Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Aufbau einer IT-Forensik-Station

Mitglied: Sheldor

Sheldor (Level 1) - Jetzt verbinden

12.08.2017 um 20:13 Uhr, 1157 Aufrufe, 7 Kommentare, 6 Danke

Nabend Leute.

Ich bin zur Zeit Azubi im 2. Lehrjahr und habe den Auftrag erhalten, zu prüfen, ob man in unserer Firma eine IT-Forensik-Station aufbauen und betreiben kann.
Dazu soll ich sowohl die finanziellen als auch die technischen (Hardware und Software) Aspekte beachten und meinen Entscheidungsprozess dokumentieren.

Bisher habe ich mich bisschen in die Thematik eingelesen und muss sagen, dass es echt interessant ist. Jedoch muss ich auch zugeben, dass mir (noch) IT-Kenntnisse fehlen, die mich vor allem bei den Hardwareaspekte in Schwierigkeiten bringen.


Das weiß ich bisher:

1) Man braucht einen/unterschiedliche Hardware-Writeblocker.
2) Man braucht Software, die zum einen ein forensisches Image erstellt. Zum anderen muss die Software diverse Analysemöglichkeiten bringen.
3) Man braucht reichlich Datenträger, um physische Abbilder erstellen zu können.
4) Man muss sich mit Hashfunktionen/Zahlensystemen auskennen.
5) Drive Slack und RAM Slack (grob).


Hierzu habe ich Fragen:

zu 1) Der Writeblocker unterbindet ja Schreibvorgänge auf das zu duplizierende Medium. Die Frage ist jetzt, was hardwareseitig und auf Seiten des Betriebssystems eigentlich passiert, wenn man den Datenträger direkt an die Arbeitsstation schließt (Ohne Writeblocker)? Greift das Betriebssystem im Hintergrund irgendwie auf den Datenträger zu, wenn er gemountet ist, auch wenn ich völlig bewusst nicht auf ihn schreibe?
Muss ich nach dem Writeblocker direkt den Datenträger anschließen oder kann man bedenkenlos Adapter zwischenschalten?

zu 2) Was kann eigentlich alles analysiert werden? Bisher habe ich testweise nur ein Image erstellt und dort bisschen "rumgeschaut". Hab da zB. File-Slack-Dateien gefunden, die ich mit mit dem Hex-Editor "lesen" konnte. Ich denke aber, dass das längst noch nicht alles ist. Und ich denke, dass das wahrscheinlich abhängig von der benutzten Software ist

zu 3) Kann ich Image auch auf externe Datenträger schreiben, ohne die Kopie zu verfälschen? Oder sollte eine interne Festplatte für die Imageerstellung benutzt werden?


Das sind so bisher meine Fragen, wo ich grad etwas auf dem Schlauch stehe.

Wenn du bis hier gelesen hast, bedanke ich mich schonmal
Mitglied: certifiedit.net
LÖSUNG 12.08.2017, aktualisiert um 20:25 Uhr
Hallo,

1. Je nach dem sollte er das tun, drücken wir es so aus. (Ich kann mich da noch an div. RAM Experimente erinnern - wird heute aber wohl nicht mehr so einfach klappen.)
Ja, das OS greift auf jeden Datenträger zu, der nicht nur ro gemountet ist (und je nach deinen Kenntnissen ist er das seltenst)
2. nunja, je nach dem, was es da gibt alles/nichts
3. "es kommt drauf an". Wenn du alles in das passende Image format packst verfälscht du nichts - aber hier ist wieder Punkt 2, definiere "alles".

Interne Datenträger würde ich aber nie manipulieren, denn dann wars das mit der Forensik - außer natürlich, du willst dem Kollegen mit bisschen KiPo "bisschen" eins auswischen.

Gibt dazu aber sehr interessante Literatur, schau dich mal im üblichen Buchshop um

VG
Bitte warten ..
Mitglied: BassFishFox
LÖSUNG 12.08.2017 um 20:45 Uhr
Halloele,

Das Dingens kennst Du? -> https://de.wikipedia.org/wiki/IT-Forensik

Hierzu habe ich Fragen:

zu 1)
Unterscheide zwischen Hardware-R(ead)O(nly) und Software-R(ead)O(nly).
Kennst Du die Truppe? -> https://www.digitalintelligence.com/forensichardware.php

zu 2)
Alles. Schau Dir mal zum Spielen Autopsy an. Die haben auch ne nette Dokumentation. Und ja, zu Not findet man auch geloeschte Dateien wieder.

zu 3)
Das Image kannst Du schreiben wo Du lustig bist. Du musst nur sicherstellen dass jederzeit nachgewiesen ist, das es nicht nachtraeglich verfaelscht wurde.

BFF
Bitte warten ..
Mitglied: C.R.S.
LÖSUNG 13.08.2017, aktualisiert um 13:28 Uhr
Hallo,

Du brauchst ein RAID, weil die Datenträgerkapazitäten im Umlauf schnell über deine Einzelfestplatten hinauswachsen und für Suchvorgänge/Indizierung schnelle Lesegeschwindigkeiten nötig sind. Backup und Archiv für ausreichend viele Fälle nicht vergessen!

Mit freier Software wirst du nicht weit kommen, außer vielleicht im RAM-Bereich mit Volatility (es geht alles mit freier Software, raubt aber Zeit und Nerven). Die drei kommerziellen Produkte, aus denen du Auswahl hast, sind alle leistungshungrig. Aufgrund von Preis-Leistungsverhältnis und Ressourcenbedarf wirst du bei X-Ways landen. Trotzdem wären ca. 64 GB RAM und mindestens ein Xeon gut. ECC ist nötig wegen der großen Speichermenge, und weil einzelne Vorgänge über viele Stunden laufen können.

Write-Blocker: Kommt drauf an. Bei der Frage dürften da kaum gerichtsfeste Beweise gesammelt werden (hoffe ich). Ein Write-Blocker fällt preislich beim nötigen Budget um die 10k einerseits nicht ins Gewicht. Wenn andererseits das Resultat ist, dass ihr mit Autopsy auf einem besseren Gaming-PC arbeitet, dann spart auch das Geld für den Write-Blocker und steckt eine Festplatte mehr rein. Mit der Halbwegs-Read-Only-Konfiguration eines Betriebssystems kannst Du dann mehr Wissen unter Beweis stellen.

Grüße
Richard
Bitte warten ..
Mitglied: Sheldor
14.08.2017 um 08:08 Uhr
Guten Morgen.

Vielen Dank für eure informativen Antworten Habe jetzt erstmal paar neue Ansätze zum Weiterdenken

Ich werde heute mal in einen Buchladen fahren und mich bisschen umschauen. Ich hoffe es reicht erstmal, sich ein bisschen da einzulesen. Man kann ja auch Seminare dazu machen oder sogar den Master :D
Bitte warten ..
Mitglied: certifiedit.net
LÖSUNG 14.08.2017 um 09:04 Uhr
Moin Sheldor,

sorry, aber in einem "normalen" Buchladen wirst du nichts finden. Wenn dann ein Spezialist dafür, eine Uni/Hochschul Bibliothek oder den großen im Web...
Bitte warten ..
Mitglied: Chaser21a
LÖSUNG 15.08.2017 um 10:01 Uhr
Hab mich in der Studienarbeit auch etwas mit IT Forensik beschäftigt.

Wenn du Literatur suchst:

File System Forensic Analysis von Brian Carrier

Ist ein guter Anfang als Grundlage.
Bitte warten ..
Mitglied: Sheldor
15.08.2017 um 22:32 Uhr
Hi

Ich hab mir jetzt auch ein (deutschsprachiges) Buch besorgt. Von Christoph Willer. Scheint sehr informativ zu sein
Bitte warten ..
Ähnliche Inhalte
Rechtliche Fragen

Frage an Forensiker bezüglich Beweissicherung

Frage von DerWoWussteRechtliche Fragen39 Kommentare

Moin moin, Kollegen! Wir sind IT-ler und keine Rechtsberater - das ist mir klar. Ich möchte dennoch fragen, ob ...

Windows 7

Surf Station

Frage von Arion941Windows 75 Kommentare

Hallo liebe Administrator User, und zwar soll ich eine Surf Station bei einem Kunden einrichten. Mein Problem ist das ...

Server-Hardware

Heimnetzwerk Einrichten mit Stationen

Frage von KhaziusServer-Hardware6 Kommentare

Hallo liebe leute, wir besitzten einen Hof und möchten nun unsere Einzelen Computer und Programme auf einen Server schmeißen ...

Notebook & Zubehör

Docking Station funktioniert nicht!

gelöst Frage von Seak39Notebook & Zubehör14 Kommentare

Hallo Leute, und zwar habe ich folgendes Problem: Ich habe eine Dockingstation Dell E-Port II und wenn ich jetzt ...

Neue Wissensbeiträge
Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 8 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 8 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 12 StundenMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 1 TagWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server40 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...