Refine
Document Type
- Bachelor Thesis (52)
- Master's Thesis (4)
Keywords
- Computerforensik (56) (remove)
Institute
In dieser Bachelorarbeit werden die Artefakte im Arbeitsspeicher unter den Betriebssystemen Microsoft Windows und Linux der Web Clients der Instant-Messengerdienste WhatsApp und Telegram aus forensischer Perspektive beleuchtet. Hierfür werden die technischen Aspekte der Funktionsweise sowie von der Anwendung auf dem Gerät im Internetcache enthaltene Artefakte digital forensisch analysiert und diskutiert. Die gewonnenen Erkenntnisse sollen zukünftige forensische Untersuchungen, bei denen Instant-Messengerdienste wie WhatsApp oder Telegram eine Rolle spielen, vereinfachen und die Interpretation der gefundenen Artefakte unterstützen.
In dieser Bachelorarbeit wird der Messengerdienst WhatsApp auf Mobilgeräten mit Android-Betriebssystem aus digitalforensischer Perspektive beleuchtet. Dazu werden technische Aspekte der Funktionsweise sowie von der Anwendung auf dem Gerät gespeicherte Dateien und die enthaltenen forensischen Artefakte ebenso diskutiert wie mehrere Möglichkeiten, WhatsApp betreffende Daten zu extrahieren. Des Weiteren werden sowohl das WhatsApp-interne als auch das Android-Systemlog analysiert, um den erstellten Einträgen die zugrunde liegenden Nutzeraktivitäten zuordnen zu können. Anschließend wird ein Programm vorgestellt, das die gewonnenen Erkenntnisse nutzt, um automatisiert aus den gegebenen Logdateien Ereignisse zu extrahieren und aufzubereiten.
Die Arbeit soll für forensische Untersuchungen, bei denen WhatsApp eine Rolle spielt, sowohl die Informationen als auch ein Werkzeug bereitstellen, mit dem die Aktivitäten des Nutzers nachvollzogen und wichtige Spuren gefunden werden können.
Die Analyse von Logdateien bietet in der Mobil-Forensik die Möglichkeit herauszufinden, wann welche Aktionen am Handy stattgefunden haben. Das Thema dieser Bachelorarbeit ist die Analyse bestimmter Protokolldateien unter Android. Der Schwerpunkt liegt in der Untersuchung der Ordner usagestats, recent_images und com.whatsapp, welche auf der Datenpartition liegen. In der Zielfragestellung dieser Studie gilt es festzustellen, ob die Protokolldateien in den jeweiligen Ordnern einen Hinweis auf die letzten Aktivitäten des Nutzers geben. Da sich bisher wenige Studien genauer mit der Protokollierung dieser Logdateien auseinandergesetzt haben, werden zu diesem Zwecke verschiedene Szenarien mit einem Android-Smartphone durchgeführt, um zu verstehen, was in den jeweiligen Dateien protokolliert wird. Dazu werden dieselben Szenarien auf drei unterschiedlichen Betriebssystemversionen getestet, um mögliche Unterschiede festzustellen und wesentliche Rückschlüsse für die Forensik zu folgern. Es ist zu beobachten, dass sich einige der untersuchten Dateien zur Beantwortung der Ausgangsfrage eignen, während andere Protokolldateien eher als kritisch zu betrachten sind.
In der Arbeit werden zwei weit verbreitete Computer-Forensik-Tools verglichen und bewertet. X-Ways Forensic und Autopsy wurden als beispielhafte Vertreter der Kategorien "proprietäre Tools" sowie "freie Tools" gewählt. Es werden anhand eines Kriterienkatalogs und verschiedener Test-Szenarien die einzelnen Funktionen systematisch evaluiert.
Diese Arbeit erläutert, wie automatisiert aus den derzeit gängigen Browsern - namentlich Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox sowie Opera, die Datenbanken aus forensischen Windows-Datenträgerkopien extrahiert werden können. Dabei werden diese Browser in dem Datenträgerabbild mittels Registry-Verweisen festgestellt und anschließend ihre Datenbanken aus den gängigen Pfaden extrahiert. Daraufhin werden alle Verläufe mittels einer dynamischen Liste gefiltert. Als Ergebnis entsteht ein neues Datenträgerabbild mit den enthaltenen Datenbanken der Browser. Das Ergebnis soll den Ermittlern Zeit bei der Durchsuchung der Browserdaten sparen, indem der Verlauf bereits gefiltert vorliegt.
The objective of this Bachelor Project is the creation of a tool that should support forensic investigators during IT forensic interventions. It uses Kismet as the base program and adds functionalities to it via the plugin interface. The installation of the plugin shall be explained, how the plugin works, and a recommendation on how to use it. To understand the underlying basics, an introduction about WLAN and Bluetooth is given. The tests that were performed with the new plugin are described as well as their results. It is therefore briefly discussed why the tool is applicable for locating Wi-Fi devices, especially access points, but not Bluetooth devices. Using all this a few ideas on how to improve the tool and what can be researched in this area are provided.
Die Idee des Autors dieser Bachelorarbeit, sich mit der Entwicklung eines Tools zur Detektion falsch positiver Zeitstempel in Zeitreihen zu beschäftigen, formte sich während seiner Tätigkeit für die Abteilung IT-Forensik [int18c] der intersoft consulting services AG.
„Die intersoft consulting services AG ist spezialisiert auf Beratungsleistungen in den Bereichen Datenschutz, IT-Sicherheit und IT-Forensik [int18b].“
Gerade in dem Geschäftsumfeld der IT-Forensik ist häufig die Erstellung einer Zeitreihe nötig um eine IT-Forensische Analyse voranzutreiben. Da die intersoft consulting services AG hauptsächlich im Unternehmensfeld tätig ist, ist besonders das Analysieren von Desktoprechnern beim Verdacht der Weitergabe von firminternen Daten von Relevanz. Dabei hilft die Erstellung einer Zeitreihe, um die Vorgänge auf dem Desktoprechner nachvollziehen zu können. Dabei ist es möglich, auf manipulierte, falsch positive Zeitstempel zu stoßen, welche die forensische Analyse erschweren und verfälschen können.
Das entwickelte Tool detectFPTimetamps.py kann dabei helfen, den Prozess der Analyse durch eine Zeitreihe zu vereinfachen und zu erleichtern, indem die falsch positiven Zeitstempel detektiert werden. Das Tool ist in Python 3 geschrieben und enthält die Suite Plaso/log2timeline, TSK (R) und das Tool analyzeMFT.py.
So wird ein Tool geschaffen, welches einer ständigen Anpassung an den Stand der Technik und dann das Dateisystem benötigt.
In der vorliegenden Bachelorarbeit wird auf den Nutzen sowie aktuelle Möglichkeiten bei der IT-forensischen Analyse des Arbeitsspeichers aktueller Computersysteme mit DDR4- Speichermodulen eingegangen. Es wird sich dabei sowohl auf generelle, als auch im Zuge der DDR4-Technik eingeführte, Funktionalitäten des physischen Arbeitsspeichers bezogen. Die Auswertbarkeit des Arbeitsspeichers wird aus IT-forensischer Sicht betrachtet und damit auftretende Problematiken für die IT-Forensik evaluiert. In der vorliegenden Arbeit wird vorrangig auf Methodiken der Analyse verschiedener Windows Hibernation Files, sowie den Cold Boot Ansatz eingegangen. Bei letzterem liegt der Schwerpunkt auf der Analyse verschleierter (gescrambelter) Arbeitsspeicherinhalte, sowie einem möglichen Ansatz effektiv Scrambler-Schlüssel aus diesen zu ermitteln.
Die vorliegende Arbeit befasst sich mit der Kombination der digitalen Forensik mit dem Organisationsziel des Datenschutzes. Es wird untersucht, wie forensische Arbeiten im Rahmen der bestehenden Datenschutzgesetze anzusiedeln sind. Dafür werden die gesetzlichen Grundlagen, welche in Deutschland gelten, thematisiert sowie wird in einem praktischen Beispiel das Auskunftsrecht bei einem sozialen Netzwerk wahrgenommen und die erhaltenen Daten analysiert. Des Weiteren wird in dieser Arbeit dargestellt, welche forensischen Hilfstools und Methoden angewandt werden können, um Datenschutzverletzungen oder das datenschutzkonforme Arbeiten eines Verantwortlichen nachweisen zu können.