Refine
Document Type
- Bachelor Thesis (7)
Year of publication
- 2022 (7) (remove)
Language
- German (7)
Keywords
- Computerforensik (7) (remove)
Institute
- Angewandte Computer‐ und Biowissenschaften (7) (remove)
Diese Arbeit präsentiert einen forensischen Leitfaden zu Spezialverfahren der Datenrettung von Festplatten unter Nutzung des PC-3000 Express Systems. Die Grundlage bilden essentielle Informationen rund um eine Festplatte und die Bedienung des PC-3000 Express Systems. Anschließend wird ein in drei Teile gegliederter forensischer Leitfaden vorgestellt, der dem Leser mit jeder Unterteilung eine Konkretisierung auf das Thema Spezialverfahren der Datenrettung von Festplatten präsentieren soll. Auf der Grundlage des forensischen Leitfadens werden im Anschluss zwei Festplatten untersucht und mit Hilfe des PC-3000 Express Systems und kompatiblen Ersatzteilspendern erfolgreich gesichert. Ziel der Arbeit ist es, einen zukünftigen Benutzer in die Arbeit mit dem PC-3000 Express System einzuführen. Dabei soll der Arbeitsablauf bei der Untersuchung einer Festplatte fest an den Ablauf einer forensischen Untersuchung gebunden sein. So kann unabhängig vom forensischen Tätigkeitsfeld sichergestellt werden, dass ein Benutzer zukünftig auftretende Probleme von Festplatten effektiv und lösungsorientiert handhaben kann.
Die vorliegende Arbeit untersucht eine Datenbank mit der Bezeichnung UsageReportsBuffer, die der Webbrowser Chrome auf Android-Geräten anlegt, sowie mögliche Implikationen für die digitalforensische Auswertung. Von besonderem Interesse sind die Fragen, welche Informationen nach welchen Regeln in der Datenbank abgelegt werden, welchem Zweck die Datenbank dient und ob der Nutzer des Gerätes Einfluss auf den Datenbestand nehmen kann. Die Untersuchung ergibt, dass die circa 100 zuletzt aufgerufenen URLs, sowie dazugehörige Zeitstempel gespeichert werden. Der Nutzer kann dieser Datenerhebung nicht widersprechen oder die Datenbank löschen. Die Aufzeichnung kann lediglich durch Verwendung der Inkognito-Funktion unterbunden werden. Jedoch wird die Datenbank von aktuellen Versionen der Chrome-Anwendung nicht mehr angelegt.
Erstellung eines Autopsy-Moduls zum Erkennen und Carven von Dateien von Kryptowährungs Wallets
(2022)
Zum Erkennen und Carven von Dateien von Kryptowährungs-Wallets wird ein Autopsy-Modul erstellt und evaluiert. Dieses soll bei Electrum, Exodus, Firefly, Wasabi, Monero, Ledger Live, Guarda und den Browser-Erweiterungen Coinbase, Binance und MetaMask auf Untersuchungsdatenträgers nach relevanten Dateien suchen, auch wenn diese gelöscht sind oder das Dateisystem defekt ist. Dazu wird das in Autopsy verwendete PhotoRec um Signaturen erweitert.
Die vorliegende Arbeit befasst sich mit einem Vergleich zwischen nationalen und internationalen Verwendungsmöglichkeiten des Werkzeugs eDiscovery in der M365 Cloud. Dabei werden verschiedene technische Einschränkungen vorgestellt, welche die Datenschutzrechtlich konforme Nutzung dieses Werkzeuges ermöglich sollen.
Die vorliegende Arbeit betrachtet die Möglichkeiten zur Sicherung von Foto- und Videobeiträgen aus sozialen Netzwerken, um diese im Rahmen der Strafverfolgung als Beweismittel nutzbar zu machen. Vier ausgewählte Sicherungsmethoden werden in einem Sicherungsversuch angewendet und im Anschluss miteinander verglichen. Schließlich wird aus den so ermittelten positiven Eigenschaften der Methoden eine hypothetische optimale Methode formuliert, welche für eine zukünftige Anwendung implementiert werden könnte.
Diese Bachelorarbeit befasst sich mit der Prozessautomatisierung während einer Vorfallsreaktion (Incident Response) in der digitalen Forensik. Die Idee dafür kam während der Tätigkeit bei der intersoft consulting services AG auf.
Das Ziel der vorliegenden Arbeit ist es, zu beantworten ob die Automatisierung eines Incident Response-Prozess mit dem Tool KAPE schneller und effektiver gestaltet werden kann, ohne die forensischen Prinzipien außer Acht zu lassen. Dafür wurden eigene Konfigurationsdateien erstellt, welche auf die interne Arbeitsumgebung angepasst sind und anschließend geprüft, ob das Tool die Anforderungen hinsichtlich der forensischen Prinzipien erfüllt. Weiterhin wurde die Verwendung des Tools hinsichtlich seiner Geschwindigkeit mit dem bisherigen Vorgehen verglichen.
Die Untersuchung zeigte, dass das individualisierte Tool mit den eigens erstellten Konfigurationen eine enorme Zeitreduktion gegenüber dem bisherigen Vorgehen erreichen konnte und dies auch unter der Einhaltung der forensischen Prinzipien möglich ist.
Zusammenfassend lässt sich sagen, dass das Tool KAPE für die Prozessautomatisierung eines Incident Response eine merkliche Rolle spielen kann, insbesondere wenn es auf die interne Unternehmensumgebung angepasst ist und einer ständigen Weiterentwicklung folgt.
Diese Arbeit erläutert, wie automatisiert aus den derzeit gängigen Browsern - namentlich Internet Explorer, Microsoft Edge, Google Chrome, Mozilla Firefox sowie Opera, die Datenbanken aus forensischen Windows-Datenträgerkopien extrahiert werden können. Dabei werden diese Browser in dem Datenträgerabbild mittels Registry-Verweisen festgestellt und anschließend ihre Datenbanken aus den gängigen Pfaden extrahiert. Daraufhin werden alle Verläufe mittels einer dynamischen Liste gefiltert. Als Ergebnis entsteht ein neues Datenträgerabbild mit den enthaltenen Datenbanken der Browser. Das Ergebnis soll den Ermittlern Zeit bei der Durchsuchung der Browserdaten sparen, indem der Verlauf bereits gefiltert vorliegt.