Refine
Document Type
- Bachelor Thesis (51)
- Master's Thesis (4)
Language
- German (55) (remove)
Keywords
- Computerforensik (55) (remove)
Institute
Diese Arbeit präsentiert einen forensischen Leitfaden zu Spezialverfahren der Datenrettung von Festplatten unter Nutzung des PC-3000 Express Systems. Die Grundlage bilden essentielle Informationen rund um eine Festplatte und die Bedienung des PC-3000 Express Systems. Anschließend wird ein in drei Teile gegliederter forensischer Leitfaden vorgestellt, der dem Leser mit jeder Unterteilung eine Konkretisierung auf das Thema Spezialverfahren der Datenrettung von Festplatten präsentieren soll. Auf der Grundlage des forensischen Leitfadens werden im Anschluss zwei Festplatten untersucht und mit Hilfe des PC-3000 Express Systems und kompatiblen Ersatzteilspendern erfolgreich gesichert. Ziel der Arbeit ist es, einen zukünftigen Benutzer in die Arbeit mit dem PC-3000 Express System einzuführen. Dabei soll der Arbeitsablauf bei der Untersuchung einer Festplatte fest an den Ablauf einer forensischen Untersuchung gebunden sein. So kann unabhängig vom forensischen Tätigkeitsfeld sichergestellt werden, dass ein Benutzer zukünftig auftretende Probleme von Festplatten effektiv und lösungsorientiert handhaben kann.
Die vorliegende Bachelorarbeit beschäftigt sich mit der Erstellung eines Audiodatensatzes zur sequentiellen Lokalisierung von Manipulationen. Die Motivation sich mit diesem Thema zu beschäftigen, resultiert aus der geringen Menge an öffentlichen Datensätzen im Hinblick der Multimediamanipulation und der Wichtigkeit von Audio in der Forensik (Khan et al., 2018; Luge, 2017). Dabei werden zunächst die Grundlagen aus den Themenbereichen Audio, Datensatz sowie Manipulation dargestellt. Für die Erstellung des Datensatzes, wurde zunächst eine Vielzahl an Daten bereitgestellt, indem mittels einem Pythonskript, Videos, von YouTube heruntergeladen sowie die Audiospur getrennt und im mp4-Format gespeichert wurden. Weiterhin erfolgte auf der Datenmenge, der Prozess der Datenbereinigung sowie das Umbenennen der Audiodateien. Anschließend ereignet sich die Darlegung des Konzeptes und die theoretische Beschreibung der Manipulierung sowie die exemplarische Durchführung der Manipulation. Daraufhin erfolgt die theoretische Darlegung der Aufteilung des Datensatzes in Test- und Trainingsdaten. Die Ergebnisse spiegeln wider, dass das geschriebene Pythonskript funktioniert und nahezu keine Fehler während des Downloads entsteht. Weiterhin zeigen sie auf, dass die exemplarische Durchführung funktioniert. Allerdings benötigt es zum einen noch die Umsetzung des in der Theorie dargelegten Manipulationsschrittes und zum anderen, darauf aufbauend, etwaige Evaluierungsschritte.
Diese Arbeit bildet einen Einstig in die Grundlagen der IT-Forensik und befasst sich mit der Evaluation der beiden Programme „X-Ways Forensics“ und „Magnet AXIOM“. Dabei werden die Stärken und Schwächen der beiden Tools aufgezeigt und Empfehlungen geben, für wen und für welchen Einsatz, welches Programm geeignet ist.
Mittels GPM3 können komplexe DNA- Mischspuren analysiert und STR- Profile ausgewertet werden. Zudem können durch Berechnungen die Genotypen, die in einer Mischung vorliegen, voneinander differenziert werden. Vor allem komplexe Mischspuren stellen einen Schwerpunkt bei der Spurenuntersuchung dar. Eine Anwendung von GPM3 ist die komponentenweise Dekonvolution von DNA- Mischspuren, bei der die Profile der beteiligten Personen aufgetrennt und die Wichtungen aller möglichen Genotypen ausgezählt werden. Dabei werden die Genotypkonstellationen (GTK) basierend auf den Peakhöhen, der Degradationsstärke und stochastischen Effekten bei Einsetzten von geringen DNA- Mengen modelliert. Der von der Firma Qualitype vorgegebene Grenzwert für die Wichtung, ab welcher mit einer hohen Wahrscheinlichkeit angenommen werden kann, dass es sich bei dieser GTK um den richtigen Genotyp der beteiligten Person handelt, liegt bei 90 %. Folglich werden Untersuchungen im Rahmen dieser Arbeit zu diesem Grenzwert anhand von verschiedenen 2- Personen- Mischungen in unterschiedlichen Konzentrationen mittels der Dekonvolution mit dem vollständig- kontinuierlichen Modell durchgeführt.
In der Arbeit werden dazu die jeweiligen Abstände der Wichtungen in Prozent der GTK der beteiligten Personen jeder Mischung berechnet und überprüft, ob die am höchsten gewichteten Genotypen in GPM3 den richtigen Allelkombinationen der jeweiligen Person entsprechen. Hierbei wird der Abstand der Konstellation mit der größten Wichtung zur „wahren“ Konstellation berechnet. Aus den Mittelwerten der prozentualen Abstände soll anschließend der Ähnlichkeitswert der Wichtung, ab welchem noch mit sehr hoher Wahrscheinlichkeit die richtige GTK ausgegeben wird, ermittelt werden.
Das Ziel der Bachelorarbeit ist es, die Möglichkeiten und Grenzen der Dekonvolution von Mischspuren mit der GPM3- Software bei verschiedenen Analysebedingungen zu bewerten und einen Auswerteparameter in Abhängigkeit von den Abständen der Wichtungen in Prozent und den Konzentrationen der einzelnen Mischungen zu validieren. Zudem soll die Nachweisgrenze der Analysemethode untersucht werden, um eine Aussage über die Minimalmenge an einzusetzender DNA treffen zu können
Messengerdaten auf Mobiltelefonen sind häufig für Ermittlungs- und Strafverfahren relevant. Eine händische Untersuchung dieser ist für einen digitalen Forensiker jedoch sehr arbeits- und zeitintensiv. Aus diesem Grund wird in dieser Bachelorarbeit ein möglichst effektives Verfahren
zur Auswertung und Aufbereitung von Messengerdaten auf Mobiltelefonen vorgestellt, welches digitalen Forensikern als Leitfaden dienen soll. Das vorgestellte Verfahren kann für jeden Messenger verwendet werden und basiert auf der Methode des Reverse Engineerings. Um dessen Anwendung zu demonstrieren und seine Funktionalität unter Beweis zu stellen, werden die Daten des Messengers TamTam, insbesondere die Datenbanken, exemplarisch ausgewertet und aufbereitet.
Im Rahmen der vorliegenden Bachelorarbeit sollte ein Add-On zur semi-automatischen Phantombilderstellung in Blender erstellt werden. Hierfür wurden bereits bestehende Add-Ons von Einzelprozessen der Gesichtsweichteilrekonstruktion miteinander verbunden und einem einheitlichen Bild angepasst. Zudem wurden Anpassungen und Erweiterungen an den Add-Ons vorgenommen, um die Anwenderfreundlichkeit zu erhöhen. Abschließend wurde das Ergebnis mit anderen Computergestützten Rekonstruktionsmethoden verglichen.
Die vorliegende Arbeit befasst sich mit einem Vergleich zwischen nationalen und internationalen Verwendungsmöglichkeiten des Werkzeugs eDiscovery in der M365 Cloud. Dabei werden verschiedene technische Einschränkungen vorgestellt, welche die Datenschutzrechtlich konforme Nutzung dieses Werkzeuges ermöglich sollen.
In dieser Bachelorarbeit wird der Messengerdienst WhatsApp auf Mobilgeräten mit Android-Betriebssystem aus digitalforensischer Perspektive beleuchtet. Dazu werden technische Aspekte der Funktionsweise sowie von der Anwendung auf dem Gerät gespeicherte Dateien und die enthaltenen forensischen Artefakte ebenso diskutiert wie mehrere Möglichkeiten, WhatsApp betreffende Daten zu extrahieren. Des Weiteren werden sowohl das WhatsApp-interne als auch das Android-Systemlog analysiert, um den erstellten Einträgen die zugrunde liegenden Nutzeraktivitäten zuordnen zu können. Anschließend wird ein Programm vorgestellt, das die gewonnenen Erkenntnisse nutzt, um automatisiert aus den gegebenen Logdateien Ereignisse zu extrahieren und aufzubereiten.
Die Arbeit soll für forensische Untersuchungen, bei denen WhatsApp eine Rolle spielt, sowohl die Informationen als auch ein Werkzeug bereitstellen, mit dem die Aktivitäten des Nutzers nachvollzogen und wichtige Spuren gefunden werden können.
Die vorliegende Arbeit untersucht eine Datenbank mit der Bezeichnung UsageReportsBuffer, die der Webbrowser Chrome auf Android-Geräten anlegt, sowie mögliche Implikationen für die digitalforensische Auswertung. Von besonderem Interesse sind die Fragen, welche Informationen nach welchen Regeln in der Datenbank abgelegt werden, welchem Zweck die Datenbank dient und ob der Nutzer des Gerätes Einfluss auf den Datenbestand nehmen kann. Die Untersuchung ergibt, dass die circa 100 zuletzt aufgerufenen URLs, sowie dazugehörige Zeitstempel gespeichert werden. Der Nutzer kann dieser Datenerhebung nicht widersprechen oder die Datenbank löschen. Die Aufzeichnung kann lediglich durch Verwendung der Inkognito-Funktion unterbunden werden. Jedoch wird die Datenbank von aktuellen Versionen der Chrome-Anwendung nicht mehr angelegt.
Die vorliegende Arbeit befasst sich mit der Analyse von ShellBags in Windows-Betriebssystemen. Die Untersuchungen beziehen sich auf Windows XP, 7 und 10, welche als virtuelle Maschinen in VMware Workstation Pro integriert wurden. Da die ShellBag-Registrierungsschlüssel neben Ansichtseinstellungen im Datei-Explorer auch Einträge zu Aktivitäten in und mit verschiedenen Ordnern, in Netzlaufwerken sowie mit externen Speichermedien enthalten, liefern sie für forensische Analysen wertvolle Hinweise. Darüber hinaus können auch die darin befindlichen Zeitstempel zur Auswertung herangezogen werden. Hierfür wurden verschiedene Testreihen durchgeführt. Der Vergleich von ShellBag-Zuständen vor und nach einer Aktivität basiert auf dem Tool Compare It!, welches die Gegenüberstellung zweier .reg-Dateien erlaubt. Die Ergebnisse bestätigen,
dass auch heute noch eine Weiterentwicklung der ShellBags erfolgt, da stets Änderungen vorgenommen und neue Informationen hinzugefügt werden. Dennoch hat sich zum großen Teil eine einheitliche Ablage der Informationen herausgebildet.
In der heutigen Gesellschaft finden zunehmend Fitnesstracker Anwendung. Viele Menschen sind daran interessiert ihre körperlichen Aktivitäten über den Alltag hinweg aufzuzeichnen, um einen Überblick über ihre Gesundheit oder Fitness zu erhalten. Aufgezeichnete körperliche Aktivitäten sollen in dieser Arbeit speziell mit GPS-Positionen, die auf einem separaten Gerät von derselben Person generiert wurden, in Verbindung gesetzt werden. Konkret wird eine Datenkopplung innerhalb eines Aggregationsalgorithmus für Geo-Positionen integriert. Die Aktivitätsdaten werden ausgewertet und über eine Java-Applikation dem Anwender zur Verfügung gestellt. Als Anwender kommen z.B. IT-Forensiker infrage. Um die Tauglichkeit zu testen, wurden über einen Zeitraum von zwei Wochen Testdatensätze mit einem Garmin vívosmart 4 und einem Android-Smartphone erho-ben. Das Ergebnis der in dieser Arbeit durchgeführten Implementierung ermöglicht eine Zusammenführung und Analyse dieser Daten auf Anwendungsebene.
Diese Arbeit beschäftigt sich mit der Untersuchung von Bild- und Videomaterial auf Anzeichen von Manipulationen. Erst werden Methoden vorgestellt, die bei regulären Manipulationen zu Erfolgen führen können. Anschließend werden mit den gleichen Methoden Deep-Fake Videos untersucht, um zu prüfen, ob diese einfachen Methoden auch bei Deep-Fakes funktionieren können.
Diese Arbeit widmet sich dem Vergleich forensischer Software in der mobilen Forensik. Das Ziel der Arbeit besteht darin, forensische Images mit mehreren Tools zu analysieren und die Ergebnisse gegenüberzustellen. Dabei wird insbe-sondere auf die Qualität der Ergebnisse und der auf die Analyse verwendete Zeitaufwand berücksichtigt. Der Vergleich schließt die Tools XRY von MSAB, Oxygen Forensic Detective von Oxygen Forensics und das Open-Source Tool Autopsy ein.
Das Ziel in der vorliegenden Arbeit ist es zu beantworten, ob die Programme Magnet AXIOM und Kipo Analyzer sich für die Klassifikation von Kinderpornographie eignen. Dazu wird folgende Forschungsfrage gestellt: Erkennen die Programme Magnet AXIOM und Kipo Analyzer ausreichend kinderpornographisches Material von gesicherten Asservaten, um die Anforderungen zur Entlastung von Ermittlern zu erfüllen? Zur Beantwortung dieser Frage wurde ein selbst zusammengestellter Datensatz mit den Programmen getestet. Hierbei erzielte das Programm Magnet AXIOM einen Recall von 70,13 % und eine Spezifität von 60,42 %. Im Vergleich erzielte der Kipo Analyzer einen Recall von 42,56 % und eine Spezifität von 97,5 %. Die Präzision und der F1-Score fiel bei beiden Programmen schlecht aus durch den unausgeglichenen Datensatz. Abschließend kann keine endgültige Aussage über die Eignung der Programme hinsichtlich der Klassifikation von Kinderpornographie gemacht werden. Die Programme müssten mit unterschiedlichen Datensätzen und Zusammensetzungen getestet werden.
Diese Arbeit erläutert, wie automatisiert aus den derzeit gängigen Browsern - namentlich Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox sowie Opera, die Datenbanken aus forensischen Windows-Datenträgerkopien extrahiert werden können. Dabei werden diese Browser in dem Datenträgerabbild mittels Registry-Verweisen festgestellt und anschließend ihre Datenbanken aus den gängigen Pfaden extrahiert. Daraufhin werden alle Verläufe mittels einer dynamischen Liste gefiltert. Als Ergebnis entsteht ein neues Datenträgerabbild mit den enthaltenen Datenbanken der Browser. Das Ergebnis soll den Ermittlern Zeit bei der Durchsuchung der Browserdaten sparen, indem der Verlauf bereits gefiltert vorliegt.
Die vorliegende Arbeit beschäftigt sich mit der Erforschung des Datenvorkommens im Hinblick auf die Ermittlung flüchtiger Daten an ausgewählten Wireless Local Area Network (WLAN)-Routern. Diese werden im Hinblick auf strafrechtlich relevante Fragestellungen untersucht. Es werden die Möglichkeiten der methodisch und systematischen Datensicherung eruiert und wie diese gewonnen und ausgewertet werden können.
Erstellung eines Autopsy-Moduls zum Erkennen und Carven von Dateien von Kryptowährungs Wallets
(2022)
Zum Erkennen und Carven von Dateien von Kryptowährungs-Wallets wird ein Autopsy-Modul erstellt und evaluiert. Dieses soll bei Electrum, Exodus, Firefly, Wasabi, Monero, Ledger Live, Guarda und den Browser-Erweiterungen Coinbase, Binance und MetaMask auf Untersuchungsdatenträgers nach relevanten Dateien suchen, auch wenn diese gelöscht sind oder das Dateisystem defekt ist. Dazu wird das in Autopsy verwendete PhotoRec um Signaturen erweitert.
Digital Forensic Readiness
(2018)
Inhalt dieser Bachelorarbeit ist die Etablierung der Digital Forensic Readiness in Unternehmen. Diese Arbeit soll zeigen wie sehr die Umsetzung der Digital Forensic Readiness zu einer effektiven Untersuchung beitragen kann. Best Practices sollen Institutionen als Verbesserungsmöglichkeiten dienen die Digital Forensic Readiness umzusetzen. Das Ende dieser Arbeit bildet ein selbstständig erarbeiteter Workshop. Die daraus entstandenen Ergebnisse werden eruiert, ausgewertet und abschließend diskutiert.
Immer häufiger greifen technikbegeisterte Personen zu Smart-Home Geräten für ihre eigenen vier Wänden. Durch diese Geräte, kann der Weg zur Tür abgenommen oder die Bestellung über eine Onlineplattform erleichtert werden. Der Nutzen dieser meist kleinen aber durchdachten komplexen Maschinen ist enorm. Um der Schnelllebigkeit entgegen zu wirken, werden immer kreativere Wege gesucht. IoT-Geräte ermöglichen das Ersetzen der lokalen Einstellung am Gerät selbst. Bspw. kann so die Heizungssteuerung auf dem Heimweg vorgenommen werden. Dadurch spielt eine klare Sicherheitsdefinition für den Umgang mit persönlichen Daten eine größer werdende Rolle. Hierbei stellt sich die Frage, wie anfällig solche Anlagen sind. Das Kernstück dieser Arbeit wird sich mit der Feststellung von möglichen Schwachstellen in Innogy Smart-Home-Geräten beschäftigen. Insbesondere werden Endgeräte untersucht, welche bereits Einzug in den Alltag gefunden haben. Ansätze der Informationssicherheit und der digitalen Forensik werden in realitätsnahen Szenarien aufgezeigt und analysiert. Es werden Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik und gesetzliche Vorgaben berücksichtigt. Teile des Sicherheitskonzeptes werden transparent dargestellt.
Die vorliegende Bachelorarbeit soll Erkenntnisse über die sicherheitsrelevanten Schwachstellen einer Android Applikation liefern. Hierbei werden theoretische sowie praktische Analysen aus der digitalen Forensik durchgeführt. Die dabei verwendeten Methoden sind in der forensischen Informatik etabliert und gewähren einen fundierten und strukturierten Ablauf.
Die aus jenen Vorgaben entstandenen Ergebnisse, weisen ein moderates, kritisches Sicherheitsmanagement der zu analysierenden Anwendung auf. Diese Bachelorarbeit richtet sich sowohl an Studierende mit Interesse für Sicherheitsüberprüfungen spezieller Anwendungen und forensische Strukturen und Richtlinien als auch an Fachleute im Bereich der Informationstechnik.