X-Ways Forensics, 3-4 Tage

In diesem Seminar dreht sich alles um die systematische und effiziente Untersuchung von Datenträgern bei konkreter Anwendung unserer Software „X-Ways Forensics“. 

Wir vermitteln ausführlich und systematisch alle für die EDV-Beweismittelsicherung und -Auswertung wichtigen Funktionen in WinHex und X-Ways Forensics. Praktische Übungen decken die meisten Aspekte forensischer Untersuchungen ab. Die Schulung ist so ausgelegt, daß die Teilnehmer praktisch alle Funktionen zeitgleich mit dem Dozenten anhand von Beispiel-Images auf dem eigenen Computer selbst nachvollziehen und ausprobieren und jederzeit Fragen stellen können. Diverse Themengebieten werden mit theoretischem Hintergrund erklärt (Schlupfspeicher: mehr als üblich, wie Hash Datenbanken intern aufgebaut sind, wie gelöschte Partitionen automatisch gefunden werden, mit welchen Methoden X-Ways Forensics intern gelöschte Dateien findet). Andere Themen sind das forensisch einwandfreie Sichern von Datenträgern (Erstellung von Image-Dateien) und Klonen, Datenrettung, Suchfunktionen, dynamische Filter, u. v. a. m. bis zur Berichterstellung. Mit Schulungsunterlagen für die Nachbereitung. Grundlegende Kenntnisse der Computerforensik werden vorausgesetzt. Je nach Wunsch können bestimmte Bereiche ausführlicher behandelt werden.

Die Teilnehmer lernen beispielsweise, wie man die denkbar gründlichste Übersicht über alle existierenden und gelöschten Dateien auf Datenträgern gewinnt, wie man am effizientesten nach Kinderpornographie sucht oder auch wie man manuell Dateien wiederherstellt, die von NTFS komprimiert gespeichert und dann gelöscht wurden und durch konventionelle Methoden der Datenrettung anhand von Signaturen (File Carving) nicht einmal mehr gefunden würden.

• Grundeinstellungen in der Software treffen
       • Wichtige Pfadeinstellungen
       • Schreibgeschützt vs editierbar vs In-Place - WinHex vs X-Ways Forensics
       • Programmstarteinstellungen
       • Alternative Plattenzugriffsmethoden
       • Viewer-Programme
• Elemente der Benutzeroberfläche kennenlernen
       • Menüs und Werkzeugleisten
       • Verzeichnis-Browser
       • Virtuelle Dateien und Verzeichnisse
       • Falldatenfenster und Verzeichnisbaum
       • Der Asservat-Überblick
       • Modi: Disk/Partition/Volume vs Datei; Vorschau, Galerie, Details, Kalender
       • Informationsspalte
• In Datenträgern und Dateisystemen navigieren
       • Offsets und Sektoren verstehen
       • Absolute, relative und rückwärts Positionierung
       • Gezieltes Aufsuchen bestimmter Dateisystemstrukturen (z.B. FILE Records in NTFS, Inodes in ext*)
• Daten-Dolmetscher verstehen
       • Verfügbare Konvertierungsoptionen
       • Wie bekommt man den richtigen Wert?
• Datenträger-Sicherungen (Images) erstellen
       • Roh-Images vs Evidence-File
       • Schnelle, adaptive Komprimierung
       • Integrierte Verschlüsselung
• Fall erzeugen, Asservate hinzufügen
• Hash-Berechnung und -Prüfung
• Effiziente Benutzung der Galerie und Hautfarbanteilsberechnung
• Versteckte Daten entdecken in alternativen Datenströmen, Host-Protected Areas (HPA) und Dateien mit falscher Dateiendung
• Einsatz der Kalenderansicht (Timeline)
• Die Vorschauansicht nutzen
• Registry Viewer und Registry-Berichte, Registry-Berichtsdefinitionen
• Arbeiten mit dem Verzeichnis-Browser
       • Rekursive Auflistung von Verzeichnissen und ganzen Datenträgern
       • Spalten-Sichtbarkeit und -Arrangement
       • Zelleninhalte kopieren
       • Auswählen, Markieren, Unterdrücken, Einsehen und Öffnen von Dateien
       • Wiederherstellen/Kopieren von Dateien
       • Duplikate anhand ihres Hash-Wertes identifizieren
       • Effizientes Navigieren der Dateisystem-eigenen Datenstrukturen
• Filter-Funktionen
       • existierend, ehemals existierend
       • markiert, nicht markiert
       • eingesehen, nicht eingesehen
       • nicht unterdrückt, unterdrückt
       • Nach Namen, auch mehrere simultan: exakter Name, mit Jokerzeichen, Suche in Dateinamen, mit GREP
       • Nach Pfad, auch mehrere simultan
       • Nach Typ - exakter Typ, mehrere Typen, ganze Kategorie, mehrere Kategorien
       • Nach Dateigröße
       • Nach einem oder mehreren Zeitstempeln
       • Nach Attribut: ADS, Kompression, Verschlüsselung, E-Mail (ungelesen, mit Anhang), Video-Einzelbild, ...
• Berichtstabellen erzeugen und Berichtstabellen-Verknüpfungen erstellen
• Berichtstabellen zum Filtern und Klassifizieren verwenden
• Berichte erstellen: Hauptteil, Berichtstabellen und Protokoll
• Datei-Überblick erweitern:
       • Besonders intensive Dateisystem-Datenstruktur-Suche nach ehemals existierenden Daten
       • Datei-Header-Signatur-Suche nach ehemals existierenden Daten, die über Dateisystem-Metadaten nicht identifizierbar sind
       • Dateitypen mit Signaturen und Algorithmen überprüfen
       • Interne Metadaten aus diversen Dateitypen extrahieren
       • Browser-History für Internet Explorer, Firefox, Safari, Chrome analysieren
       • Windows Event Logs (evt und evtx) analysieren
       • Inhalt von ZIP-, RAR-, u.a. Archiven mit aufnehmen
       • E-Mails extrahieren aus PST, OST, EDB, DBX, mbox (Unix-Postfächer, benutzt u.a. in Mozilla Thunderbird), AOL PFC, etc.
       • In Dokumenten und anderen Dateien eingebettete Bilder finden
       • Einzelbilder aus Video-Dateien erzeugen
       • Hautfarbanteilsberechnung und Schwarz-Weiß-Bild-Erkennung
       • Dateiformatspezifische Verschlüsselung identifizieren, statistische Verschlüsselungstests
• Die Hash-Datenbank
       • Einzelne oder mehrere Hash-Sets importieren
       • Eigene Hash-Sets erzeugen
       • Dateien mit existierenden Hash-Sets beim Datei-Überblick Erweitern abgleichen
• Diverse Datenrettungsmethoden
• Dateisignatur-Datenbank ergänzen
• Finden und analysieren gelöschter Partitionen
• Effiziente Benutzung von Such- und Index-Funktionen
       • Praktisch unbegrenzte Anzahl an Stichworten simultan
       • Mehrere Text-Kodierungen (Windows-Codepages, Mac-Codierungen, Unicode: UTF-16, UTF-8) simultan
       • Die vielen Vorteile der logischen gegenüber der physischen Suche
       • Suchen in Archiven, E-Mail-Archiven, kodierten Daten (z.B. PDF-Dateien)
       • GREP Suche
       • Logische Kombination mehrere Suchbegriffe bei der Ergebnisauswertung
       • Suchtreffer filtern nach den Dateien, die sie enthalten
• Datenprofile
• Base64, Uuencode, u.a. dekodieren
• RAM einsehen
• RAID-Systeme rekonstruieren
       • Practische Beispiele für RAID0 und RAID5
       • Erläuterung der zugrunde liegenden Datenarrangements
       • Hinweise, wie man die richtigen Parameter findet
• NTFS-komprimierte, gelöschte Dateien manuell wiederherstellen
• Arbeiten mit Containern
       • Container erzeugen, die verfügbaren Optionen verstehen
       • Dateien aus verschiedenen Quellen zum Container hinzufügen
       • Container schließen, optional konvertieren
       • Container als Asservate verwenden
• Optional weitere Themen wie z. B. Schablonen

Ziel ist es, Erkenntnisse aus den auf Datenträgern gespeicherten oder scheinbar bereits gelöschten Daten und Metadaten zu gewinnen, die für die Beantwortung einer gegebenen Fragestellung hilfreich sind, und sie mit einer Präzision zu dokumentieren, die gerichtstauglich ist.

Z. B. "Welche Dokumente wurden am 21.03.2012 abends verändert?"
"Was für Bilder wurden von wem, wie und wo versteckt?"
"Wer hat welche Internetseiten an welchem Tag abgerufen?"
"Welche Excel-Dokumente des Benutzers Meier enthalten das Wort 'Rechnung'?"
"Welche USB-Sticks wurden wann an einen Computer angeschlossen?"

Speicherforensik, 1 Tag

Grundsätzliche Erklärung der virtuellen Speicherverwaltung (Intel, AMD; 32 Bit, 64 Bit)
• Page Tables
• PFN Database
• Auslagerungsdatei

Windows-Objektverwaltung im Zusammenhang
• Prozesse, Threads, Sockets, Dateien, Token, ...
• geladene Treiber
• angemeldete Datenträger
• Verwaltung von Plug-and-Play-Geräten
• Verwendung von Schablonen beim Navigieren zu Kernel-Objekten (Schwerpunkt)
• Arten der Bezugnahme auf Objekte, Arbeiten mit Referenzen

Wie man sich in einem Prozess-Adressraum orientiert.
• Process Environment Block (PEB)
• offene Handles
• gemappte Speicherbereiche
• geladene Module
• Heaps, Stack

Erstellung von Hauptspeicherabbildern
• hiberfil.sys

Besonderheiten bei der Suche in Speicherbereichen
• Alignment
• Endianness
• Speicher-Pools

Malware-Analyse (versteckte Prozesse, verdeckte Verbindungen, DKOM, Rootkits)
• verdächtige Referenzen aufdecken mittels Adressbereichsabgleich

Netzwerkforensik (Vorfallsanalyse)
• Ethernet-Pakete über Signatursuche
• Spuren von Verbindungen im Hauptspeicher auswerten (Schwerpunkt)

Die Schulung geht im wesentlichen auf Windows-Rechner ein.

Dateisystem-Schulungen

Variable Kombination von Dateisystem-Schulungen mit ausführlicher Einführung in Grundprinzipien (binäre Datenspeicherung, Datentypen, Datumsformate) und in ausgewählte Dateisysteme, z. B. FAT12, FAT16, FAT32 (1/2 Tag), NTFS (1 Tag) und Ext2/Ext3/Ext4 (1/2 Tag). Angeboten werden die unten aufgeführten Kurse.

Indem Sie das exakte Funktionieren der Dateisysteme verstehen, können Sie selbst bei schwererwiegendem Datenverlust oder Datenbeschädigung manuell versuchen, Dateien retten, auch wenn es automatisch mit einer Software nicht mehr geht, das korrekte Funktionieren von Computerforensik-Software in einem konkreten Fall überprüfen und über die automatisch berichteten Angaben hinaus Metainformationen sammeln, die für gegebene Fragestellungen Aufschluß geben. Generell wird das Verständnis der von Computerforensik-Software präsentierten Daten, der internen Funktionsweise und der Beschränkungen von Computerforensik-Software damit verbessert.

Sofortiges eigenes Nachvollziehen aller Datenstrukturen und Zusammenhänge direkt am praktischen Beispiel mit WinHex. Durch diese Übungen bleibt das Gelernte besser im Gedächtnis haften. Erklärung der Auswirkungen von Dateilöschungen und Potentiale zum Wiederherstellen. Ziel ist es, sich am Ende selbständig zurechtzufinden und Daten mit potentieller Relevanz für die Computerforensik identifizieren zu können. Mit Schulungsunterlagen und Dokumentationen für die Nachbereitung. Zur Teilnahme wird empfohlen, grundlegende Informatikkenntnisse (nicht nur Computerkenntnisse) bereits mitzubringen.

FAT12, FAT16, FAT32, 1/2 Tag

FAT:
• Aufbau der FAT-Dateisysteme
• Boot Record
• Dateizuordnungstabelle (FAT)
• Verzeichniseinträge
• Auswirkung von Datei-Löschungen und Möglichkeit zum Wiederherstellen
• ...

NTFS, 1 Tag

• Bootsektor
• Master File Table (MFT)
• Struktur von FILE-Records
• Attribute in FILE-Records
• Data-Runs
• Datenkompression
• Attributlisten
• Organisation von Verzeichnissen in NTFS
• INDX-Datenstruktur
• Systemdateien von NTFS
• Datenkonsistenz unter NTFS
• Alternative Datenströme
• Encrypting File System (EFS: NTFS-Verschlüsselung)
• ...

Ext2/Ext3/Ext4, 1/2 Tag

• Grundlagen des Dateisystems
       • Layout der Blockgruppen
       • Superblock- und Gruppen-Deskriptoren-Backups
• Datenstrukturen im Superblock
       • Feature-Flags
       • Ext2-Revisionen
• Layout und Funktion der Gruppen-Deskriptoren
• Block- und Inode-Bitmaps
• Inode-Strukturen
       • File Mode
       • Block-Adressierung
       • Reservierte Inodes
• Verzeichnisverwaltung
• Ext4-Extents
• Ext4-Ausdehnung der Dateisystembeschränkungen
• Ext4-Zeitstempel- und andere Verbesserungen
• ....

XFS, 1/2 Tag (Voraussetzung: Ext2/Ext3/Ext4)

• IRIX-Vergangenheit, Linux-Gegenwart
       • Big Endian
       • Aehnlichkeiten mit und Unterschiede zu ext*
• Layout der Allokationsgruppen
• Superblock-Struktur
• Info-Sektoren der Allocationsgruppen
• Free Space + Free List
• Inode Info
       • Free Space B+Bäume
       • XFS-spezifische Formate für Inode- und Blocknummern
• XFS Inodes
       • File Mode
       • Attribut-Fork
• Inode-Formate und ihre jeweiligen Strukturen und Verwendungen
       • Device
       • Lokal
       • Extents
       • B+Baum
• XFS-Verzeichnisstrukturen
       • kleine und große Einträge für lokale Verzeichnisse
       • Einzel- und Multi-Block-Verzeichnisse

ReiserFS, Reiser4, 1 Tag

ReiserFS:
• ReiserFS-Block-Formate
• Superblock-Struktur
• Der Reiser-Baum
       • Baumorganisation
       • Schlüssel
       • Interne Baumknoten-Struktur
       • Blattknoten-Struktur
• Stat-Objekte
• Verzeichnisstrukturen
• Direkte und Indirekte Objekte
• Dateisystemnavigation
• Hans Reisers eigene Kritik

Reiser4:
• Extents statt Blocknummern-Listen
• Vom ReiserFS- zum Reiser4-Baum
• Reiser4-Superblock
• Der Reiser4-Baum
       • Baumorganisation
       • Schlüssel
       • Baumknoten-Struktur: Äste, Zweige, Blätter
       • Plugin-IDs für Knoten-Objekte
• Stat-Objekte
• Verzeichnisstrukturen

exFAT, 1/2 Tag

• Partitions-Layout
• Boot-Sector
• Dateizuordnungstabelle
• Verzeichniseinträge
       • Root-only-Eintragstypen
       • Metadaten-Einträge
       • Stream-Erweiterungen
       • Dateinamen
• Zeitzonen-Offsets

XWFS2, 45 Min.-1 Tag

auf Anfrage