Refine
Document Type
- Bachelor Thesis (52)
- Master's Thesis (4)
Keywords
- Computerforensik (56) (remove)
Institute
Die Auswertung von Kurznachrichten, die auf mobilen Endgeräten gespeichert sind, nimmt bei strafrechtlichen Ermittlungen immer mehr an Bedeutung zu. Häufig sind Ermittler hierbei mit umfassenden Nachrichtenmengen konfrontiert. Um einen Überblick zu erhalten, wäre eine kompakte Zusammenfassung der zahlreichen Nachrichten hilfreich. Eine Möglichkeit diese automatisiert zu erhalten, stellt die Themenmodellierung dar. Diese ist allerdings bei forensischen Kommunikationsdaten mit besonderen Herausforderungen verbunden. Zu diesen zählt die Tatsache, dass der Ermittler oft eine Erwartungshaltung an die Themen hat, wobei die für ihn interessanten Themen häufig nur zu einem geringen Anteil in den Daten vertreten sind. Um ihn bei dem Finden von Beweisen zu diesen Themen zu unterstützen, wurden zwei Methoden der halbüberwachten Themenmodellierung und Erweiterungen basierend auf Word Embeddings und paradigmatischen Relationen miteinander verglichen. Insbesondere für umgangssprachliche Kurznachrichten ist die Evaluierung der Themenmodellierung als schwierig anzusehen, da bisherige Studien gezeigt haben, dass gängige quantitative Evaluierungsmaße bei diesen nicht unbedingt die tatsächliche Interpretierbarkeit der Themen widerspiegeln. Daher bestand ein weiteres Ziel der Arbeit darin zu untersuchen, inwieweit die Ergebnisse einer regelmäßig angewendeten automatischen Evaluierungsmethode durch eine Nutzerstudie wiedergegeben werden. Insgesamt konnte festgestellt werden, dass nach der quantitativen Evaluierung die halbüberwachte Themenmodellierung unter Einbeziehung von paradigmatischen Relationen als besonders erfolgversprechend angesehen werden kann, während nach der Nutzerstudie vor allem die Word Embeddings die Ergebnisse der halbüberwachten Themenmodellierung verbessern konnten. Des Weiteren zeigte sich, dass keine Korrelation zwischen den Resultaten der automatischen Evaluierung und der Nutzerstudie vorlag.
Die vorliegende Arbeit beschäftigt sich mit der Umsetzung einer Viewer X-Tension für die Darstellung von ESE Datenbanken in X-Ways Forensics. Dazu wird vor allem der konkrete Aufbau und die Struktur einer ESE Datenbank analysiert und vorgestellt. Weiterhin werden die technischen Grundlagen der Software X-Ways Forensics und der X-Tensions-API zur Erstellung einer Erweiterung gelegt. Zudem werden die Schritte der Umsetzung aufgezeigt und die konkrete Programmimplementierung an Code-Beispielen erläutert.
Die vorliegende Bachelorarbeit beschäftigt sich mit der Erstellung eines Audiodatensatzes zur sequentiellen Lokalisierung von Manipulationen. Die Motivation sich mit diesem Thema zu beschäftigen, resultiert aus der geringen Menge an öffentlichen Datensätzen im Hinblick der Multimediamanipulation und der Wichtigkeit von Audio in der Forensik (Khan et al., 2018; Luge, 2017). Dabei werden zunächst die Grundlagen aus den Themenbereichen Audio, Datensatz sowie Manipulation dargestellt. Für die Erstellung des Datensatzes, wurde zunächst eine Vielzahl an Daten bereitgestellt, indem mittels einem Pythonskript, Videos, von YouTube heruntergeladen sowie die Audiospur getrennt und im mp4-Format gespeichert wurden. Weiterhin erfolgte auf der Datenmenge, der Prozess der Datenbereinigung sowie das Umbenennen der Audiodateien. Anschließend ereignet sich die Darlegung des Konzeptes und die theoretische Beschreibung der Manipulierung sowie die exemplarische Durchführung der Manipulation. Daraufhin erfolgt die theoretische Darlegung der Aufteilung des Datensatzes in Test- und Trainingsdaten. Die Ergebnisse spiegeln wider, dass das geschriebene Pythonskript funktioniert und nahezu keine Fehler während des Downloads entsteht. Weiterhin zeigen sie auf, dass die exemplarische Durchführung funktioniert. Allerdings benötigt es zum einen noch die Umsetzung des in der Theorie dargelegten Manipulationsschrittes und zum anderen, darauf aufbauend, etwaige Evaluierungsschritte.
Ziel der Arbeit ist es, innerhalb einer forensischen Analyse die Ablagestruktur der Chatanwendung Viber unter dem Betriebssystem iOS zu analysieren. Darüber hinaus sollen Dateien analysiert werden, um relevante Informationen zu Chats zu extrahieren und auswertbar zu machen. Bei der Recherche zum aktuellen Forschungsstand wurden kaum Arbeiten gefunden, welche eine tiefgehende forensische Analyse von Viber auf iOS-Geräten zum Gegenstand haben. Für die Auswertung wurden Testdaten in Form von Einzel- und Gruppenchats auf iOS-Geräten erstellt und die Geräte anschließend IT-forensisch ausgelesen. Durch die Verwendung des Auslesegerätes UFED Touch2 konnte die Ablagestruktur mittels des UFED-Readers analysiert und dokumentiert werden. Die Analyse der Dateien brachte Informationen aus den zwei Hauptdatenbanken 'Settings.data' und 'Contacts.data' hervor. Hierbei wurden alle Tabellen analysiert und Informationen zu den relevanten Spalten dokumentiert. Abschließend wurden für einen Leitfaden zur Rekonstruktion von Chats SQL-Befehle erstellt, welche zum einen eine Zusammenfassung von Informationen zu Konversationen und zum anderen eine Wiederherstellung von Chatverläufen der einzelnen Konversationen möglich machen sollen.
Das Ziel in der vorliegenden Arbeit ist es zu beantworten, ob die Programme Magnet AXIOM und Kipo Analyzer sich für die Klassifikation von Kinderpornographie eignen. Dazu wird folgende Forschungsfrage gestellt: Erkennen die Programme Magnet AXIOM und Kipo Analyzer ausreichend kinderpornographisches Material von gesicherten Asservaten, um die Anforderungen zur Entlastung von Ermittlern zu erfüllen? Zur Beantwortung dieser Frage wurde ein selbst zusammengestellter Datensatz mit den Programmen getestet. Hierbei erzielte das Programm Magnet AXIOM einen Recall von 70,13 % und eine Spezifität von 60,42 %. Im Vergleich erzielte der Kipo Analyzer einen Recall von 42,56 % und eine Spezifität von 97,5 %. Die Präzision und der F1-Score fiel bei beiden Programmen schlecht aus durch den unausgeglichenen Datensatz. Abschließend kann keine endgültige Aussage über die Eignung der Programme hinsichtlich der Klassifikation von Kinderpornographie gemacht werden. Die Programme müssten mit unterschiedlichen Datensätzen und Zusammensetzungen getestet werden.
Die vorliegende Arbeit beschäftigt sich mit der Erforschung des Datenvorkommens im Hinblick auf die Ermittlung flüchtiger Daten an ausgewählten Wireless Local Area Network (WLAN)-Routern. Diese werden im Hinblick auf strafrechtlich relevante Fragestellungen untersucht. Es werden die Möglichkeiten der methodisch und systematischen Datensicherung eruiert und wie diese gewonnen und ausgewertet werden können.
Die vorliegende Arbeit untersucht, wie eine Ontologie mobile Kommunikation für forensische Auswertungen abbilden kann und welche Chancen sich aus dieser Art von Repräsentation ergeben. Prinzipiell stellen Ontologien einen Lösungsansatz für die wachsenden Herausforderungen im Bereich der digitalen Forensik dar. Vor allem die Heterogenität und stark zunehmende Menge der auszuwertenden Daten stellt die Strafverfolgungsbehörden vor Probleme. Forensische Tools unterstützen bei der Extraktion und Analyse von Daten. Allerdings weisen sie in bestimmten Aspekten ihre individuellen Grenzen auf. Ontologien ermöglichen dabei die Interoperabilität zwischen forensischen Tools und somit die Kombination der jeweiligen Vorteile von diesen Tools. Somit können insbesondere (Teil-)Automatisierungen im Ermittlungsprozess realisiert werden, was zur Ersparnis von Zeit und Ressourcen führt. Darüber hinaus lassen sich anhand von Ontologien logische Schlussfolgerungen herleiten und weitere Methoden aus dem Bereich der künstlichen Intelligenz anwenden. Diese Arbeit verwendet die CASE-Ontologie als Grundlage zur Entwicklung einer Ontologie, welche mobile Kommunikation im Kontext forensischer Untersuchungen repräsentiert. Darüber hinaus wird im experimentellen Teil der Arbeit das Datenmodell einer forensischen Plattform zur Auswertung mobiler Kommunikation auf die entworfene Ontologie abgebildet. Zusätzlich wird ein semantischer Webserver prototypisch aufgesetzt, um einen Anwendungstest der Ontologie durchführen zu können.
Im Reverse Engineering und in der Malware-Analyse wurden bereits verschiedene Ansätze zur Visualisierung von Binärdaten entwickelt. Mit diesen lässt sich schnell ein Überblick über Dateien gewinnen, sodass beispielsweise verschiedene Regionen einer Datei identifiziert oder eine bösartige Datei einer Malware-Familie zugeordnet werden kann. In der vorliegenden Masterarbeit wird versucht, diese Ansätze auch sektorweise auf einen Datenstream anzuwenden. Dafür wird ein Demonstrator erstellt, mit dem Sektoren automatisiert nach Dateitypen klassifiziert werden können. Ziel ist es, einen Ansatz zur Verbesserung der aktuellen, signaturbasierten IT-forensischen Methoden zur Wiederherstellung von fragmentierten oder gelöschten Daten zu finden.
Der Einsatz digitaler Mittel in der Tatortrekonstruktion soll in der Zukunft eine große Stütze in der Verbrechensaufklärung werden. Die Rekonstruktion des Bewegungsablaufs eines Opfers, ist als Bewegungsanalyse ein großer Teil dieses Forschungsgebietes. Um eine möglichst natürliche und anatomische korrekte Simulation der Bewegungsabläufe zu ermöglichen, werden Ragdollmodelle benötigt. Diese Arbeit befasst sich mit der Optimierung des Erstellungsprozesses und des Aufbaus dieser bereits bestehenden Ragdollmodelle, in der aktuellen forensischen Tathergangsrekonstruktion.
Diese Arbeit präsentiert einen forensischen Leitfaden zu Spezialverfahren der Datenrettung von Festplatten unter Nutzung des PC-3000 Express Systems. Die Grundlage bilden essentielle Informationen rund um eine Festplatte und die Bedienung des PC-3000 Express Systems. Anschließend wird ein in drei Teile gegliederter forensischer Leitfaden vorgestellt, der dem Leser mit jeder Unterteilung eine Konkretisierung auf das Thema Spezialverfahren der Datenrettung von Festplatten präsentieren soll. Auf der Grundlage des forensischen Leitfadens werden im Anschluss zwei Festplatten untersucht und mit Hilfe des PC-3000 Express Systems und kompatiblen Ersatzteilspendern erfolgreich gesichert. Ziel der Arbeit ist es, einen zukünftigen Benutzer in die Arbeit mit dem PC-3000 Express System einzuführen. Dabei soll der Arbeitsablauf bei der Untersuchung einer Festplatte fest an den Ablauf einer forensischen Untersuchung gebunden sein. So kann unabhängig vom forensischen Tätigkeitsfeld sichergestellt werden, dass ein Benutzer zukünftig auftretende Probleme von Festplatten effektiv und lösungsorientiert handhaben kann.
Die vorliegende Arbeit untersucht eine Datenbank mit der Bezeichnung UsageReportsBuffer, die der Webbrowser Chrome auf Android-Geräten anlegt, sowie mögliche Implikationen für die digitalforensische Auswertung. Von besonderem Interesse sind die Fragen, welche Informationen nach welchen Regeln in der Datenbank abgelegt werden, welchem Zweck die Datenbank dient und ob der Nutzer des Gerätes Einfluss auf den Datenbestand nehmen kann. Die Untersuchung ergibt, dass die circa 100 zuletzt aufgerufenen URLs, sowie dazugehörige Zeitstempel gespeichert werden. Der Nutzer kann dieser Datenerhebung nicht widersprechen oder die Datenbank löschen. Die Aufzeichnung kann lediglich durch Verwendung der Inkognito-Funktion unterbunden werden. Jedoch wird die Datenbank von aktuellen Versionen der Chrome-Anwendung nicht mehr angelegt.
Erstellung eines Autopsy-Moduls zum Erkennen und Carven von Dateien von Kryptowährungs Wallets
(2022)
Zum Erkennen und Carven von Dateien von Kryptowährungs-Wallets wird ein Autopsy-Modul erstellt und evaluiert. Dieses soll bei Electrum, Exodus, Firefly, Wasabi, Monero, Ledger Live, Guarda und den Browser-Erweiterungen Coinbase, Binance und MetaMask auf Untersuchungsdatenträgers nach relevanten Dateien suchen, auch wenn diese gelöscht sind oder das Dateisystem defekt ist. Dazu wird das in Autopsy verwendete PhotoRec um Signaturen erweitert.
Die vorliegende Arbeit befasst sich mit einem Vergleich zwischen nationalen und internationalen Verwendungsmöglichkeiten des Werkzeugs eDiscovery in der M365 Cloud. Dabei werden verschiedene technische Einschränkungen vorgestellt, welche die Datenschutzrechtlich konforme Nutzung dieses Werkzeuges ermöglich sollen.
Die vorliegende Arbeit betrachtet die Möglichkeiten zur Sicherung von Foto- und Videobeiträgen aus sozialen Netzwerken, um diese im Rahmen der Strafverfolgung als Beweismittel nutzbar zu machen. Vier ausgewählte Sicherungsmethoden werden in einem Sicherungsversuch angewendet und im Anschluss miteinander verglichen. Schließlich wird aus den so ermittelten positiven Eigenschaften der Methoden eine hypothetische optimale Methode formuliert, welche für eine zukünftige Anwendung implementiert werden könnte.
Diese Bachelorarbeit befasst sich mit der Prozessautomatisierung während einer Vorfallsreaktion (Incident Response) in der digitalen Forensik. Die Idee dafür kam während der Tätigkeit bei der intersoft consulting services AG auf.
Das Ziel der vorliegenden Arbeit ist es, zu beantworten ob die Automatisierung eines Incident Response-Prozess mit dem Tool KAPE schneller und effektiver gestaltet werden kann, ohne die forensischen Prinzipien außer Acht zu lassen. Dafür wurden eigene Konfigurationsdateien erstellt, welche auf die interne Arbeitsumgebung angepasst sind und anschließend geprüft, ob das Tool die Anforderungen hinsichtlich der forensischen Prinzipien erfüllt. Weiterhin wurde die Verwendung des Tools hinsichtlich seiner Geschwindigkeit mit dem bisherigen Vorgehen verglichen.
Die Untersuchung zeigte, dass das individualisierte Tool mit den eigens erstellten Konfigurationen eine enorme Zeitreduktion gegenüber dem bisherigen Vorgehen erreichen konnte und dies auch unter der Einhaltung der forensischen Prinzipien möglich ist.
Zusammenfassend lässt sich sagen, dass das Tool KAPE für die Prozessautomatisierung eines Incident Response eine merkliche Rolle spielen kann, insbesondere wenn es auf die interne Unternehmensumgebung angepasst ist und einer ständigen Weiterentwicklung folgt.
Diese Arbeit erläutert, wie automatisiert aus den derzeit gängigen Browsern - namentlich Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox sowie Opera, die Datenbanken aus forensischen Windows-Datenträgerkopien extrahiert werden können. Dabei werden diese Browser in dem Datenträgerabbild mittels Registry-Verweisen festgestellt und anschließend ihre Datenbanken aus den gängigen Pfaden extrahiert. Daraufhin werden alle Verläufe mittels einer dynamischen Liste gefiltert. Als Ergebnis entsteht ein neues Datenträgerabbild mit den enthaltenen Datenbanken der Browser. Das Ergebnis soll den Ermittlern Zeit bei der Durchsuchung der Browserdaten sparen, indem der Verlauf bereits gefiltert vorliegt.
The objective of this Bachelor Project is the creation of a tool that should support forensic investigators during IT forensic interventions. It uses Kismet as the base program and adds functionalities to it via the plugin interface. The installation of the plugin shall be explained, how the plugin works, and a recommendation on how to use it. To understand the underlying basics, an introduction about WLAN and Bluetooth is given. The tests that were performed with the new plugin are described as well as their results. It is therefore briefly discussed why the tool is applicable for locating Wi-Fi devices, especially access points, but not Bluetooth devices. Using all this a few ideas on how to improve the tool and what can be researched in this area are provided.
Diese Arbeit bildet einen Einstig in die Grundlagen der IT-Forensik und befasst sich mit der Evaluation der beiden Programme „X-Ways Forensics“ und „Magnet AXIOM“. Dabei werden die Stärken und Schwächen der beiden Tools aufgezeigt und Empfehlungen geben, für wen und für welchen Einsatz, welches Programm geeignet ist.
In dieser Bachelorarbeit werden die Artefakte im Arbeitsspeicher unter den Betriebssystemen Microsoft Windows und Linux der Web Clients der Instant-Messengerdienste WhatsApp und Telegram aus forensischer Perspektive beleuchtet. Hierfür werden die technischen Aspekte der Funktionsweise sowie von der Anwendung auf dem Gerät im Internetcache enthaltene Artefakte digital forensisch analysiert und diskutiert. Die gewonnenen Erkenntnisse sollen zukünftige forensische Untersuchungen, bei denen Instant-Messengerdienste wie WhatsApp oder Telegram eine Rolle spielen, vereinfachen und die Interpretation der gefundenen Artefakte unterstützen.
In dieser Bachelorarbeit wird die theoretische Planung einer digitalen Windows-Laborumgebung beschrieben, welche zur Untersuchung von Schadsoftware genutzt werden soll. Mithilfe von virtuellen Maschinen wird ein Modell eines Firmennetzwerkes konzipiert. Es wird sich unter anderem mit den Themen Virtualisierung, Microsoft Active Directory, Microsoft Exchange Server und Malwareanalyse befasst.
Entwicklung einer Methode zur Empfehlung von Suchbegriffen
und -phrasen im forensischen Kontext
(2021)
Diese Arbeit befasst sich mit der Entwicklung einer Methode zur Empfehlung von Suchbegriffen und -phrasen im forensischen Kontext. In der forensischen Fallarbeit stellen Kurznachrichten auf mobilen Endgeräten eine zentrale Beweisquelle dar. Häufig sind Ermittler hierbei mit umfangreichen Chatverläufen konfrontiert. Das Ziel besteht darin, den Ermittler bestmöglich bei der Arbeit mit der enormen Datenmenge zu unterstützen, indem ihm die relevantesten Begriffe des Datensatzes vorgeschlagen werden. Hierfür wurden unter anderem Algorithmen der Keyword Extraction, der explorativen Datenanalyse sowie des Word Association Minings untersucht. Als erfolgversprechendste Ansätze erwiesen sich das Topic Modeling mit einer Term-Kookkurrenzmatrix als Eingabe, die Vorhersage von thematisch ähnlichen Begriffen mittels der Latent Dirichlet Allocation sowie die Analyse von paradigmatischen Relationen.
Diese Arbeit befasst sich mit dem Vergleich der forensischen Analyse von mobilen Endgeräten zwischen der Software Cellebrite Physical Analyzer, der Software Autopsy Digital Forensics und den Skripten aLEAPP und iLEAPP. Hierzu wurden zwei mobile Endgeräte mit den Betriebssystemen Android und iOS mit unterschiedlichen Anwendungen und Testdatensätzen versehen. Im Anschluss wurden die forensischen Datensicherungen durch die Softwareprodukte automatisiert aufbereitet. Die Ergebnisse der automatisierten Datenaufbereitungen wurden miteinander und mit den zu erwartenden Informationen verglichen. Hierbei konnte festgestellt werden, dass die Software Autopsy Digital Forensics und die Skripte aLEAPP und iLEAPP im Bereich der Aufbereitung mobiler Endgeräte, zum jetzigen Zeitpunkt, nicht die Ergebnisse der kommerziellen Software Cellebrite Physical Analyzer liefert.
Diese Arbeit untersucht, die Herausforderungen bei der teilautomatischen Erstellung von Testdaten für die digitale Forensik. Insbesondere handelt es sich um Bildmetadaten im EXIF-Format, aus der Fotogalerie eines Smartphones, die mit GPS-Daten und zugehörigen Zeitstempeln für eine feste Route angereichert werden. Dazu wird auf Metadaten, Geokoordinaten und Zeitstempel eingegangen sowie der aktuelle Stand zu EXIF aufgezeigt. Mit diesem Wissen entsteht ein Programm, das die Testdaten erzeugt.
In einer Welt, in welcher die Anzahl der mit digitalen Geräten ausgeübten Straf-taten die zuständigen Behörden zu überrollen scheint, ist es an der digitalen Forensik, neue Wege der Verbrechensbekämpfung zu beschreiten. Um eine Viel-zahl an digitalen Spuren auszuwerten, benötigt es außerdem spezialisierter Werkzeuge und Methodiken. Das in Korrelation mit dieser Arbeit entwickelte Programm verfolgt das Ziel, einen bisher manuellen Ablauf in der forensischen Software „X-Ways Forensics“ zu automatisieren und somit Aufwand und Komplexität zu reduzieren. Genauer versucht die sogenannte „X-Tension“, eine Datei vom Dateityp „.vmdk“ innerhalb eines Falles ausfindig zu machen, um diese anschließend als neues für sich stehendes Asservat auswerten zu können. Die Arbeit zeigt dabei die Arbeitsweise des Programmes sowie Chancen für die Zukunft auf.
Mittels GPM3 können komplexe DNA- Mischspuren analysiert und STR- Profile ausgewertet werden. Zudem können durch Berechnungen die Genotypen, die in einer Mischung vorliegen, voneinander differenziert werden. Vor allem komplexe Mischspuren stellen einen Schwerpunkt bei der Spurenuntersuchung dar. Eine Anwendung von GPM3 ist die komponentenweise Dekonvolution von DNA- Mischspuren, bei der die Profile der beteiligten Personen aufgetrennt und die Wichtungen aller möglichen Genotypen ausgezählt werden. Dabei werden die Genotypkonstellationen (GTK) basierend auf den Peakhöhen, der Degradationsstärke und stochastischen Effekten bei Einsetzten von geringen DNA- Mengen modelliert. Der von der Firma Qualitype vorgegebene Grenzwert für die Wichtung, ab welcher mit einer hohen Wahrscheinlichkeit angenommen werden kann, dass es sich bei dieser GTK um den richtigen Genotyp der beteiligten Person handelt, liegt bei 90 %. Folglich werden Untersuchungen im Rahmen dieser Arbeit zu diesem Grenzwert anhand von verschiedenen 2- Personen- Mischungen in unterschiedlichen Konzentrationen mittels der Dekonvolution mit dem vollständig- kontinuierlichen Modell durchgeführt.
In der Arbeit werden dazu die jeweiligen Abstände der Wichtungen in Prozent der GTK der beteiligten Personen jeder Mischung berechnet und überprüft, ob die am höchsten gewichteten Genotypen in GPM3 den richtigen Allelkombinationen der jeweiligen Person entsprechen. Hierbei wird der Abstand der Konstellation mit der größten Wichtung zur „wahren“ Konstellation berechnet. Aus den Mittelwerten der prozentualen Abstände soll anschließend der Ähnlichkeitswert der Wichtung, ab welchem noch mit sehr hoher Wahrscheinlichkeit die richtige GTK ausgegeben wird, ermittelt werden.
Das Ziel der Bachelorarbeit ist es, die Möglichkeiten und Grenzen der Dekonvolution von Mischspuren mit der GPM3- Software bei verschiedenen Analysebedingungen zu bewerten und einen Auswerteparameter in Abhängigkeit von den Abständen der Wichtungen in Prozent und den Konzentrationen der einzelnen Mischungen zu validieren. Zudem soll die Nachweisgrenze der Analysemethode untersucht werden, um eine Aussage über die Minimalmenge an einzusetzender DNA treffen zu können
Immer häufiger greifen technikbegeisterte Personen zu Smart-Home Geräten für ihre eigenen vier Wänden. Durch diese Geräte, kann der Weg zur Tür abgenommen oder die Bestellung über eine Onlineplattform erleichtert werden. Der Nutzen dieser meist kleinen aber durchdachten komplexen Maschinen ist enorm. Um der Schnelllebigkeit entgegen zu wirken, werden immer kreativere Wege gesucht. IoT-Geräte ermöglichen das Ersetzen der lokalen Einstellung am Gerät selbst. Bspw. kann so die Heizungssteuerung auf dem Heimweg vorgenommen werden. Dadurch spielt eine klare Sicherheitsdefinition für den Umgang mit persönlichen Daten eine größer werdende Rolle. Hierbei stellt sich die Frage, wie anfällig solche Anlagen sind. Das Kernstück dieser Arbeit wird sich mit der Feststellung von möglichen Schwachstellen in Innogy Smart-Home-Geräten beschäftigen. Insbesondere werden Endgeräte untersucht, welche bereits Einzug in den Alltag gefunden haben. Ansätze der Informationssicherheit und der digitalen Forensik werden in realitätsnahen Szenarien aufgezeigt und analysiert. Es werden Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik und gesetzliche Vorgaben berücksichtigt. Teile des Sicherheitskonzeptes werden transparent dargestellt.
Eine Vielzahl der heutigen Cyber Angriffe auf Unternehmen haben das Ziel sich in deren Netzwerk auszubreiten, um so an kritische Informationen zu gelangen oder das Unternehmen anderweitig zu schädigen. Eine Betrachtung dieses als Lateral Movement bezeichnete Vorgehen ist Thema der vorliegenden Bachelorarbeit. Hauptaugenmerk wird auf die forensische Analyse wahrscheinlich auftretender Methoden und den dabei anfallenden Spuren gelegt. Bei den Spuren wurde sich größtenteils auf Ereignisse in Protokolldateien, sowie auf Registry- und Programmausührungs-Artefakte bezogen. Als Ergebnis wurde eine tabellarische Übersicht der zu priorisierenden Spuren erstellt, die Ermittlern zu einer effektiveren forensischen Analyse solcher IT Vorfälle verhelfen soll.
IT-Forensische Analyse moderner Android Betriebssysteme : Sicherheitsbericht zu Android Trojanern
(2020)
In der vorliegenden Bachelorarbeit soll ein Überblick über die Anfälligkeit moderner Android Betriebssysteme auf Trojaner gegeben werden. Dieser Trojaner, welcher während der Bachelorarbeit erstellt wurde, soll eine Backdoor enthalten, wodurch dieser eine HTTPS-Verbindung zum Ziel-System aufbaut. Über diese Verbindung soll an-schließend eine Meterpreter Session auf dem Ziel-System etabliert werden, um Zu-gang zu dem infizierten System zu erlangen.
In der vorliegenden Arbeit wird eine Methodik entwickelt, mit der ausgewählte forensische Software-Tools miteinander verglichen werden können. Dieser Ver-gleich basiert auf einem erstellten Image, welches diverse Artefakte beinhaltet. Auf Grundlage dieser Artefakte wird eine Bewertungsmatrix erzeugt, welche für den Vergleich der ausgewählten Forensik-Tools X-Ways, Axiom und Autopsy genutzt wird. Anhand der Ergebnisse, die durch die Matrix generiert wurden, lässt sich Axiom als bestes der drei getesteten Tools herausstellen. Hierbei muss allerdings berücksichtigt werden, dass die Beurteilung nach subjektiven Kriterien geschehen ist und keine eindeutige Aussage getroffen werden kann, ob ein forensisches Tool eine erfolgreiche Auswertung liefert
Diese Arbeit widmet sich dem Vergleich forensischer Software in der mobilen Forensik. Das Ziel der Arbeit besteht darin, forensische Images mit mehreren Tools zu analysieren und die Ergebnisse gegenüberzustellen. Dabei wird insbe-sondere auf die Qualität der Ergebnisse und der auf die Analyse verwendete Zeitaufwand berücksichtigt. Der Vergleich schließt die Tools XRY von MSAB, Oxygen Forensic Detective von Oxygen Forensics und das Open-Source Tool Autopsy ein.
In der heutigen Gesellschaft finden zunehmend Fitnesstracker Anwendung. Viele Menschen sind daran interessiert ihre körperlichen Aktivitäten über den Alltag hinweg aufzuzeichnen, um einen Überblick über ihre Gesundheit oder Fitness zu erhalten. Aufgezeichnete körperliche Aktivitäten sollen in dieser Arbeit speziell mit GPS-Positionen, die auf einem separaten Gerät von derselben Person generiert wurden, in Verbindung gesetzt werden. Konkret wird eine Datenkopplung innerhalb eines Aggregationsalgorithmus für Geo-Positionen integriert. Die Aktivitätsdaten werden ausgewertet und über eine Java-Applikation dem Anwender zur Verfügung gestellt. Als Anwender kommen z.B. IT-Forensiker infrage. Um die Tauglichkeit zu testen, wurden über einen Zeitraum von zwei Wochen Testdatensätze mit einem Garmin vívosmart 4 und einem Android-Smartphone erho-ben. Das Ergebnis der in dieser Arbeit durchgeführten Implementierung ermöglicht eine Zusammenführung und Analyse dieser Daten auf Anwendungsebene.
In der vorliegenden Bachelorarbeit wird auf den Nutzen sowie aktuelle Möglichkeiten bei der IT-forensischen Analyse des Arbeitsspeichers aktueller Computersysteme mit DDR4- Speichermodulen eingegangen. Es wird sich dabei sowohl auf generelle, als auch im Zuge der DDR4-Technik eingeführte, Funktionalitäten des physischen Arbeitsspeichers bezogen. Die Auswertbarkeit des Arbeitsspeichers wird aus IT-forensischer Sicht betrachtet und damit auftretende Problematiken für die IT-Forensik evaluiert. In der vorliegenden Arbeit wird vorrangig auf Methodiken der Analyse verschiedener Windows Hibernation Files, sowie den Cold Boot Ansatz eingegangen. Bei letzterem liegt der Schwerpunkt auf der Analyse verschleierter (gescrambelter) Arbeitsspeicherinhalte, sowie einem möglichen Ansatz effektiv Scrambler-Schlüssel aus diesen zu ermitteln.
Das Ziel der vorliegenden Bachelorarbeit besteht darin, die technischen und rechtlichen Aspekte von Cloudsicherungen für Strafverfolgungsbehörden zu beleuchten,um die aktuellen Gegebenheiten und somit eventuelle Defizite auf zu zeigen. Daher werden zu Beginn grundlegende Fakten benannt. Im Anschluss erfolgen praktische Untersuchungen bezüglich forensischer Sicherungsmethoden an PC und Mobiltelefon. Das Hauptaugenmerk liegt auf dem Zusammenschluss von Recht und Technik. Das Ergebnis bildet die Erarbeitung einer Handlungsempfehlung, bestehend aus Checkliste und Fragenkatalog.
Diese Arbeit befasst sich mit der forensischen Untersuchung von Systemen mit dem Trusted Plattform Module (TPM) von Apple, dem T2 Chip. Mittelpunkt ist die
physische Datensicherung über das Forensik Analysewerkzeug MacQuisition von BlackBag Technologies. Die Sicherheitsrichtlinien von den Apple Geräten mit verbautem TPM verhindern solche Sicherungen und schützen die Daten auf dem System. MacQuisition ist die erste Lösung für die Forensik, um dennoch ein physisches und gleichzeitig entschlüsseltes Abbild zu erzeugen. Dafür schafft es MacQuisition auf den Direct Memory Access (DMA) fähigen Enhanced Serial Peripheral Interface (eSPI) Bus zu gelangen und die Sicherheitsvorkehrungen zu umgehen.
Die vorliegende Arbeit setzt sich mit der Windows 10 Timeline auseinander. Da diese erst vor kurzem entwickelt und von Microsoft veröffentlich wurde, gibt es wenige forensische Analysen. Ziel ist es, die Windows 10 Timeline und ihre Datenbank genauer zu betrachten. Es soll unter anderem herausgefunden werden, welche Daten die Datenbank überhaupt speichert, wie diese Daten in die Tabellen gespeichert werden und wie die Tabellen in den Datenbanken miteinander arbeiten. Weiterhin soll der forensische Wert der Windows 10 Timeline erforscht werden. Demnach ist ein weiteres Ziel, die Relevanz der Windows 10 Timeline in digital forensischen Ermittlungen zu untersuchen.
Die vorliegende Bachelorarbeit soll Erkenntnisse über die sicherheitsrelevanten Schwachstellen einer Android Applikation liefern. Hierbei werden theoretische sowie praktische Analysen aus der digitalen Forensik durchgeführt. Die dabei verwendeten Methoden sind in der forensischen Informatik etabliert und gewähren einen fundierten und strukturierten Ablauf.
Die aus jenen Vorgaben entstandenen Ergebnisse, weisen ein moderates, kritisches Sicherheitsmanagement der zu analysierenden Anwendung auf. Diese Bachelorarbeit richtet sich sowohl an Studierende mit Interesse für Sicherheitsüberprüfungen spezieller Anwendungen und forensische Strukturen und Richtlinien als auch an Fachleute im Bereich der Informationstechnik.
Bei der Aufbereitung von digitalen Daten kann in der Forensik zwischen verschiedenen Tools gewählt werden. Diese müssen immer größer werdenden Datenmengen entgegenstehen und möglichst schnell und effizient Daten aufbereiten. Das Ziel dieser Arbeit ist es, forensische Tools zu Vergleichen und einen Überblick über die Funktionen zu geben. Dazu wird folgende Forschungsfrage gestellt: Welche Software ist für welches forensische Problem am besten geeignet? Um diese Frage zu beantworten, wurden Softwaretests durchgeführt. Hierfür wurden im ersten Schritt Images von einem Windows und Linux System und von einem Android Smartphone erstellt. Daraufhin wurden X-Ways Forensics, Axiom, Autopsy und Nuix auf diesen Images getestet und die Ergebnisse dokumentiert. Betrachtet wurden dabei Laufzeiten und die verschiedenen Aufbereitungs- und Suchergebnisse. Die Ergebnisse haben gezeigt, dass es deutliche Unterschiede in der Aufbereitung gibt. Axiom konnte besonders in der Aufbereitung des Windows und Android Images überzeugen. Bei der Aufbereitung des Linux Images konnten keine so klaren Ergebnisse erzielt werden.
In der Arbeit werden zwei weit verbreitete Computer-Forensik-Tools verglichen und bewertet. X-Ways Forensic und Autopsy wurden als beispielhafte Vertreter der Kategorien "proprietäre Tools" sowie "freie Tools" gewählt. Es werden anhand eines Kriterienkatalogs und verschiedener Test-Szenarien die einzelnen Funktionen systematisch evaluiert.
Im Rahmen der vorliegenden Bachelorarbeit sollte eine Zusammenfassung der derzeitigen state-of-the-art-Methoden für die Rekonstruktion der einzelnen Gesichtsmerkmale bei einer Gesichtsweichteilrekonstruktion erstellt werden. Zudem wurde eine plastische GWR durchgeführt und evaluiert, um diese theoretischen Richtlinien anzuwenden und zu testen
In dieser Bachelorarbeit wird ein Workflow zur standardisierten Frisurenerstellung im Rahmen der computergestützten Gesichtsweichteilrekonstruktion beschrieben. Dafür wurde die kostenfreie Open-Source Software Blender mit der Versionsnummer 2.8 verwendet. Der Workflow wurde mithilfe des blenderinternen Partikelsystems erstellt.
Diese Arbeit beschäftigt sich mit der Untersuchung von Bild- und Videomaterial auf Anzeichen von Manipulationen. Erst werden Methoden vorgestellt, die bei regulären Manipulationen zu Erfolgen führen können. Anschließend werden mit den gleichen Methoden Deep-Fake Videos untersucht, um zu prüfen, ob diese einfachen Methoden auch bei Deep-Fakes funktionieren können.
Messengerdaten auf Mobiltelefonen sind häufig für Ermittlungs- und Strafverfahren relevant. Eine händische Untersuchung dieser ist für einen digitalen Forensiker jedoch sehr arbeits- und zeitintensiv. Aus diesem Grund wird in dieser Bachelorarbeit ein möglichst effektives Verfahren
zur Auswertung und Aufbereitung von Messengerdaten auf Mobiltelefonen vorgestellt, welches digitalen Forensikern als Leitfaden dienen soll. Das vorgestellte Verfahren kann für jeden Messenger verwendet werden und basiert auf der Methode des Reverse Engineerings. Um dessen Anwendung zu demonstrieren und seine Funktionalität unter Beweis zu stellen, werden die Daten des Messengers TamTam, insbesondere die Datenbanken, exemplarisch ausgewertet und aufbereitet.
Im Rahmen der vorliegenden Bachelorarbeit sollte ein Add-On zur semi-automatischen Phantombilderstellung in Blender erstellt werden. Hierfür wurden bereits bestehende Add-Ons von Einzelprozessen der Gesichtsweichteilrekonstruktion miteinander verbunden und einem einheitlichen Bild angepasst. Zudem wurden Anpassungen und Erweiterungen an den Add-Ons vorgenommen, um die Anwenderfreundlichkeit zu erhöhen. Abschließend wurde das Ergebnis mit anderen Computergestützten Rekonstruktionsmethoden verglichen.
Die vorliegende Arbeit befasst sich mit der Analyse von ShellBags in Windows-Betriebssystemen. Die Untersuchungen beziehen sich auf Windows XP, 7 und 10, welche als virtuelle Maschinen in VMware Workstation Pro integriert wurden. Da die ShellBag-Registrierungsschlüssel neben Ansichtseinstellungen im Datei-Explorer auch Einträge zu Aktivitäten in und mit verschiedenen Ordnern, in Netzlaufwerken sowie mit externen Speichermedien enthalten, liefern sie für forensische Analysen wertvolle Hinweise. Darüber hinaus können auch die darin befindlichen Zeitstempel zur Auswertung herangezogen werden. Hierfür wurden verschiedene Testreihen durchgeführt. Der Vergleich von ShellBag-Zuständen vor und nach einer Aktivität basiert auf dem Tool Compare It!, welches die Gegenüberstellung zweier .reg-Dateien erlaubt. Die Ergebnisse bestätigen,
dass auch heute noch eine Weiterentwicklung der ShellBags erfolgt, da stets Änderungen vorgenommen und neue Informationen hinzugefügt werden. Dennoch hat sich zum großen Teil eine einheitliche Ablage der Informationen herausgebildet.
Die forensische Software ist das wichtigste Werkzeug für einen digitalen Forensiker in der Post-Mortem-Analyse. Daher beschäftigt sich die Arbeit mit dem Vergleich von drei forensischen Softwarelösungen. Darunter sind X-Ways als verbreitetste Software in deutschsprachigen Raum, Magnet Axiom als sehr verbreitete Software im Nordamerikanischen Raum und Autopsy als Open-Source-Lösung.
Für den Vergleich wurde ein Testszenario auf einer Festplatte sowie auf einem SSD-Datenträger, welches mittels der vorgenannten forensischen Software ausgewertet wurden. Die Ergebnisse wurden hinsichtlich der Parameter Geschwindigkeit, Genauigkeit, Vollständigkeit, Wiederholbarkeit und Nachvollziehbarkeit verglichen.
Die vorliegende Arbeit befasst sich mit der Umsetzung eines Parsers für Apple Konfigurationsdateien für die Forensic Software X-Ways Forensics. Dabei werden speziell der Aufbau und die Funktionsweise der Binary Property List Dateien erklärt und ein Programm entwickelt, das in X-Ways Forensics als X-Tension funktionsfähig eingebunden wird. Des Weiteren werden der Aufbau der API und die Schritte erläutert, die notwendig sind, um eine solche X-Tension zu erstellen.
Die Idee des Autors dieser Bachelorarbeit, sich mit der Entwicklung eines Tools zur Detektion falsch positiver Zeitstempel in Zeitreihen zu beschäftigen, formte sich während seiner Tätigkeit für die Abteilung IT-Forensik [int18c] der intersoft consulting services AG.
„Die intersoft consulting services AG ist spezialisiert auf Beratungsleistungen in den Bereichen Datenschutz, IT-Sicherheit und IT-Forensik [int18b].“
Gerade in dem Geschäftsumfeld der IT-Forensik ist häufig die Erstellung einer Zeitreihe nötig um eine IT-Forensische Analyse voranzutreiben. Da die intersoft consulting services AG hauptsächlich im Unternehmensfeld tätig ist, ist besonders das Analysieren von Desktoprechnern beim Verdacht der Weitergabe von firminternen Daten von Relevanz. Dabei hilft die Erstellung einer Zeitreihe, um die Vorgänge auf dem Desktoprechner nachvollziehen zu können. Dabei ist es möglich, auf manipulierte, falsch positive Zeitstempel zu stoßen, welche die forensische Analyse erschweren und verfälschen können.
Das entwickelte Tool detectFPTimetamps.py kann dabei helfen, den Prozess der Analyse durch eine Zeitreihe zu vereinfachen und zu erleichtern, indem die falsch positiven Zeitstempel detektiert werden. Das Tool ist in Python 3 geschrieben und enthält die Suite Plaso/log2timeline, TSK (R) und das Tool analyzeMFT.py.
So wird ein Tool geschaffen, welches einer ständigen Anpassung an den Stand der Technik und dann das Dateisystem benötigt.
Die vorliegende Arbeit befasst sich mit der Kombination der digitalen Forensik mit dem Organisationsziel des Datenschutzes. Es wird untersucht, wie forensische Arbeiten im Rahmen der bestehenden Datenschutzgesetze anzusiedeln sind. Dafür werden die gesetzlichen Grundlagen, welche in Deutschland gelten, thematisiert sowie wird in einem praktischen Beispiel das Auskunftsrecht bei einem sozialen Netzwerk wahrgenommen und die erhaltenen Daten analysiert. Des Weiteren wird in dieser Arbeit dargestellt, welche forensischen Hilfstools und Methoden angewandt werden können, um Datenschutzverletzungen oder das datenschutzkonforme Arbeiten eines Verantwortlichen nachweisen zu können.
In dieser Bachelorarbeit wird der Messengerdienst WhatsApp auf Mobilgeräten mit Android-Betriebssystem aus digitalforensischer Perspektive beleuchtet. Dazu werden technische Aspekte der Funktionsweise sowie von der Anwendung auf dem Gerät gespeicherte Dateien und die enthaltenen forensischen Artefakte ebenso diskutiert wie mehrere Möglichkeiten, WhatsApp betreffende Daten zu extrahieren. Des Weiteren werden sowohl das WhatsApp-interne als auch das Android-Systemlog analysiert, um den erstellten Einträgen die zugrunde liegenden Nutzeraktivitäten zuordnen zu können. Anschließend wird ein Programm vorgestellt, das die gewonnenen Erkenntnisse nutzt, um automatisiert aus den gegebenen Logdateien Ereignisse zu extrahieren und aufzubereiten.
Die Arbeit soll für forensische Untersuchungen, bei denen WhatsApp eine Rolle spielt, sowohl die Informationen als auch ein Werkzeug bereitstellen, mit dem die Aktivitäten des Nutzers nachvollzogen und wichtige Spuren gefunden werden können.
Die Analyse von Logdateien bietet in der Mobil-Forensik die Möglichkeit herauszufinden, wann welche Aktionen am Handy stattgefunden haben. Das Thema dieser Bachelorarbeit ist die Analyse bestimmter Protokolldateien unter Android. Der Schwerpunkt liegt in der Untersuchung der Ordner usagestats, recent_images und com.whatsapp, welche auf der Datenpartition liegen. In der Zielfragestellung dieser Studie gilt es festzustellen, ob die Protokolldateien in den jeweiligen Ordnern einen Hinweis auf die letzten Aktivitäten des Nutzers geben. Da sich bisher wenige Studien genauer mit der Protokollierung dieser Logdateien auseinandergesetzt haben, werden zu diesem Zwecke verschiedene Szenarien mit einem Android-Smartphone durchgeführt, um zu verstehen, was in den jeweiligen Dateien protokolliert wird. Dazu werden dieselben Szenarien auf drei unterschiedlichen Betriebssystemversionen getestet, um mögliche Unterschiede festzustellen und wesentliche Rückschlüsse für die Forensik zu folgern. Es ist zu beobachten, dass sich einige der untersuchten Dateien zur Beantwortung der Ausgangsfrage eignen, während andere Protokolldateien eher als kritisch zu betrachten sind.
Digital Forensic Readiness
(2018)
Inhalt dieser Bachelorarbeit ist die Etablierung der Digital Forensic Readiness in Unternehmen. Diese Arbeit soll zeigen wie sehr die Umsetzung der Digital Forensic Readiness zu einer effektiven Untersuchung beitragen kann. Best Practices sollen Institutionen als Verbesserungsmöglichkeiten dienen die Digital Forensic Readiness umzusetzen. Das Ende dieser Arbeit bildet ein selbstständig erarbeiteter Workshop. Die daraus entstandenen Ergebnisse werden eruiert, ausgewertet und abschließend diskutiert.
Konfiguration IT-forensischer Untersuchungspläne mittels wiederverwendbarer Methodenbausteine
(2017)
Das Ziel der vorliegenden Bachelorarbeit war es, die in meinem hochschulinternen Praxisprojekt, eingereicht am 12.05.2017, generierten Bausteine zur automatischen Erstellung von IT-forensischen Untersuchungsplänen zu verbessern und weiterzuentwickeln, um so eine höhere Abdeckung von Fällen zu erreichen. Dazu wurde Literatur gesichtet und ein Interview mit Herrn Alexander Sigel, DigiTrace GmbH Köln, geführt. Das Praxisprojekt wurde ebenfalls von Herrn Sigel betreut.
In dieser Arbeit konnten erfolgreich neue Bausteine konfiguriert und bereits vorhandene Attribute von bestehenden Bausteinen sinnvoll erweitert werden. Die automatisch generierten Untersuchungspläne, ausgehend von diesen Bausteinen, können als Gedankenstütze oder Checkliste dienen und Fehler während der Untersuchung oder während der Erstellung des Untersuchungsplans minimieren. Durch die zielgerichtete Abfrage nach bestimmen Untersuchungszielen auf bestimmten zu untersuchenden IT-forensischen Geräten, Objekten, auf denen ein bestimmtes Betriebssystem installiert ist, können die ausgegebenen Untersuchungsschritte gezielt an den Untersuchungsauftrag angepasst werden.
Die Bachelorarbeit ist sowohl für Studierende als auch für selbstständige oder angestellte IT-Forensiker interessant, die im Zuge ihrer Arbeit Untersuchungspläne erstellen, um die Untersuchung systematisch zu gestalten.
Die vorliegende Arbeit befasst sich mit der Analyse von Videos mit Kinder- und Jugendschauspielern, die durch die Forensik-Analyse-Software X-Ways Forensics gecarvt und gefiltert und von dem Gesichtserkennungsprogramm SHORE des Fraunhofer Instituts für Integrierte Schaltungen bezüglich Alter und Geschlecht analysiert werden. Die Biometrische Unterscheidung des Alters ist besonders bei der Erkennung und Differenzierung zwischen legaler Erwachsenenpornographie und inkriminierter Kinder- sowie Jugendpornografie entscheidend. Die Ergebnisse werden unter verfahrensechten Umständen getestet und auf Gerichtsverwertbarkeit geprüft. Um Vergleiche mit ähnlichen Produkten und der manuellen Arbeit eines erfahrenen Ermittlers zu erstellen, werden Testdaten mit bekannten Parametern eingespeist und bezüglich Treffer- und Fehlergenauigkeit sowie Dauer verglichen.