Refine
Document Type
- Bachelor Thesis (52)
- Master's Thesis (4)
Keywords
- Computerforensik (56) (remove)
Institute
Der Einsatz digitaler Mittel in der Tatortrekonstruktion soll in der Zukunft eine große Stütze in der Verbrechensaufklärung werden. Die Rekonstruktion des Bewegungsablaufs eines Opfers, ist als Bewegungsanalyse ein großer Teil dieses Forschungsgebietes. Um eine möglichst natürliche und anatomische korrekte Simulation der Bewegungsabläufe zu ermöglichen, werden Ragdollmodelle benötigt. Diese Arbeit befasst sich mit der Optimierung des Erstellungsprozesses und des Aufbaus dieser bereits bestehenden Ragdollmodelle, in der aktuellen forensischen Tathergangsrekonstruktion.
Im Reverse Engineering und in der Malware-Analyse wurden bereits verschiedene Ansätze zur Visualisierung von Binärdaten entwickelt. Mit diesen lässt sich schnell ein Überblick über Dateien gewinnen, sodass beispielsweise verschiedene Regionen einer Datei identifiziert oder eine bösartige Datei einer Malware-Familie zugeordnet werden kann. In der vorliegenden Masterarbeit wird versucht, diese Ansätze auch sektorweise auf einen Datenstream anzuwenden. Dafür wird ein Demonstrator erstellt, mit dem Sektoren automatisiert nach Dateitypen klassifiziert werden können. Ziel ist es, einen Ansatz zur Verbesserung der aktuellen, signaturbasierten IT-forensischen Methoden zur Wiederherstellung von fragmentierten oder gelöschten Daten zu finden.
Die vorliegende Arbeit beschäftigt sich mit der Umsetzung einer Viewer X-Tension für die Darstellung von ESE Datenbanken in X-Ways Forensics. Dazu wird vor allem der konkrete Aufbau und die Struktur einer ESE Datenbank analysiert und vorgestellt. Weiterhin werden die technischen Grundlagen der Software X-Ways Forensics und der X-Tensions-API zur Erstellung einer Erweiterung gelegt. Zudem werden die Schritte der Umsetzung aufgezeigt und die konkrete Programmimplementierung an Code-Beispielen erläutert.
Die Idee des Autors dieser Bachelorarbeit, sich mit der Entwicklung eines Tools zur Detektion falsch positiver Zeitstempel in Zeitreihen zu beschäftigen, formte sich während seiner Tätigkeit für die Abteilung IT-Forensik [int18c] der intersoft consulting services AG.
„Die intersoft consulting services AG ist spezialisiert auf Beratungsleistungen in den Bereichen Datenschutz, IT-Sicherheit und IT-Forensik [int18b].“
Gerade in dem Geschäftsumfeld der IT-Forensik ist häufig die Erstellung einer Zeitreihe nötig um eine IT-Forensische Analyse voranzutreiben. Da die intersoft consulting services AG hauptsächlich im Unternehmensfeld tätig ist, ist besonders das Analysieren von Desktoprechnern beim Verdacht der Weitergabe von firminternen Daten von Relevanz. Dabei hilft die Erstellung einer Zeitreihe, um die Vorgänge auf dem Desktoprechner nachvollziehen zu können. Dabei ist es möglich, auf manipulierte, falsch positive Zeitstempel zu stoßen, welche die forensische Analyse erschweren und verfälschen können.
Das entwickelte Tool detectFPTimetamps.py kann dabei helfen, den Prozess der Analyse durch eine Zeitreihe zu vereinfachen und zu erleichtern, indem die falsch positiven Zeitstempel detektiert werden. Das Tool ist in Python 3 geschrieben und enthält die Suite Plaso/log2timeline, TSK (R) und das Tool analyzeMFT.py.
So wird ein Tool geschaffen, welches einer ständigen Anpassung an den Stand der Technik und dann das Dateisystem benötigt.
In einer Welt, in welcher die Anzahl der mit digitalen Geräten ausgeübten Straf-taten die zuständigen Behörden zu überrollen scheint, ist es an der digitalen Forensik, neue Wege der Verbrechensbekämpfung zu beschreiten. Um eine Viel-zahl an digitalen Spuren auszuwerten, benötigt es außerdem spezialisierter Werkzeuge und Methodiken. Das in Korrelation mit dieser Arbeit entwickelte Programm verfolgt das Ziel, einen bisher manuellen Ablauf in der forensischen Software „X-Ways Forensics“ zu automatisieren und somit Aufwand und Komplexität zu reduzieren. Genauer versucht die sogenannte „X-Tension“, eine Datei vom Dateityp „.vmdk“ innerhalb eines Falles ausfindig zu machen, um diese anschließend als neues für sich stehendes Asservat auswerten zu können. Die Arbeit zeigt dabei die Arbeitsweise des Programmes sowie Chancen für die Zukunft auf.
Die vorliegende Arbeit setzt sich mit der Windows 10 Timeline auseinander. Da diese erst vor kurzem entwickelt und von Microsoft veröffentlich wurde, gibt es wenige forensische Analysen. Ziel ist es, die Windows 10 Timeline und ihre Datenbank genauer zu betrachten. Es soll unter anderem herausgefunden werden, welche Daten die Datenbank überhaupt speichert, wie diese Daten in die Tabellen gespeichert werden und wie die Tabellen in den Datenbanken miteinander arbeiten. Weiterhin soll der forensische Wert der Windows 10 Timeline erforscht werden. Demnach ist ein weiteres Ziel, die Relevanz der Windows 10 Timeline in digital forensischen Ermittlungen zu untersuchen.
Die vorliegende Arbeit betrachtet die Möglichkeiten zur Sicherung von Foto- und Videobeiträgen aus sozialen Netzwerken, um diese im Rahmen der Strafverfolgung als Beweismittel nutzbar zu machen. Vier ausgewählte Sicherungsmethoden werden in einem Sicherungsversuch angewendet und im Anschluss miteinander verglichen. Schließlich wird aus den so ermittelten positiven Eigenschaften der Methoden eine hypothetische optimale Methode formuliert, welche für eine zukünftige Anwendung implementiert werden könnte.
Diese Arbeit befasst sich mit dem Vergleich der forensischen Analyse von mobilen Endgeräten zwischen der Software Cellebrite Physical Analyzer, der Software Autopsy Digital Forensics und den Skripten aLEAPP und iLEAPP. Hierzu wurden zwei mobile Endgeräte mit den Betriebssystemen Android und iOS mit unterschiedlichen Anwendungen und Testdatensätzen versehen. Im Anschluss wurden die forensischen Datensicherungen durch die Softwareprodukte automatisiert aufbereitet. Die Ergebnisse der automatisierten Datenaufbereitungen wurden miteinander und mit den zu erwartenden Informationen verglichen. Hierbei konnte festgestellt werden, dass die Software Autopsy Digital Forensics und die Skripte aLEAPP und iLEAPP im Bereich der Aufbereitung mobiler Endgeräte, zum jetzigen Zeitpunkt, nicht die Ergebnisse der kommerziellen Software Cellebrite Physical Analyzer liefert.
Konfiguration IT-forensischer Untersuchungspläne mittels wiederverwendbarer Methodenbausteine
(2017)
Das Ziel der vorliegenden Bachelorarbeit war es, die in meinem hochschulinternen Praxisprojekt, eingereicht am 12.05.2017, generierten Bausteine zur automatischen Erstellung von IT-forensischen Untersuchungsplänen zu verbessern und weiterzuentwickeln, um so eine höhere Abdeckung von Fällen zu erreichen. Dazu wurde Literatur gesichtet und ein Interview mit Herrn Alexander Sigel, DigiTrace GmbH Köln, geführt. Das Praxisprojekt wurde ebenfalls von Herrn Sigel betreut.
In dieser Arbeit konnten erfolgreich neue Bausteine konfiguriert und bereits vorhandene Attribute von bestehenden Bausteinen sinnvoll erweitert werden. Die automatisch generierten Untersuchungspläne, ausgehend von diesen Bausteinen, können als Gedankenstütze oder Checkliste dienen und Fehler während der Untersuchung oder während der Erstellung des Untersuchungsplans minimieren. Durch die zielgerichtete Abfrage nach bestimmen Untersuchungszielen auf bestimmten zu untersuchenden IT-forensischen Geräten, Objekten, auf denen ein bestimmtes Betriebssystem installiert ist, können die ausgegebenen Untersuchungsschritte gezielt an den Untersuchungsauftrag angepasst werden.
Die Bachelorarbeit ist sowohl für Studierende als auch für selbstständige oder angestellte IT-Forensiker interessant, die im Zuge ihrer Arbeit Untersuchungspläne erstellen, um die Untersuchung systematisch zu gestalten.