Refine
Document Type
- Bachelor Thesis (52)
- Master's Thesis (4)
Keywords
- Computerforensik (56) (remove)
Institute
- Angewandte Computer‐ und Biowissenschaften (56) (remove)
In dieser Bachelorarbeit werden die Artefakte im Arbeitsspeicher unter den Betriebssystemen Microsoft Windows und Linux der Web Clients der Instant-Messengerdienste WhatsApp und Telegram aus forensischer Perspektive beleuchtet. Hierfür werden die technischen Aspekte der Funktionsweise sowie von der Anwendung auf dem Gerät im Internetcache enthaltene Artefakte digital forensisch analysiert und diskutiert. Die gewonnenen Erkenntnisse sollen zukünftige forensische Untersuchungen, bei denen Instant-Messengerdienste wie WhatsApp oder Telegram eine Rolle spielen, vereinfachen und die Interpretation der gefundenen Artefakte unterstützen.
In dieser Bachelorarbeit wird der Messengerdienst WhatsApp auf Mobilgeräten mit Android-Betriebssystem aus digitalforensischer Perspektive beleuchtet. Dazu werden technische Aspekte der Funktionsweise sowie von der Anwendung auf dem Gerät gespeicherte Dateien und die enthaltenen forensischen Artefakte ebenso diskutiert wie mehrere Möglichkeiten, WhatsApp betreffende Daten zu extrahieren. Des Weiteren werden sowohl das WhatsApp-interne als auch das Android-Systemlog analysiert, um den erstellten Einträgen die zugrunde liegenden Nutzeraktivitäten zuordnen zu können. Anschließend wird ein Programm vorgestellt, das die gewonnenen Erkenntnisse nutzt, um automatisiert aus den gegebenen Logdateien Ereignisse zu extrahieren und aufzubereiten.
Die Arbeit soll für forensische Untersuchungen, bei denen WhatsApp eine Rolle spielt, sowohl die Informationen als auch ein Werkzeug bereitstellen, mit dem die Aktivitäten des Nutzers nachvollzogen und wichtige Spuren gefunden werden können.
Die Analyse von Logdateien bietet in der Mobil-Forensik die Möglichkeit herauszufinden, wann welche Aktionen am Handy stattgefunden haben. Das Thema dieser Bachelorarbeit ist die Analyse bestimmter Protokolldateien unter Android. Der Schwerpunkt liegt in der Untersuchung der Ordner usagestats, recent_images und com.whatsapp, welche auf der Datenpartition liegen. In der Zielfragestellung dieser Studie gilt es festzustellen, ob die Protokolldateien in den jeweiligen Ordnern einen Hinweis auf die letzten Aktivitäten des Nutzers geben. Da sich bisher wenige Studien genauer mit der Protokollierung dieser Logdateien auseinandergesetzt haben, werden zu diesem Zwecke verschiedene Szenarien mit einem Android-Smartphone durchgeführt, um zu verstehen, was in den jeweiligen Dateien protokolliert wird. Dazu werden dieselben Szenarien auf drei unterschiedlichen Betriebssystemversionen getestet, um mögliche Unterschiede festzustellen und wesentliche Rückschlüsse für die Forensik zu folgern. Es ist zu beobachten, dass sich einige der untersuchten Dateien zur Beantwortung der Ausgangsfrage eignen, während andere Protokolldateien eher als kritisch zu betrachten sind.
In der Arbeit werden zwei weit verbreitete Computer-Forensik-Tools verglichen und bewertet. X-Ways Forensic und Autopsy wurden als beispielhafte Vertreter der Kategorien "proprietäre Tools" sowie "freie Tools" gewählt. Es werden anhand eines Kriterienkatalogs und verschiedener Test-Szenarien die einzelnen Funktionen systematisch evaluiert.
Diese Arbeit erläutert, wie automatisiert aus den derzeit gängigen Browsern - namentlich Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox sowie Opera, die Datenbanken aus forensischen Windows-Datenträgerkopien extrahiert werden können. Dabei werden diese Browser in dem Datenträgerabbild mittels Registry-Verweisen festgestellt und anschließend ihre Datenbanken aus den gängigen Pfaden extrahiert. Daraufhin werden alle Verläufe mittels einer dynamischen Liste gefiltert. Als Ergebnis entsteht ein neues Datenträgerabbild mit den enthaltenen Datenbanken der Browser. Das Ergebnis soll den Ermittlern Zeit bei der Durchsuchung der Browserdaten sparen, indem der Verlauf bereits gefiltert vorliegt.
The objective of this Bachelor Project is the creation of a tool that should support forensic investigators during IT forensic interventions. It uses Kismet as the base program and adds functionalities to it via the plugin interface. The installation of the plugin shall be explained, how the plugin works, and a recommendation on how to use it. To understand the underlying basics, an introduction about WLAN and Bluetooth is given. The tests that were performed with the new plugin are described as well as their results. It is therefore briefly discussed why the tool is applicable for locating Wi-Fi devices, especially access points, but not Bluetooth devices. Using all this a few ideas on how to improve the tool and what can be researched in this area are provided.
Die Idee des Autors dieser Bachelorarbeit, sich mit der Entwicklung eines Tools zur Detektion falsch positiver Zeitstempel in Zeitreihen zu beschäftigen, formte sich während seiner Tätigkeit für die Abteilung IT-Forensik [int18c] der intersoft consulting services AG.
„Die intersoft consulting services AG ist spezialisiert auf Beratungsleistungen in den Bereichen Datenschutz, IT-Sicherheit und IT-Forensik [int18b].“
Gerade in dem Geschäftsumfeld der IT-Forensik ist häufig die Erstellung einer Zeitreihe nötig um eine IT-Forensische Analyse voranzutreiben. Da die intersoft consulting services AG hauptsächlich im Unternehmensfeld tätig ist, ist besonders das Analysieren von Desktoprechnern beim Verdacht der Weitergabe von firminternen Daten von Relevanz. Dabei hilft die Erstellung einer Zeitreihe, um die Vorgänge auf dem Desktoprechner nachvollziehen zu können. Dabei ist es möglich, auf manipulierte, falsch positive Zeitstempel zu stoßen, welche die forensische Analyse erschweren und verfälschen können.
Das entwickelte Tool detectFPTimetamps.py kann dabei helfen, den Prozess der Analyse durch eine Zeitreihe zu vereinfachen und zu erleichtern, indem die falsch positiven Zeitstempel detektiert werden. Das Tool ist in Python 3 geschrieben und enthält die Suite Plaso/log2timeline, TSK (R) und das Tool analyzeMFT.py.
So wird ein Tool geschaffen, welches einer ständigen Anpassung an den Stand der Technik und dann das Dateisystem benötigt.
In der vorliegenden Bachelorarbeit wird auf den Nutzen sowie aktuelle Möglichkeiten bei der IT-forensischen Analyse des Arbeitsspeichers aktueller Computersysteme mit DDR4- Speichermodulen eingegangen. Es wird sich dabei sowohl auf generelle, als auch im Zuge der DDR4-Technik eingeführte, Funktionalitäten des physischen Arbeitsspeichers bezogen. Die Auswertbarkeit des Arbeitsspeichers wird aus IT-forensischer Sicht betrachtet und damit auftretende Problematiken für die IT-Forensik evaluiert. In der vorliegenden Arbeit wird vorrangig auf Methodiken der Analyse verschiedener Windows Hibernation Files, sowie den Cold Boot Ansatz eingegangen. Bei letzterem liegt der Schwerpunkt auf der Analyse verschleierter (gescrambelter) Arbeitsspeicherinhalte, sowie einem möglichen Ansatz effektiv Scrambler-Schlüssel aus diesen zu ermitteln.
Die vorliegende Arbeit befasst sich mit der Kombination der digitalen Forensik mit dem Organisationsziel des Datenschutzes. Es wird untersucht, wie forensische Arbeiten im Rahmen der bestehenden Datenschutzgesetze anzusiedeln sind. Dafür werden die gesetzlichen Grundlagen, welche in Deutschland gelten, thematisiert sowie wird in einem praktischen Beispiel das Auskunftsrecht bei einem sozialen Netzwerk wahrgenommen und die erhaltenen Daten analysiert. Des Weiteren wird in dieser Arbeit dargestellt, welche forensischen Hilfstools und Methoden angewandt werden können, um Datenschutzverletzungen oder das datenschutzkonforme Arbeiten eines Verantwortlichen nachweisen zu können.
Digital Forensic Readiness
(2018)
Inhalt dieser Bachelorarbeit ist die Etablierung der Digital Forensic Readiness in Unternehmen. Diese Arbeit soll zeigen wie sehr die Umsetzung der Digital Forensic Readiness zu einer effektiven Untersuchung beitragen kann. Best Practices sollen Institutionen als Verbesserungsmöglichkeiten dienen die Digital Forensic Readiness umzusetzen. Das Ende dieser Arbeit bildet ein selbstständig erarbeiteter Workshop. Die daraus entstandenen Ergebnisse werden eruiert, ausgewertet und abschließend diskutiert.
Diese Arbeit präsentiert einen forensischen Leitfaden zu Spezialverfahren der Datenrettung von Festplatten unter Nutzung des PC-3000 Express Systems. Die Grundlage bilden essentielle Informationen rund um eine Festplatte und die Bedienung des PC-3000 Express Systems. Anschließend wird ein in drei Teile gegliederter forensischer Leitfaden vorgestellt, der dem Leser mit jeder Unterteilung eine Konkretisierung auf das Thema Spezialverfahren der Datenrettung von Festplatten präsentieren soll. Auf der Grundlage des forensischen Leitfadens werden im Anschluss zwei Festplatten untersucht und mit Hilfe des PC-3000 Express Systems und kompatiblen Ersatzteilspendern erfolgreich gesichert. Ziel der Arbeit ist es, einen zukünftigen Benutzer in die Arbeit mit dem PC-3000 Express System einzuführen. Dabei soll der Arbeitsablauf bei der Untersuchung einer Festplatte fest an den Ablauf einer forensischen Untersuchung gebunden sein. So kann unabhängig vom forensischen Tätigkeitsfeld sichergestellt werden, dass ein Benutzer zukünftig auftretende Probleme von Festplatten effektiv und lösungsorientiert handhaben kann.
Die vorliegende Arbeit befasst sich mit einem Vergleich zwischen nationalen und internationalen Verwendungsmöglichkeiten des Werkzeugs eDiscovery in der M365 Cloud. Dabei werden verschiedene technische Einschränkungen vorgestellt, welche die Datenschutzrechtlich konforme Nutzung dieses Werkzeuges ermöglich sollen.
Entwicklung einer Methode zur Empfehlung von Suchbegriffen
und -phrasen im forensischen Kontext
(2021)
Diese Arbeit befasst sich mit der Entwicklung einer Methode zur Empfehlung von Suchbegriffen und -phrasen im forensischen Kontext. In der forensischen Fallarbeit stellen Kurznachrichten auf mobilen Endgeräten eine zentrale Beweisquelle dar. Häufig sind Ermittler hierbei mit umfangreichen Chatverläufen konfrontiert. Das Ziel besteht darin, den Ermittler bestmöglich bei der Arbeit mit der enormen Datenmenge zu unterstützen, indem ihm die relevantesten Begriffe des Datensatzes vorgeschlagen werden. Hierfür wurden unter anderem Algorithmen der Keyword Extraction, der explorativen Datenanalyse sowie des Word Association Minings untersucht. Als erfolgversprechendste Ansätze erwiesen sich das Topic Modeling mit einer Term-Kookkurrenzmatrix als Eingabe, die Vorhersage von thematisch ähnlichen Begriffen mittels der Latent Dirichlet Allocation sowie die Analyse von paradigmatischen Relationen.
Die vorliegende Arbeit untersucht, wie eine Ontologie mobile Kommunikation für forensische Auswertungen abbilden kann und welche Chancen sich aus dieser Art von Repräsentation ergeben. Prinzipiell stellen Ontologien einen Lösungsansatz für die wachsenden Herausforderungen im Bereich der digitalen Forensik dar. Vor allem die Heterogenität und stark zunehmende Menge der auszuwertenden Daten stellt die Strafverfolgungsbehörden vor Probleme. Forensische Tools unterstützen bei der Extraktion und Analyse von Daten. Allerdings weisen sie in bestimmten Aspekten ihre individuellen Grenzen auf. Ontologien ermöglichen dabei die Interoperabilität zwischen forensischen Tools und somit die Kombination der jeweiligen Vorteile von diesen Tools. Somit können insbesondere (Teil-)Automatisierungen im Ermittlungsprozess realisiert werden, was zur Ersparnis von Zeit und Ressourcen führt. Darüber hinaus lassen sich anhand von Ontologien logische Schlussfolgerungen herleiten und weitere Methoden aus dem Bereich der künstlichen Intelligenz anwenden. Diese Arbeit verwendet die CASE-Ontologie als Grundlage zur Entwicklung einer Ontologie, welche mobile Kommunikation im Kontext forensischer Untersuchungen repräsentiert. Darüber hinaus wird im experimentellen Teil der Arbeit das Datenmodell einer forensischen Plattform zur Auswertung mobiler Kommunikation auf die entworfene Ontologie abgebildet. Zusätzlich wird ein semantischer Webserver prototypisch aufgesetzt, um einen Anwendungstest der Ontologie durchführen zu können.
Die vorliegende Arbeit beschäftigt sich mit der Umsetzung einer Viewer X-Tension für die Darstellung von ESE Datenbanken in X-Ways Forensics. Dazu wird vor allem der konkrete Aufbau und die Struktur einer ESE Datenbank analysiert und vorgestellt. Weiterhin werden die technischen Grundlagen der Software X-Ways Forensics und der X-Tensions-API zur Erstellung einer Erweiterung gelegt. Zudem werden die Schritte der Umsetzung aufgezeigt und die konkrete Programmimplementierung an Code-Beispielen erläutert.
Im Rahmen der vorliegenden Bachelorarbeit sollte ein Add-On zur semi-automatischen Phantombilderstellung in Blender erstellt werden. Hierfür wurden bereits bestehende Add-Ons von Einzelprozessen der Gesichtsweichteilrekonstruktion miteinander verbunden und einem einheitlichen Bild angepasst. Zudem wurden Anpassungen und Erweiterungen an den Add-Ons vorgenommen, um die Anwenderfreundlichkeit zu erhöhen. Abschließend wurde das Ergebnis mit anderen Computergestützten Rekonstruktionsmethoden verglichen.
In dieser Bachelorarbeit wird ein Workflow zur standardisierten Frisurenerstellung im Rahmen der computergestützten Gesichtsweichteilrekonstruktion beschrieben. Dafür wurde die kostenfreie Open-Source Software Blender mit der Versionsnummer 2.8 verwendet. Der Workflow wurde mithilfe des blenderinternen Partikelsystems erstellt.
Die vorliegende Bachelorarbeit beschäftigt sich mit der Erstellung eines Audiodatensatzes zur sequentiellen Lokalisierung von Manipulationen. Die Motivation sich mit diesem Thema zu beschäftigen, resultiert aus der geringen Menge an öffentlichen Datensätzen im Hinblick der Multimediamanipulation und der Wichtigkeit von Audio in der Forensik (Khan et al., 2018; Luge, 2017). Dabei werden zunächst die Grundlagen aus den Themenbereichen Audio, Datensatz sowie Manipulation dargestellt. Für die Erstellung des Datensatzes, wurde zunächst eine Vielzahl an Daten bereitgestellt, indem mittels einem Pythonskript, Videos, von YouTube heruntergeladen sowie die Audiospur getrennt und im mp4-Format gespeichert wurden. Weiterhin erfolgte auf der Datenmenge, der Prozess der Datenbereinigung sowie das Umbenennen der Audiodateien. Anschließend ereignet sich die Darlegung des Konzeptes und die theoretische Beschreibung der Manipulierung sowie die exemplarische Durchführung der Manipulation. Daraufhin erfolgt die theoretische Darlegung der Aufteilung des Datensatzes in Test- und Trainingsdaten. Die Ergebnisse spiegeln wider, dass das geschriebene Pythonskript funktioniert und nahezu keine Fehler während des Downloads entsteht. Weiterhin zeigen sie auf, dass die exemplarische Durchführung funktioniert. Allerdings benötigt es zum einen noch die Umsetzung des in der Theorie dargelegten Manipulationsschrittes und zum anderen, darauf aufbauend, etwaige Evaluierungsschritte.
Erstellung eines Autopsy-Moduls zum Erkennen und Carven von Dateien von Kryptowährungs Wallets
(2022)
Zum Erkennen und Carven von Dateien von Kryptowährungs-Wallets wird ein Autopsy-Modul erstellt und evaluiert. Dieses soll bei Electrum, Exodus, Firefly, Wasabi, Monero, Ledger Live, Guarda und den Browser-Erweiterungen Coinbase, Binance und MetaMask auf Untersuchungsdatenträgers nach relevanten Dateien suchen, auch wenn diese gelöscht sind oder das Dateisystem defekt ist. Dazu wird das in Autopsy verwendete PhotoRec um Signaturen erweitert.