Marko Rogge: Kleiner Forensik-Leitfaden

Heute ein kleiner Tipp in Sachen Sicherheit und Aufbereitung eines Hacks/Datenklaus. Marko Rogge hat einen kleinen Forensik-Leitfaden mit Hinweisen zum Finden von gesendeten, kopierten und gelöschten Daten erstellt. Das Ganze bezieht sich auf eine Windows-Umgebung und der Leitfaden ist als Waschzettel zu verstehen, was man tun kann und beachten sollte.


Anzeige

Ich bin vor einiger Zeit über eine Folge von Tweets auf den Forensik-Leitfaden aufmerksam geworden und dachte: Stelle es mal kurz im Blog zur Information ein. Vielleicht kann das jemand brauchen. Hier ein kleiner Auszug der Tweets.

Marco Runge: Kleiner Forensik-Leitfaden

Wer sich für das Ganze interessiert, der Forensik Guide – Digitale Ermittlungen – "Finden von kopierten, gesendeten und gelöschten Daten" ist auf Google-Doc in Deutsch abrufbar. Hier das Inhaltsverzeichnis des Guides zur Übersicht.

Inhaltsverzeichnis

1 Einleitung, Allgemeine Hinweise zur Vorgehensweise 4

2 Zeitstempel und deren Bedeutung 5

3 Relevante Registry Hives zur Auswertung 5

4 Vorgehensweise mit EnCase um Hives zu betrachten 6


Anzeige

4.1 Export der Registry Hives 8

5 Angeschlossene USB-Devices und Storages 10

5.1 Identifizieren von USB Devices 10

5.2 Identifizieren von eingebundenen Storage 13

5.3 Welche Devices wurden gemountet 14

5.4 Eingebundene Laufwerke und Devices 15

6 JumpLists überprüfen – Windows 7 und Windows 8 15

7 E-Mail Anhänge über Outlook versendet 17

8 CD- oder DVD-Brenner 18

8.1 Hinweis zu CD´s oder DVD´s: 19

9 Windows Event Logs 19

10 ShellBags 20

11 Eingegebene URL´s und Downloads 23

12 Browser Artefakte 24

12.1 Browser Forensic Tool 24

12.2 Internet Explorer 25

12.3 Mozilla Firefox 25

12.4 Google Chrome 25

13 Letzte Zugriffe 26

14 E-Mail Applikation Windows 10 27

15 Cloud-Dienste 27

15.1 Dropbox 27

15.2 Google Drive 28

15.3 Microsoft SkyDrive 28

16 Zuletzt geöffnete Programme 29

17 Mobile Devices 30

18 Ergänzungen 31

18.1 Hinweise im RAM 31

18.2 Live-Response: Undelete360 31

18.3 Filesignaturen 31

19 Ermittlungsansatz Timeline 32

20 Besonderheiten beim Schreiben von Daten auf USB Devices 33

20.1 Einleitung 33

20.2 Beispielszenario 33

20.3 Ergebnisse 34

Zuletzt geöffnete Programme 29

17 Mobile Devices 30

18 Ergänzungen 31

18.1 Hinweise im RAM 31

18.2 Live-Response: Undelete360 31

18.3 Filesignaturen 31

19 Ermittlungsansatz Timeline 32

20 Besonderheiten beim Schreiben von Daten auf USB Devices 33

20.1 Einleitung 33

20.2 Beispielszenario 33

20.3 Ergebnisse

Marko erwähnt am Anfang die Tools von Nirsoft, mit denen sich Daten aus Windows herausziehen lassen. Forensik heißt aber auch, dass ein untersuchtes System möglicherweise kompromittiert ist. Daher stelle ich einfach mal meinen Artikel Die Nirsoft-Tools und die DLL-Hijacking-Schwachstellen zur Lektüre hier ein.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Marko Rogge: Kleiner Forensik-Leitfaden

  1. Bernard sagt:

    Vielen herzlichen Dank!

    Die Tweets gibt es nicht mehr.

    @mobilef0rensics

    "This account doesn't exist"

  2. Marko Rogge sagt:

    Mein Handle hat sich geändert: https://twitter.com/marko_rogge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.