Refine
Document Type
- Bachelor Thesis (2)
Language
- German (2)
Keywords
- Windows 10 (2) (remove)
Institute
Die vorliegende Arbeit setzt sich mit der Windows 10 Timeline auseinander. Da diese erst vor kurzem entwickelt und von Microsoft veröffentlich wurde, gibt es wenige forensische Analysen. Ziel ist es, die Windows 10 Timeline und ihre Datenbank genauer zu betrachten. Es soll unter anderem herausgefunden werden, welche Daten die Datenbank überhaupt speichert, wie diese Daten in die Tabellen gespeichert werden und wie die Tabellen in den Datenbanken miteinander arbeiten. Weiterhin soll der forensische Wert der Windows 10 Timeline erforscht werden. Demnach ist ein weiteres Ziel, die Relevanz der Windows 10 Timeline in digital forensischen Ermittlungen zu untersuchen.
Die vorliegende Arbeit befasst sich mit der Analyse von ShellBags in Windows-Betriebssystemen. Die Untersuchungen beziehen sich auf Windows XP, 7 und 10, welche als virtuelle Maschinen in VMware Workstation Pro integriert wurden. Da die ShellBag-Registrierungsschlüssel neben Ansichtseinstellungen im Datei-Explorer auch Einträge zu Aktivitäten in und mit verschiedenen Ordnern, in Netzlaufwerken sowie mit externen Speichermedien enthalten, liefern sie für forensische Analysen wertvolle Hinweise. Darüber hinaus können auch die darin befindlichen Zeitstempel zur Auswertung herangezogen werden. Hierfür wurden verschiedene Testreihen durchgeführt. Der Vergleich von ShellBag-Zuständen vor und nach einer Aktivität basiert auf dem Tool Compare It!, welches die Gegenüberstellung zweier .reg-Dateien erlaubt. Die Ergebnisse bestätigen,
dass auch heute noch eine Weiterentwicklung der ShellBags erfolgt, da stets Änderungen vorgenommen und neue Informationen hinzugefügt werden. Dennoch hat sich zum großen Teil eine einheitliche Ablage der Informationen herausgebildet.