Refine
Document Type
- Bachelor Thesis (52)
- Master's Thesis (4)
Keywords
- Computerforensik (56) (remove)
Institute
Die Auswertung von Kurznachrichten, die auf mobilen Endgeräten gespeichert sind, nimmt bei strafrechtlichen Ermittlungen immer mehr an Bedeutung zu. Häufig sind Ermittler hierbei mit umfassenden Nachrichtenmengen konfrontiert. Um einen Überblick zu erhalten, wäre eine kompakte Zusammenfassung der zahlreichen Nachrichten hilfreich. Eine Möglichkeit diese automatisiert zu erhalten, stellt die Themenmodellierung dar. Diese ist allerdings bei forensischen Kommunikationsdaten mit besonderen Herausforderungen verbunden. Zu diesen zählt die Tatsache, dass der Ermittler oft eine Erwartungshaltung an die Themen hat, wobei die für ihn interessanten Themen häufig nur zu einem geringen Anteil in den Daten vertreten sind. Um ihn bei dem Finden von Beweisen zu diesen Themen zu unterstützen, wurden zwei Methoden der halbüberwachten Themenmodellierung und Erweiterungen basierend auf Word Embeddings und paradigmatischen Relationen miteinander verglichen. Insbesondere für umgangssprachliche Kurznachrichten ist die Evaluierung der Themenmodellierung als schwierig anzusehen, da bisherige Studien gezeigt haben, dass gängige quantitative Evaluierungsmaße bei diesen nicht unbedingt die tatsächliche Interpretierbarkeit der Themen widerspiegeln. Daher bestand ein weiteres Ziel der Arbeit darin zu untersuchen, inwieweit die Ergebnisse einer regelmäßig angewendeten automatischen Evaluierungsmethode durch eine Nutzerstudie wiedergegeben werden. Insgesamt konnte festgestellt werden, dass nach der quantitativen Evaluierung die halbüberwachte Themenmodellierung unter Einbeziehung von paradigmatischen Relationen als besonders erfolgversprechend angesehen werden kann, während nach der Nutzerstudie vor allem die Word Embeddings die Ergebnisse der halbüberwachten Themenmodellierung verbessern konnten. Des Weiteren zeigte sich, dass keine Korrelation zwischen den Resultaten der automatischen Evaluierung und der Nutzerstudie vorlag.
Die vorliegende Arbeit beschäftigt sich mit der Umsetzung einer Viewer X-Tension für die Darstellung von ESE Datenbanken in X-Ways Forensics. Dazu wird vor allem der konkrete Aufbau und die Struktur einer ESE Datenbank analysiert und vorgestellt. Weiterhin werden die technischen Grundlagen der Software X-Ways Forensics und der X-Tensions-API zur Erstellung einer Erweiterung gelegt. Zudem werden die Schritte der Umsetzung aufgezeigt und die konkrete Programmimplementierung an Code-Beispielen erläutert.
Die vorliegende Bachelorarbeit beschäftigt sich mit der Erstellung eines Audiodatensatzes zur sequentiellen Lokalisierung von Manipulationen. Die Motivation sich mit diesem Thema zu beschäftigen, resultiert aus der geringen Menge an öffentlichen Datensätzen im Hinblick der Multimediamanipulation und der Wichtigkeit von Audio in der Forensik (Khan et al., 2018; Luge, 2017). Dabei werden zunächst die Grundlagen aus den Themenbereichen Audio, Datensatz sowie Manipulation dargestellt. Für die Erstellung des Datensatzes, wurde zunächst eine Vielzahl an Daten bereitgestellt, indem mittels einem Pythonskript, Videos, von YouTube heruntergeladen sowie die Audiospur getrennt und im mp4-Format gespeichert wurden. Weiterhin erfolgte auf der Datenmenge, der Prozess der Datenbereinigung sowie das Umbenennen der Audiodateien. Anschließend ereignet sich die Darlegung des Konzeptes und die theoretische Beschreibung der Manipulierung sowie die exemplarische Durchführung der Manipulation. Daraufhin erfolgt die theoretische Darlegung der Aufteilung des Datensatzes in Test- und Trainingsdaten. Die Ergebnisse spiegeln wider, dass das geschriebene Pythonskript funktioniert und nahezu keine Fehler während des Downloads entsteht. Weiterhin zeigen sie auf, dass die exemplarische Durchführung funktioniert. Allerdings benötigt es zum einen noch die Umsetzung des in der Theorie dargelegten Manipulationsschrittes und zum anderen, darauf aufbauend, etwaige Evaluierungsschritte.
Ziel der Arbeit ist es, innerhalb einer forensischen Analyse die Ablagestruktur der Chatanwendung Viber unter dem Betriebssystem iOS zu analysieren. Darüber hinaus sollen Dateien analysiert werden, um relevante Informationen zu Chats zu extrahieren und auswertbar zu machen. Bei der Recherche zum aktuellen Forschungsstand wurden kaum Arbeiten gefunden, welche eine tiefgehende forensische Analyse von Viber auf iOS-Geräten zum Gegenstand haben. Für die Auswertung wurden Testdaten in Form von Einzel- und Gruppenchats auf iOS-Geräten erstellt und die Geräte anschließend IT-forensisch ausgelesen. Durch die Verwendung des Auslesegerätes UFED Touch2 konnte die Ablagestruktur mittels des UFED-Readers analysiert und dokumentiert werden. Die Analyse der Dateien brachte Informationen aus den zwei Hauptdatenbanken 'Settings.data' und 'Contacts.data' hervor. Hierbei wurden alle Tabellen analysiert und Informationen zu den relevanten Spalten dokumentiert. Abschließend wurden für einen Leitfaden zur Rekonstruktion von Chats SQL-Befehle erstellt, welche zum einen eine Zusammenfassung von Informationen zu Konversationen und zum anderen eine Wiederherstellung von Chatverläufen der einzelnen Konversationen möglich machen sollen.
Das Ziel in der vorliegenden Arbeit ist es zu beantworten, ob die Programme Magnet AXIOM und Kipo Analyzer sich für die Klassifikation von Kinderpornographie eignen. Dazu wird folgende Forschungsfrage gestellt: Erkennen die Programme Magnet AXIOM und Kipo Analyzer ausreichend kinderpornographisches Material von gesicherten Asservaten, um die Anforderungen zur Entlastung von Ermittlern zu erfüllen? Zur Beantwortung dieser Frage wurde ein selbst zusammengestellter Datensatz mit den Programmen getestet. Hierbei erzielte das Programm Magnet AXIOM einen Recall von 70,13 % und eine Spezifität von 60,42 %. Im Vergleich erzielte der Kipo Analyzer einen Recall von 42,56 % und eine Spezifität von 97,5 %. Die Präzision und der F1-Score fiel bei beiden Programmen schlecht aus durch den unausgeglichenen Datensatz. Abschließend kann keine endgültige Aussage über die Eignung der Programme hinsichtlich der Klassifikation von Kinderpornographie gemacht werden. Die Programme müssten mit unterschiedlichen Datensätzen und Zusammensetzungen getestet werden.
Die vorliegende Arbeit beschäftigt sich mit der Erforschung des Datenvorkommens im Hinblick auf die Ermittlung flüchtiger Daten an ausgewählten Wireless Local Area Network (WLAN)-Routern. Diese werden im Hinblick auf strafrechtlich relevante Fragestellungen untersucht. Es werden die Möglichkeiten der methodisch und systematischen Datensicherung eruiert und wie diese gewonnen und ausgewertet werden können.
Die vorliegende Arbeit untersucht, wie eine Ontologie mobile Kommunikation für forensische Auswertungen abbilden kann und welche Chancen sich aus dieser Art von Repräsentation ergeben. Prinzipiell stellen Ontologien einen Lösungsansatz für die wachsenden Herausforderungen im Bereich der digitalen Forensik dar. Vor allem die Heterogenität und stark zunehmende Menge der auszuwertenden Daten stellt die Strafverfolgungsbehörden vor Probleme. Forensische Tools unterstützen bei der Extraktion und Analyse von Daten. Allerdings weisen sie in bestimmten Aspekten ihre individuellen Grenzen auf. Ontologien ermöglichen dabei die Interoperabilität zwischen forensischen Tools und somit die Kombination der jeweiligen Vorteile von diesen Tools. Somit können insbesondere (Teil-)Automatisierungen im Ermittlungsprozess realisiert werden, was zur Ersparnis von Zeit und Ressourcen führt. Darüber hinaus lassen sich anhand von Ontologien logische Schlussfolgerungen herleiten und weitere Methoden aus dem Bereich der künstlichen Intelligenz anwenden. Diese Arbeit verwendet die CASE-Ontologie als Grundlage zur Entwicklung einer Ontologie, welche mobile Kommunikation im Kontext forensischer Untersuchungen repräsentiert. Darüber hinaus wird im experimentellen Teil der Arbeit das Datenmodell einer forensischen Plattform zur Auswertung mobiler Kommunikation auf die entworfene Ontologie abgebildet. Zusätzlich wird ein semantischer Webserver prototypisch aufgesetzt, um einen Anwendungstest der Ontologie durchführen zu können.
Im Reverse Engineering und in der Malware-Analyse wurden bereits verschiedene Ansätze zur Visualisierung von Binärdaten entwickelt. Mit diesen lässt sich schnell ein Überblick über Dateien gewinnen, sodass beispielsweise verschiedene Regionen einer Datei identifiziert oder eine bösartige Datei einer Malware-Familie zugeordnet werden kann. In der vorliegenden Masterarbeit wird versucht, diese Ansätze auch sektorweise auf einen Datenstream anzuwenden. Dafür wird ein Demonstrator erstellt, mit dem Sektoren automatisiert nach Dateitypen klassifiziert werden können. Ziel ist es, einen Ansatz zur Verbesserung der aktuellen, signaturbasierten IT-forensischen Methoden zur Wiederherstellung von fragmentierten oder gelöschten Daten zu finden.
Der Einsatz digitaler Mittel in der Tatortrekonstruktion soll in der Zukunft eine große Stütze in der Verbrechensaufklärung werden. Die Rekonstruktion des Bewegungsablaufs eines Opfers, ist als Bewegungsanalyse ein großer Teil dieses Forschungsgebietes. Um eine möglichst natürliche und anatomische korrekte Simulation der Bewegungsabläufe zu ermöglichen, werden Ragdollmodelle benötigt. Diese Arbeit befasst sich mit der Optimierung des Erstellungsprozesses und des Aufbaus dieser bereits bestehenden Ragdollmodelle, in der aktuellen forensischen Tathergangsrekonstruktion.
Diese Arbeit präsentiert einen forensischen Leitfaden zu Spezialverfahren der Datenrettung von Festplatten unter Nutzung des PC-3000 Express Systems. Die Grundlage bilden essentielle Informationen rund um eine Festplatte und die Bedienung des PC-3000 Express Systems. Anschließend wird ein in drei Teile gegliederter forensischer Leitfaden vorgestellt, der dem Leser mit jeder Unterteilung eine Konkretisierung auf das Thema Spezialverfahren der Datenrettung von Festplatten präsentieren soll. Auf der Grundlage des forensischen Leitfadens werden im Anschluss zwei Festplatten untersucht und mit Hilfe des PC-3000 Express Systems und kompatiblen Ersatzteilspendern erfolgreich gesichert. Ziel der Arbeit ist es, einen zukünftigen Benutzer in die Arbeit mit dem PC-3000 Express System einzuführen. Dabei soll der Arbeitsablauf bei der Untersuchung einer Festplatte fest an den Ablauf einer forensischen Untersuchung gebunden sein. So kann unabhängig vom forensischen Tätigkeitsfeld sichergestellt werden, dass ein Benutzer zukünftig auftretende Probleme von Festplatten effektiv und lösungsorientiert handhaben kann.
Die vorliegende Arbeit untersucht eine Datenbank mit der Bezeichnung UsageReportsBuffer, die der Webbrowser Chrome auf Android-Geräten anlegt, sowie mögliche Implikationen für die digitalforensische Auswertung. Von besonderem Interesse sind die Fragen, welche Informationen nach welchen Regeln in der Datenbank abgelegt werden, welchem Zweck die Datenbank dient und ob der Nutzer des Gerätes Einfluss auf den Datenbestand nehmen kann. Die Untersuchung ergibt, dass die circa 100 zuletzt aufgerufenen URLs, sowie dazugehörige Zeitstempel gespeichert werden. Der Nutzer kann dieser Datenerhebung nicht widersprechen oder die Datenbank löschen. Die Aufzeichnung kann lediglich durch Verwendung der Inkognito-Funktion unterbunden werden. Jedoch wird die Datenbank von aktuellen Versionen der Chrome-Anwendung nicht mehr angelegt.
Erstellung eines Autopsy-Moduls zum Erkennen und Carven von Dateien von Kryptowährungs Wallets
(2022)
Zum Erkennen und Carven von Dateien von Kryptowährungs-Wallets wird ein Autopsy-Modul erstellt und evaluiert. Dieses soll bei Electrum, Exodus, Firefly, Wasabi, Monero, Ledger Live, Guarda und den Browser-Erweiterungen Coinbase, Binance und MetaMask auf Untersuchungsdatenträgers nach relevanten Dateien suchen, auch wenn diese gelöscht sind oder das Dateisystem defekt ist. Dazu wird das in Autopsy verwendete PhotoRec um Signaturen erweitert.
Die vorliegende Arbeit befasst sich mit einem Vergleich zwischen nationalen und internationalen Verwendungsmöglichkeiten des Werkzeugs eDiscovery in der M365 Cloud. Dabei werden verschiedene technische Einschränkungen vorgestellt, welche die Datenschutzrechtlich konforme Nutzung dieses Werkzeuges ermöglich sollen.
Die vorliegende Arbeit betrachtet die Möglichkeiten zur Sicherung von Foto- und Videobeiträgen aus sozialen Netzwerken, um diese im Rahmen der Strafverfolgung als Beweismittel nutzbar zu machen. Vier ausgewählte Sicherungsmethoden werden in einem Sicherungsversuch angewendet und im Anschluss miteinander verglichen. Schließlich wird aus den so ermittelten positiven Eigenschaften der Methoden eine hypothetische optimale Methode formuliert, welche für eine zukünftige Anwendung implementiert werden könnte.
Diese Bachelorarbeit befasst sich mit der Prozessautomatisierung während einer Vorfallsreaktion (Incident Response) in der digitalen Forensik. Die Idee dafür kam während der Tätigkeit bei der intersoft consulting services AG auf.
Das Ziel der vorliegenden Arbeit ist es, zu beantworten ob die Automatisierung eines Incident Response-Prozess mit dem Tool KAPE schneller und effektiver gestaltet werden kann, ohne die forensischen Prinzipien außer Acht zu lassen. Dafür wurden eigene Konfigurationsdateien erstellt, welche auf die interne Arbeitsumgebung angepasst sind und anschließend geprüft, ob das Tool die Anforderungen hinsichtlich der forensischen Prinzipien erfüllt. Weiterhin wurde die Verwendung des Tools hinsichtlich seiner Geschwindigkeit mit dem bisherigen Vorgehen verglichen.
Die Untersuchung zeigte, dass das individualisierte Tool mit den eigens erstellten Konfigurationen eine enorme Zeitreduktion gegenüber dem bisherigen Vorgehen erreichen konnte und dies auch unter der Einhaltung der forensischen Prinzipien möglich ist.
Zusammenfassend lässt sich sagen, dass das Tool KAPE für die Prozessautomatisierung eines Incident Response eine merkliche Rolle spielen kann, insbesondere wenn es auf die interne Unternehmensumgebung angepasst ist und einer ständigen Weiterentwicklung folgt.
Diese Arbeit erläutert, wie automatisiert aus den derzeit gängigen Browsern - namentlich Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox sowie Opera, die Datenbanken aus forensischen Windows-Datenträgerkopien extrahiert werden können. Dabei werden diese Browser in dem Datenträgerabbild mittels Registry-Verweisen festgestellt und anschließend ihre Datenbanken aus den gängigen Pfaden extrahiert. Daraufhin werden alle Verläufe mittels einer dynamischen Liste gefiltert. Als Ergebnis entsteht ein neues Datenträgerabbild mit den enthaltenen Datenbanken der Browser. Das Ergebnis soll den Ermittlern Zeit bei der Durchsuchung der Browserdaten sparen, indem der Verlauf bereits gefiltert vorliegt.
The objective of this Bachelor Project is the creation of a tool that should support forensic investigators during IT forensic interventions. It uses Kismet as the base program and adds functionalities to it via the plugin interface. The installation of the plugin shall be explained, how the plugin works, and a recommendation on how to use it. To understand the underlying basics, an introduction about WLAN and Bluetooth is given. The tests that were performed with the new plugin are described as well as their results. It is therefore briefly discussed why the tool is applicable for locating Wi-Fi devices, especially access points, but not Bluetooth devices. Using all this a few ideas on how to improve the tool and what can be researched in this area are provided.
Diese Arbeit bildet einen Einstig in die Grundlagen der IT-Forensik und befasst sich mit der Evaluation der beiden Programme „X-Ways Forensics“ und „Magnet AXIOM“. Dabei werden die Stärken und Schwächen der beiden Tools aufgezeigt und Empfehlungen geben, für wen und für welchen Einsatz, welches Programm geeignet ist.
In dieser Bachelorarbeit werden die Artefakte im Arbeitsspeicher unter den Betriebssystemen Microsoft Windows und Linux der Web Clients der Instant-Messengerdienste WhatsApp und Telegram aus forensischer Perspektive beleuchtet. Hierfür werden die technischen Aspekte der Funktionsweise sowie von der Anwendung auf dem Gerät im Internetcache enthaltene Artefakte digital forensisch analysiert und diskutiert. Die gewonnenen Erkenntnisse sollen zukünftige forensische Untersuchungen, bei denen Instant-Messengerdienste wie WhatsApp oder Telegram eine Rolle spielen, vereinfachen und die Interpretation der gefundenen Artefakte unterstützen.