stack und unter einem Heap?
Worin unterscheiden sich beide?
Stack und Heap sind zwei verschiedene Speicherbereiche, die ein Programm nutzt, um Daten im Arbteisspeicher RAM zu speichern.
Der Stack ist schnell und automatisch verwaltet, während der Heap flexibler, aber langsamer ist und manuell verwaltet werden muss.
Beschreibe die wichtigsten Eigenschaften von einem Stack.
Stack ( Stapel Speicherbereich):
Wird beim Start eines Programms festgelegt.
Speichert lokale Variablen, Funktionsaufrufe und Rücksprungadressen.
Organisiert sich in Stack Frames – jedes Frame gehört zu einer bestimmten Funktion.
Wird automatisch verwaltet und wächst oder schrumpft dynamisch mit den Funktionsaufrufen.
Beschreibe die wichtigsten Eigenschaften von einem Heap
Heap (Dynamischer Speicherbereich)
Wird vom Speichermanager des Betriebssystems verwaltet.
Speichert Daten, die während der Laufzeit dynamisch zugewiesen werden (z. B. mit malloc() in C oder new in C++/Java).
malloc()
new
Die Speicherzuweisung erfolgt nicht in einer festen Reihenfolge (nicht-sequenziell).
Der Programmierer muss diesen Speicher oft manuell freigeben (free() in C oder delete in C++).
free()
delete
Welche Informationen lassen sich aus dem Arbeitsspeicher ablesen?
Aktive Prozesse
Anzeichen für Vorhandensein von Schadsoftware
Hinweise auf Peer-to-Peer-Filesharing
Überwachung von unrechtmäßigen Fotoaustausch in verbindung mit anderen Computern
Bei der Nutzung von Cloud-Diensten können die Daten ausschließlich im RAM vorhanden sein.
Was sind die Aufgaben des Arbeisspeichers?
Dient als Zentrale für die Aktivitäten innerhalb eines Computersystems
Verarbeitet alle Maus, Tastaturinteraktionen, die Zwischenablage
Speichert die gerade verwendeten Programme und Daten vorübergehend
Sorgt für schnelle Lese und Schreibvorgänge
Für welche Dinge wird der Speicher bei einer Forensischen Analyse untersucht?
Zeitstempel von Prozessen
Kennwörter
Verschlüssleungsschlüssel
IP-Adressen
Internetverlauf
Chat-Protokolle
E-Mails
Spuren von Schadsoftware
Welche alternativen Arbeitsspeicherquellen kann man nutzen wenn kein Zugriff auf das Live-system möglich ist?
Hibernation file: Ein Prozess, bei dem ein Computer heruntergefahren wird, ohne seinen Zustand zu löschen
Pagefile: Daten im Arbeitsspeicher können in und aus einer virtuellen Speicherdatei auf dem physischen Speicher ausgelagert werden.
Swapfilea: Ahnlich wie Pagefile können Windows-Anwendungen ausgelagert werden.
Crash-Dump: Windows erstellt eine Datei die den Zusatand des Systems zum Zeitpunkt des Absturzes speichert.
Was bedeutet die Abkürzung BSoD?
Blue screen of death
Das Erfassen des Arbeitsspeichers birgt nicht nur Nutzen sondern auch Risiken. Die da wären?
Die Anwendung, die zur Erfassung der Daten im Speicher verwendet wird, kann einige Speicherinhalte überschreiben
Bei größeren Tools und zugehörigen Dateien ist die Wahrscheinlichkeit größer, dass sie Daten überschreiben
Das System kann den USB-Gerätetreiber in den Speicher und die Registrierung laden
Die für die Datenerfassung verwendete Anwendung kann in den Einträgen zu den zuletzt verwendeten Elemente
MRU (Most Recently Used) erscheinen
Welche drei Komponenten sind erforderlich um den Arbeitsspeicher effektiv abzubilden?
Ein Gerät zu Erfassung
Zugang zum System
Systemadministratorrechte
Benenne 5 Tools zu Arbeitsspeichererfassung
Dumplt: Schnell, unkompliziert bei minimalen Speicherbedarf
FTK Imager: Besitzt GUI, benötigt relativ viel Arbeitsspeicher.
Bulk Extractor: Extrahiert die Informationen die das Programm für nützlich hält.
Volatility: Kostenlos und Quelloffen zur Analyse von Schadsoftware. Unterstützt Speicherauszüge.
VOLIXII: Grafische Benutzeroberfläche, Aufgaben werden ohne eine Befehlszeilenschnittstelle ausgeführt und nur mit der Maus genutzt
Was unterscheidet die Arbeitsspeicheranalyse von der Festplattennalayse?
Die Festplattenanalyse ist statisch:
Bei der Inspektion wird das Gerät ausgeschaltet und die Informationen werden direkt vom Speichermedium gelesen.
Die RAM-Dump ist eine Momentaufnahme eines aktiven, funktionierenden Systems:
Da der Arbeitsspeicher flüchtig ist können Beweise verloren gehen.
Wieso ist das Betriebssystem bei der Durchführung forensischer Analysen wichtig? Für welche Bereiche ist das Betriebssystem zuständig?
Das Betriebssystem ist zuständig für:
Speicher und Dateiverwaltung
Benutzerverwaltung
Protokollierung
Wenn der Einschaltknopf gedrückt und das System mit Strom versorgt wird, beginnt der Bootvorgang und es werden Befehle ausgegeben.
Beschreibe den Selbsttest welcher dabei durchgeführt wird ( POST, Power-On Self-Test)
Zuerst greift der Prozesser (CPU) auf das ROM und das BIOS zu
Dabei werden alles Hardware Komponenten auf Funktionsfähigkeit überprüft
Das BIOS wird ausgeführt wenn der POST-Test erfolgreich gewesen ist.
Welche wesentlichen Systemdaten enthält das BIOS?
Was ist die einfachste Methode um diese Daten aufzuzeichnen?
Größe des Arbeitsspeichers
Den CPU-Typ
Datum und Uhrzeit des Systems
Die einfachste Methode die Daten aufzuzeichnen ist diese zu fotografieren.
Im Jahr 2010 löste das UEFI das BIOS ab.
Was bedeutet UEFI?
Welche Verbesserungen brachte es mit sich?
United Extensible Firmware Interface
Verbesserung der Sicherheit
Beschleunigung des Starts
Ustg von Laufwerken größer als 2 TB
64-Bit-Gerätetreiber
GUID-Partitionstabelle(GBT)
Was ist Secure Boot?
Secure Boot ist eine Sicherheitsfunktion, die sicherstellt, dass nur authentifizierte Betriebssysteme während des Systemstarts geladen werden.
Dies kann zu Problemen führen, wenn man ein anderes Boot-Gerät (z. B. eine Linux-Live-USB oder eine ältere Windows-Version) verwenden möchte.
Wie funktioniert das Booten mit BIOS (MBR)?
BIOS (Basic Input/Output System) ist die klassische Firmware älterer Systeme.
Beim Booten sucht das BIOS nach dem Master Boot Record (MBR) des Startgeräts (Festplatte, USB, CD etc.).
Der MBR liegt im ersten Sektor (Sektor Null) der Festplatte und enthält:
Informationen über die Partitionen und das Dateisystem.
Den Bootloader-Code, der das Betriebssystem lädt.
Sobald der MBR gefunden wurde, übergibt der Bootloader die Kontrolle an das Betriebssystem, das den Startvorgang abschließt.
Wie funktioniert das Booten mit UEFI (GPT)?
UEFI (Unified Extensible Firmware Interface) ist der moderne Nachfolger des BIOS.
UEFI verwendet statt MBR die GUID Partition Table (GPT).
Die GPT enthält:
Einen schützenden MBR, damit alte Systeme die Platte nicht versehentlich überschreiben.
Partitionseinträge mit Informationen über die Aufteilung der Festplatte.
Eine Sicherung der Partitionstabelle für höhere Datensicherheit.
UEFI-Systeme können bis zu 128 Betriebssystempartitionen enthalten.
Nach der Identifikation der Boot-Partition startet das Betriebssystem, ähnlich wie bei BIOS.
Was ist eine Forensische Image-Erstellung?
Wo wird sie genutzt?
Es ist eine bitgenaue Kopie einer Festplatte oder eines Speichergeräts
Sie wird in der digitalen Forensik genutzt, um Beweise zu sichern, ohne die Originaldaten zu verändern.
Welche Bootmediem gibt es für die Forenski?
Da das Betriebssystem auf der Festplatte nicht verändert werden darf, verwendet man bootfähige Medien wie:
CD/DVDs (funktionieren noch, aber nicht mehr weit verbreitet).
USB-Sticks (praktischer, da viele PCs keine optischen Laufwerke mehr haben).
Welche Forensischen Live-Systeme und Tools gibt es?
🐧 Linux-basierte Lösungen:
Live-Linux-Distributionen sind speziell für forensische Untersuchungen entwickelt worden.
Paladin ist ein solches Tool, das kostenlos heruntergeladen oder als vorinstallierter USB-Stick erworben werden kann.
🖥 Windows-basierte Lösungen:
WinFE (Windows Forensic Environment) ist eine spezielle Windows-Version, die forensische Werkzeuge unterstützt.
Es kann Programme wie X-Ways Forensics und FTK Imager ausführen, um Daten zu analysieren.
Bootfähige USB-Geräte können für den Prüfer verschiedene Probleme mit sich bringen.
Bennene fünf!
Ändern der BIOS-Boot-Reihenfolge, um von einem Gerät statt von der internen Festplatte zu booten.
Manche Computer können nicht rechtzeitig in das BIOS booten.
Einige veraltete Computer können nicht über USB booten.
Sie müssen wissen, welche Dateisysteme für bootfähige Geräte schreibgeschützt sind.
UEFI-Verwaltung für sicheres Booten
Was benötige ich um einen bootfähigen Datenträger zu erstellen, welchen ich für den forensichen Imaging-Vorgang verwenden möchte?
Ein USB-Gerät
Eine ISO-Datei des Betriebssystems, welches im USB-Laufwerk gespeichert ist.
Was versteht man unter einem physischem Speichergerät?
Welche Begriffe verwendet man um die Strukutr eines Speichermediums zu beschreiben?
Man versteht entweder:
eine rotierende Festplatte oder
einen Festspeicher
Bei der Struktur des physischen Speichermediums werden Begriffe wie:
logisches Gerät
Volume
Partition
verwendet.
Was die Laufwerksgeometrie eines Plattenlaufwerks?
Es bestimmt die Anzahl der:
Köpfe
Spuren
Zylinder und
Sektoren por Spur
Wie groß ist die Standartgröße eines Speichersektors?
4096 Byte bei modernen Festplatten
Solid-State-Drives (SSDs) sind nicht bewegliche Speichergeräte.
Woraus bestehen diese und was ermöglichen sie?
Sie bestehen aus Speicherchips und ermögliche:
Ein geringesres Gewicht
Höhere Verlässlichkeit
Schnellerer Datenzugriff
Geringerer Energieverbrauch
Die SSD-Firmware steuert zahlreiche Vrogänge für einen zuverlässigen Betrieb.
Benenne die drei Funktionen.
Diese Funktionen sind:
Verschleißausgleich
Trim-Befehl
Freispeichersammlung
Was ist die Aufgabe vom Verschleißausgleich?
Dieser verteilt die Schreibvorgänge auf die Chips, um sie gleichmäßig zu nutzen.
Was ist die Aufgabe vom Trim-Befehl?
Der Trim-Befehl löscht nicht zugewiesenen Speicherplatz auf dem Gerät.
Was ist die Aufgabe von der Freispeichersammlung
Die Freispeichersammlung überprüft Speichermodule und findet möglicherweise gelöschte Datenblockseiten
Wie wird der erste Sektor einer Festplatte oder eines anderen Massenspeichergeräts genannt?
Dieser wird als Master Boot Record oder Partitionssektor bezeichnet
Benenne die zwei wesentlichen Elemente welche der erste Sektor einer Festplatte (MBR) entählt.
Er enthält eine Tabelle, in der alle Partitionen der Festplatte aufgeführt sind.
Code zum Laden des Bootsektors-Datensatzes vom Betriebssystem in den Arbeitsspeicher
Welche notwendigen Anweisungen werden im Bootsektor eines Speichergeräts gespeichert?
Die notwendigen Anweisungen zum Starten des Geräts.
Was bedeutet Bootstrapping?
Dies ist eine Methode, mit der ein kleines Programm ein installiertes Betriebssystem auf einem Computer initialisiert.
Welche Informationen enthält die MBR-Datei?
Sie enthält Informationen über Dateien auf der Festplatte:
Den Speicherort
und die Größe
Wie viele primäre Partitionen erlaubt die MBR-Partitionierung?
Wozu ist eine primäre-Partition erforderlich?
Im welchen Sektor befindet sich der MBR?
Sie erlaubt vier primäre Partitionen:
Auf der ersten kann Window hosten und auf der zweiten Linux
Die primäre Partition ist erforderlich um ein Betriebssystem zu starten
Der MBR befindet sich in Sektor Null
Wozu werden Dateiensysteme verwendet?
Sie werden zur Organisation und Speicherung von Informationen auf einer vielzahl von Datenspeichermedien verwendet
Die meisten Festplatten haben viele Partitionen mit Dateisystemen. Partitionen können Hunderttausende bis Millionen von Dateien enthalten. Das Dateisystem verfolgt die Dateispeicherorte und den Partitionsplatz.
Was verwendet das Dateiensystem um Daten zu speichern?
Es verwendet Cluster um Daten zu speichern:
Ein Cluster ist die kleinste beschreibbare Zuordnungseinheit.
Welches sind die wichtigsten Windows und DOS-Dateiensysteme?
FAT: Ist das ursprüngliche Dateisystem
FAT12: ist speziell für Disketten konzipiert
FAT16: Benötigt wenig Speicherplatz
FAT32: Kann Partitionen dynamisch verändern
NTFS-Dateisystem: Bietet mehr Sicherheit
Kann wiederherstellung schnell ausführen
In Linux wird das Dateisystem als eine einzelne Einheit innerhalb einer hierarchischen Baumstruktur dargestellt.
Benenne mir drei Linux-Dateisysteme.
Extendet File System (ext):
Second Extended File System (ext2): Löst ext 1993 ab.
Third Extended File System (ext3): Ist eine Variante des ext2 Systems mit journal Funktion
Apple Computer entwickelte das Hierarchical File System (HFS) als Dateisystem für Mac OS.
Wie partitioniert HFS ein Volume?
Aus welchen fünf Elementen setzt sich ein HFS-Datenvolume zusammen?
Das HFS partitioniert ein Volume in 512-Byte-Segmente.
Die fünf Elemente:
Logische Blöcke 0 und 1
Logischer Block 2: Der Master Directory Block(MDB)
Logischer Block 3
Die Extent- Überlaufdatei
Die Katalogdatei
Die keleinste Speichereinheiten sind?
Warum entsprechen die derzeitigen Methoden der digitalen Forensik und der Ermittlungsrahem nicht den Standards der Spitzentechnoligie?
Weil die Computertechnologie immer weiter fotschreitet, während die forensische Technologie hinterherzuhincken scheint.m
Was ermöglicht Cloud Computing?
Die gemeinsame Nutzung
Den Austausch
und die Verarbeitung von Daten über eine große Infrastruktur und ein Netzwerk
Benenne die drei wesentlichen Aspekte welche benötigt werden um digitale forensische Ermittlungen in einer Cloud Umgebung vorzubereiten.
Technischer Umfang
Rechtlicher Umfang
Organisatorischer Umfang
Worauf kommt es bei dem Technischen Umfang an?
Datenerfassung
Präventivmaßnahmen
Managementsupport
Schulungen
Worauf kommt es bei dem Rechtlichen Umfang an?
Schutz der Privatsphäre gewährleisten
lokale Vorschriften einhalten
Rechtsnormen einhalten
Worauf kommt es bei dem organisatorischen Umfang an?
Anbieter und Benutzer von Cloud-Diensten sind ein und die selbe Organisation
Die Suche nach den Speicherorten der Daten ist der erste Schritt im Prozess der Datenerfassung. Dies bezieht sich unter anderem auf das Auffinden von lokalen oder
Netzwerk-Benutzerkonten,
bestimmten Festplatten,
Partitionen, Volumes,
USB-Speicherschlüsseln, externen Speichermedien
und Speichersegmenten in der herkömmlichen digitalen Forensik.
Benenne die einzelnen Bereich von Cloud-Speichern welche in der Cloudforensik identifiziert werden müssen.
Cloud-Speicherdienstanbieter
Cloud-Benutzerkonten
Cloud-Laufwerke
gemeinsam genutzte Daten
Was muss in einer einzigen Phase kombiniert werden um potenzielle Beweismittel in der instabilen Cloud-Computing-Umgebung wirksam zu sichern?
Identifikation und Sicherung
Welche beiden Bereiche umfasst die Identifizierungsphase?
Was ist das Ziel der Identifizierungsphas=?
Die physische Lokalisierung und
Die technische Lokalisierung
des Cloud-Speicherdienstes
Ziel ist es den Anbieter zu ermitteln
Warum ist es oft für Ermittler und Forensiker in Cloud Umgebungen schwieriger eine Forensische Ermittlung durchzuführen?
Weil Cloud-Technologien es Verdächtigen ermöglichen Daten sicher und in Echtzeit zu löschen
Ermittler müssen gleichzeitig Rechtshilfe und Gerichtsbarkeiten einholen
In wie fern kann ein Anbieter von Cloud-Speichern Strafverfolgungsbehörden bei den Ermittlungen unterstützen?
Sie können ein Sicherungsverfahren für den Benutzer aktivieren
z.B. eine Prozesssperre:
Dadurch werden die Cloud-Instanzen schreibgeschützt
Datensicherung wird durchgeführt: Kopie des gespeicherten Datenzustandes
Die Erstuntersuchung muss in der Cloud erfolgen. Digitale Ermittler:innen müssen die technischen Feinheiten von Cloud-Diensten verstehen, einschließlich der üblicherweise verwendeten Cloud-Geräte, Plattformen, Software, Konfigurationen und Zugriffskontrollen der Anbieter.
Benenne 4 weitere relevante Informationskategorien.
Infrastruktur & Ausrüstung
Virtuelle Umgebungen
Anwendungen & Dienste
Eindringlingsdaten & Zugriffsprotokolle
Welche Bereiche können in Form einer Zeitleiste bei der Analyse der Abfolge der Ereignisse helfen?
Die Zusammenfürung der Daten von
Festplatte
Netzwerkerfassung
Arbeitsspeicher
Cloud-Speicherkonto
Die Cloudforensik wurde in verschiedene Instrumente der digitalen Forensik integriert.
Benenne drei Tool welche Forensiker bei Ermittlungen innerhalb einer Cloud hilfreich sein können.
EnCase
AccesDate Forensic Toolkit (FTK)
Internet Evicence Finer (IEF)
Was ist eine Forensic Triage?
Was muss man in dieser bei einer Cloud-Ermittlung beachten?
Die Triage ist eine teilweise forensische Untersuchung, die unter Zeit- und Ressourcenbeschränkungen durchgeführt wird.
Die forensische Triage findet außerhalb des Labors statt, weil sie schnell vor Ort in der Cloud-Umgebung erfolgen muss – bevor Daten verloren gehen oder sich ändern. Das Labor ist dann der nächste Schritt für die tiefergehende Analyse.
Durch Forensics as a Service (FaaS) werden einfache forensische Untersuchungen einfacher als Hochleistungsrechnen.
Was umfasst die Durchsuchung durch FaaS?
Die Durchsicht von Protokollen
Kofigurationsdaten
und gelöschte Dateien
Welcher Schritt des Prozesses der Cloudforensik beinhaltet die physische und technische Lokalisierung des Cloud-Speicherdienstes, um dessen Anbieter anhand der Domäne oder IP-Adresse zu ermitteln?
Zuletzt geändertvor 23 Tagen
