Dauer

In diesem Seminar dreht sich alles um die systematische und effiziente Untersuchung von Datenträgern bei konkreter Anwendung unserer Software „X-Ways Forensics“.

Wir vermitteln ausführlich und systematisch alle für die EDV-Beweismittelsicherung und -Auswertung wichtigen Funktionen in WinHex und X-Ways Forensics, vom forensisch einwandfreie Sichern von Datenträgern (Erstellung von Image-Dateien) und Klonen über von Abgleiche mit Hash-Datenbanken, dynamische Filter, Datenrettung, Suchfunktionen, Auffinden gelöschter Partitionen u. v. a. m. bis zur Berichterstellung.

Die Schulung ist so ausgelegt, daß die Teilnehmer praktisch alle Funktionen zeitgleich mit dem Dozenten anhand von Beispiel-Images auf dem eigenen Computer selbst nachvollziehen und ausprobieren und jederzeit Fragen stellen können. Diverse Themengebieten werden mit theoretischem Hintergrund erklärt (z. B. wie .e01-Dateien intern funktionieren, wie Hash-Datenbanken aufgebaut sind, wie gelöschte Partitionen automatisch gefunden werden, mit welchen Methoden X-Ways Forensics intern gelöschte Dateien findet). Es gibt weitere praktische Übungen anhand von vorbereiteten Beispieldatenträgern, die die meisten Aspekte von forensischen Untersuchung abdecken. Mit Schulungsunterlagen für die Nachbereitung. Grundlegende Kenntnisse der Computerforensik werden vorausgesetzt. Je nach Wunsch können bestimmte Bereiche ausführlicher behandelt werden.

Die Teilnehmer lernen beispielsweise, wie man die denkbar gründlichste Übersicht über alle existierenden und gelöschten Dateien auf Datenträgern gewinnt, wie man am effizientesten nach Kinderpornographie sucht oder auch wie man manuell Dateien wiederherstellt, die von NTFS komprimiert gespeichert und dann gelöscht wurden und durch konventionelle Methoden der Datenrettung anhand von Signaturen (File Carving) nicht einmal mehr gefunden würden.

Themen u. a.:

• Grundeinstellungen in der Software treffen
• Elemente der Benutzeroberfläche kennenlernen
• Daten-Dolmetscher verstehen
• Datenträger auf Klonen vorbereiten
• Datenträger klonen/Image erstellen
• Fall erstellen, Asservate hinzufügen
• Hash-Werte berechnen und prüfen
• Galerie-Ansicht und Hautfarbenerkennung effizient nutzen
• Einsatz der Kalenderansicht
• Die Vorschauansicht nutzen
• Systematisch Laufwerksinhaltstabellen erstellen
• Hash-Sets selbst erstellen und Abgleichen mit bestehenden Hash-Sets
• Versteckte Daten entdecken in alternativen Datenströmen, Host-Protected Areas (HPA) und Dateien mit falscher Dateiendung
• Aktenvermerke/Lesezeichen anlegen
• Berichte generieren
• Arbeiten mit dem Verzeichnis-Browser
• Ausnutzen der Synchronisierung zwischen Verzeichnisbaum und Verzeichnis-Browser
• Arbeiten mit dem Zugriffsschaltermenü
• Dateien retten mit den verschiedensten Methoden
• Dateisignaturen nach Bedarf ergänzen
• Freien Speicher, Schlupfspeicher usw. extrahieren und analysieren
• Gelöschte Partitionen finden und analysieren
• Such- und Indexierungsfunktionen optimal nutzen
• effizient in den Datenstrukturen des Dateisystems navigieren
• Datenprofile anzeigen
• Decodieren von Base64, Uuencode u. ä.
• Arbeitsspeicher einsehen
• RAID-Systeme zusammensetzen
• NTFS-komprimierte Dateien manuell wiederherstellen
• Tipps & Tricks
• Optional weitere Themen wie z. B. Schablonen- und Script-Programmierung

Ziel ist es, Erkenntnisse aus den auf Datenträgern gespeicherten oder scheinbar bereits gelöschten Daten und Metadaten zu gewinnen, die für die Beantwortung einer gegebenen Fragestellung hilfreich sind, und sie mit einer Präzision zu dokumentieren, die gerichtstauglich ist.

Z. B. "Welche Dokumente wurden am 21.03.2003 abends verändert?"
"Was für Bilder wurden von wem, wie und wo versteckt?"
"Wer hat welche Internetseiten an welchem Tag abgerufen?"
"Welche Excel-Dokumente des Benutzers Meier enthalten das Wort 'Rechnung'?"

Ausführliche Einführung in die Dateisysteme FAT12, FAT16, FAT32 (1/2 Tag), NTFS (1 Tag) und Ext2/Ext3 (1/2 Tag). Indem Sie das exakte Funktionieren der Dateisysteme verstehen, können Sie selbst bei schwererwiegendem Datenverlust oder Datenbeschädigung manuell versuchen, Dateien retten, auch wenn es automatisch mit einer Software nicht mehr geht, das korrekte Funktionieren von Computerforensik-Software in einem konkreten Fall überprüfen und über die automatisch berichteten Angaben hinaus Metainformationen sammeln, die für gegebene Fragestellungen Aufschluß geben. Generell wird das Verständnis der von Computerforensik-Software präsentierten Daten, der internen Funktionsweise und der Beschränkungen von Computerforensik-Software damit verbessert.

Sofortiges eigenes Nachvollziehen aller Datenstrukturen und Zusammenhänge direkt am praktischen Beispiel mit WinHex. Durch diese Übungen bleibt das Gelernte besser im Gedächtnis haften. Ziel ist es, sich am Ende selbständig zurechtzufinden und Daten mit potentieller Relevanz für die Computerforensik identifizieren zu können. Mit Schulungsunterlagen und Dokumentationen für die Nachbereitung. Zur Teilnahme wird empfohlen, grundlegende Informatikkenntnisse (nicht nur Computerkenntnisse) bereits mitzubringen. Themen u.a.:

Allgemein:
• Prinzipien binärer Datenspeicherung
• Datentypen
• Datumsformate

FAT:
• Aufbau der FAT-Dateisysteme
• Boot Record
• Dateizuordnungstabelle (FAT)
• Verzeichniseinträge

NTFS:
• Bootsektor
• Master File Table (MFT)
• Struktur von FILE-Records
• Attribute in FILE-Records
• Data-Runs
• Datenkompression
• Attributlisten
• Organisation von Verzeichnissen in NTFS
• INDX-Datenstruktur
• Systemdateien von NTFS
• Datenkonsistenz unter NTFS
• Alternative Datenströme
• Encrypting File System (EFS: NTFS-Verschlüsselung)
• ...

Ext2/Ext3/Ext4:
• Aufbau der Ext-Dateisysteme
• Superblocks, Gruppen-Deskriptoren, Blockgruppen, Bitmap-Blocks
• Inodes
• Prinzip der Block-Adressierung
• Prinzip der Verzeichnisverwaltung
• Auswirkungen von Dateilöschungen
• Neuerungen in Ext4
• ...

HFS, HFS+, ReiserFS, Reiser4, UFS. Eine solche Schulung können wir Behörden- und Firmenkunden nach Absprache anbieten.