Betriebssysteme: Speicher, Konten & Konfiguration

Questions and Answers

Welche der folgenden Aussagen beschreibt am besten die Rolle einer Auslagerungsdatei (pagefile.sys) im Kontext des virtuellen Speichers eines Betriebssystems?

• Sie wird verwendet, um den physischen Arbeitsspeicher (RAM) zu erweitern, indem Teile des RAM-Inhalts auf die Festplatte ausgelagert werden. (correct)
• Sie ist ein Speicherbereich, der ausschließlich für temporäre Systemdateien reserviert ist.
• Sie dient als permanenter Speicherort für selten genutzte Programme.
• Sie beschleunigt den direkten Zugriff auf häufig verwendete Daten.

Was ist der Hauptunterschied zwischen einem Administratorkonto und einem Standardbenutzerkonto in Bezug auf die Systemverwaltung?

• Administratorkonten haben keinen Zugriff auf das Internet, während Standardbenutzerkonten vollen Zugriff haben.
• Administratorkonten haben umfassende Rechte zur Änderung der Systemeinstellungen, Installation von Software und zum Zugriff auf alle Dateien, während Standardbenutzerkonten in ihren Rechten eingeschränkt sind. (correct)
• Es gibt keinen Unterschied; beide Kontotypen haben die gleichen Berechtigungen.
• Administratorkonten sind auf die Ausführung bestimmter Programme beschränkt, während Standardbenutzerkonten alle Programme ausführen können.

Welche Funktion hat die Windows Registry?

• Sie dient als temporärer Speicher für laufende Anwendungen.
• Sie ist ein Dienstprogramm zur Defragmentierung der Festplatte.
• Sie ermöglicht die automatische Datensicherung des Systems.
• Sie ist eine Datenbank, in der Konfigurationseinstellungen und Optionen für das Betriebssystem und installierte Programme gespeichert werden. (correct)

Warum ist es wichtig, dass eine Fachdienststelle den RAM eines Computers sichert?

Um temporär gespeicherte Passwörter und andere vertrauliche Informationen zu sichern, die sich im RAM befinden könnten. (D)

Was geschieht typischerweise mit dem Inhalt der pagefile.sys, wenn ein Windows-System normal heruntergefahren wird?

Der Inhalt wird überschrieben oder gelöscht. (B)

Welche Auswirkung hat die Aktivierung des Ruhezustands (Energiesparmodus) auf die Daten im RAM eines Computers?

Die Daten im RAM werden in die Datei hiberfil.sys ausgelagert. (D)

Warum sind Auslagerungsdateien in Windows-Systemen standardmäßig versteckt?

Um zu verhindern, dass Benutzer versehentlich wichtige Systemdateien löschen oder verändern. (A)

Welche der folgenden Dateien enthält digitale Spuren des RAM im Ruhezustand?

hiberfil.sys (D)

Welchen Vorteil bietet die Verwendung eines Microsoft-Kontos im Vergleich zu einem lokalen Konto unter Windows 10?

Es ermöglicht die Anmeldung auf mehreren Geräten und die Nutzung von OneDrive. (B)

Was beinhaltet die Windows-Ereignisprotokollierung hauptsächlich?

Die Erfassung von Informationen über An- und Abmeldungen, App-Nutzung, Systemzustände und Hardwareänderungen. (A)

Was ist die primäre Funktion der 'Programm- und Prozessverwaltung' innerhalb eines Betriebssystems?

Die Steuerung sämtlicher Prozesse, Laden von Programmen in den RAM und die Ermöglichung der Interprozesskommunikation. (A)

Welche der folgenden Aufgaben gehört nicht zu den grundlegenden Aufgaben eines Betriebssystems?

Das automatische Erstellen von Sicherheitskopien der Benutzerdaten. (B)

Was ist der Zweck der 'Interprozesskommunikation' (IPC) in einem Betriebssystem?

Die Ermöglichung des Datenaustauschs und der Synchronisation zwischen verschiedenen Prozessen innerhalb eines Systems. (B)

Welche der folgenden Aktionen würde nicht typischerweise in der Windows-Ereignisprotokollierung aufgezeichnet?

Der Inhalt einer bearbeiteten Textdatei. (B)

Was ist das Hauptrisiko bei der direkten Bearbeitung der Windows Registry?

Die Gefahr von Systeminstabilität oder Fehlfunktionen, wenn inkorrekte Änderungen vorgenommen werden. (D)

Welche der folgenden Informationen kann nicht über die Windows Registry gefunden werden?

Der exakte Inhalt einer E-Mail, die über ein E-Mail-Programm versendet wurde. (C)

Wenn ein Computer, der für forensische Untersuchungen verwendet wird, nicht 'normal' heruntergefahren, sondern vom Stromnetz getrennt wird, warum ist das von Bedeutung?

Es verhindert, dass das Betriebssystem digitale Spuren überschreibt, die für die Untersuchung relevant sein könnten. (C)

Warum ist es wichtig, Energiespareinstellungen bei forensischen Untersuchungen im Auge zu behalten?

Weil sie den Inhalt des Arbeitsspeichers in eine Datei auslagern können, die wichtige Informationen enthält. (D)

Was ist das Ziel der in den Folien erwähnten NirSoft-Tools?

Die Demonstration verschiedener Arten von digitalen Spuren, die auf einem Computer gefunden werden können. (B)

Welchen der folgenden Aspekte eines Computersystems steuert oder verwaltet ein Betriebssystem typischerweise nicht?

Die direkte Manipulation der Hardware auf Bit-Ebene, ohne Berücksichtigung der installierten Treiber. (C)

Welchen Vorteil hat die Verwendung von virtuellem Speicher im Vergleich zu ausschließlich physischem Speicher (RAM)?

Virtueller Speicher ermöglicht das Ausführen von Programmen, die mehr Speicher benötigen, als physisch verfügbar ist. (D)

Was ist das Hauptziel der regelmäßigen Windows Defender Überprüfung?

Den Computer auf Malware- und Virenangriffe zu überprüfen und diese zu entfernen. (D)

Welche der folgenden Aussagen beschreibt am besten, wie ein Betriebssystem mit dem physischen Arbeitsspeicher (RAM) umgeht?

Das Betriebssystem verwaltet den RAM, indem es Speicherbereiche Programmen zuweist und sicherstellt, dass Programme nicht den Speicher anderer Programme überschreiben. (D)

Was ist der Hauptzweck der Windows Funktion 'Storage Sense'?

Automatisch temporäre Dateien zu entfernen und Speicherplatz freizugeben. (D)

Warum sollten IT-Forensiker besondere Vorsicht walten lassen, bevor sie Änderungen an der Windows Registry vornehmen?

Falsche Änderungen können das Betriebssystem beschädigen und wichtige Beweise verändern oder zerstören. (A)

Welche Aussage beschreibt am besten die Rolle der Geräte-Treiber in einem Betriebssystem?

Sie ermöglichen es dem Betriebssystem, mit der Hardware zu kommunizieren und diese korrekt anzusprechen. (D)

Was ist das Hauptziel der 'Verwaltung der Systemkonfiguration' durch ein Betriebssystem?

Die Einstellungen und Optionen des Betriebssystems und der installierten Anwendungen zu konfigurieren und zu verwalten. (B)

Welche der folgenden Dateiarten enthält wahrscheinlich Informationen über die Nutzung von USBGeräten auf einem WindowsSystem?

Die Windows Registrierung (D)

Was ist der Hauptgrund, warum das Betriebssystem Programme und Daten in den RAM (Random Access Memory) lädt?

Um den Zugriff auf diese Programme und Daten zu beschleunigen, da RAM im Vergleich zur Festplatte schneller ist. (C)

Welche Aussage beschreibt am besten die Funktion eines Gastkontos in einem Betriebssystem?

Es ermöglicht es Benutzern, das System zu nutzen, ohne ein permanentes Konto zu erstellen, und bietet in der Regel eingeschränkte Berechtigungen. (C)

Was könnte ein Anzeichen dafür sein, dass ein Computer kompromittiert wurde und eine forensische Untersuchung erforderlich ist?

Unerwartete Änderungen in der Windows Registry oder ungewöhnliche Einträge in den Ereignisprotokollen. (D)

Welchen Zweck erfüllt der Security Account Manager (SAM) in einem Windows Betriebssystem?

Das Verwalten von Benutzerkonten und deren zugehörigen Sicherheitsberechtigungen. (C)

Die Verwendung von USBDeview kann welche Informationen liefern?

Eine Liste aller jemals an den Computer angeschlossenen USB Geräte, einschliesslich Details wie Hersteller, Seriennummer und Anschlusszeitpunkte. (B)

Was ist der Zweck der Funktion LastActivityView?

Die Anzeige der Aktivitäten des Nutzers. (A)

Warum ist es aus forensischer Sicht wichtig zu verstehen, dass Windows-Systeme standardmäßig Auslagerungsdateien (pagefile.sys) verwenden?

Weil diese Dateien oft sensible Informationen aus dem RAM enthalten, die auch nach dem Löschen noch wiederhergestellt werden können. (D)

Welche der folgenden Aussagen beschreibt am besten den Unterschied zwischen einem lokalen Benutzerkonto und einem Microsoft-Konto unter Windows 10 in Bezug auf digitale Forensik?

Microsoft-Konten könnten zusätzliche digitale Spuren in der Cloud hinterlassen, die für eine forensische Untersuchung relevant sein könnten. (B)

Ein IT-Forensiker untersucht einen kompromittierten Windows-Computer. Warum sollte er besonders auf die Windows Registry achten?

Änderungen in der Registry können Hinweise auf installierte Malware, unbefugte Systemänderungen und Benutzeraktivitäten geben. (A)

Welche der folgenden Aktionen wäre am wichtigsten, um digitale Spuren auf einem Windows-System zu sichern, bevor mit einer forensischen Untersuchung begonnen wird?

Eine vollständige Kopie des RAMs erstellen und die hiberfil.sys sichern, um den Zustand des Systems zu einem bestimmten Zeitpunkt zu erfassen. (D)

Warum ist es wichtig, bei einer forensischen Untersuchung von Windows-Systemen die Energiespareinstellungen zu berücksichtigen?

Die Aktivierung des Ruhezustands kann dazu führen, dass der Inhalt des RAMs in eine Datei geschrieben wird (hiberfil.sys), was zusätzliche forensische Informationen liefert. (C)

Flashcards

Was ist ein Betriebssystem?

Ein Programm, das die Ressourcen eines Computers verwaltet und Benutzern die Interaktion ermöglicht.

Was ist virtueller Speicher?

Virtueller Speicher nutzt Festplattenspeicher, um den RAM zu erweitern.

Was ist ein Administratorkonto?

Ein Konto mit umfassenden Rechten zur Systemverwaltung.

Was ist ein Standardbenutzerkonto?

Ein Konto mit eingeschränkten Rechten zum Schutz des Systems.

Was ist die Windows-Registry?

Eine Datenbank, die Konfigurationseinstellungen für Windows speichert.

Was ist Programm- und Prozessverwaltung?

Steuerung der Ausführung von Programmen und Prozessen.

Was sind Dienstprogramme im Betriebssystem?

Eine Sammlung von Hilfsprogrammen für verschiedene Aufgaben.

Was bedeutet die Verwaltung von Betriebsmitteln?

Verwaltung von CPU, RAM etc. zur effizienten Nutzung.

Was ist RAM?

Physischer Speicher, der direkt für aktive Prozesse genutzt wird.

Was ist eine Auslagerungsdatei?

Eine Datei auf der Festplatte, die als Erweiterung des RAM dient.

Was ist die 'hiberfil.sys' Datei?

Eine Datei, die den Zustand des RAM beim Ruhezustand speichert.

Was ist ein Microsoft-Konto unter Windows?

Ein Benutzerkonto, das an ein Microsoft-Konto gebunden ist.

Was ist ein lokales Konto unter Windows?

Ein Benutzerkonto, das nur auf dem lokalen Rechner existiert.

Was beinhaltet die Windows Registry?

Die zentrale Datenbank für Windows-Konfigurationen.

Was ist die “Ereignisprotokollierung”?

Eine Funktion zur Aufzeichnung von Systemereignissen.

Was wird bei An-/Abmeldungen aufgezeichnet?

Protokollierung von An- und Abmeldungen.

Was wird bei Appnutzung aufgezeichnet?

Protokollierung der Nutzung von Apps.

Was wird bei Hardware protokolliert?

Protokollierung von Hardware-Änderungen.

Was wird im Netzwerk protokolliert?

Protokollierung von Netzwerkaktivitäten.

Was wird über Systemzustände protokolliert?

Protokollierung von Systemzuständen.

Was wird bei Zeiteinstellungen protokolliert?

Protokollierung von Zeitänderungen.

Was ist LastActivityView?

Ein Tool zur Anzeige von Nutzeraktivitäten.

Was ist TurnedOnTimesView?

Ein Tool zur Anzeige von Einschaltzeiten.

Was ist WinLogOnView?

Ein Tool zur Anzeige von Benutzeranmeldungen.

Was ist USBDeview?

Ein Tool zur Anzeige von USB-Geräten.

Was ist Task Scheduler View?

Ein Tool zur Anzeige von Prozessen.

Was ist die MRU-Liste?

Die Liste der zuletzt verwendeten Dokumente.

Study Notes

Digitale Spuren – Computer (2) - Das Betriebssystem

• Die Vorlesung behandelt die Bedeutung des virtuellen Speichers, die Funktionsweise des Betriebssystems bei dessen Nutzung und das Konzept der Benutzerkonten.
• Es wird beleuchtet, wie Benutzerkonten verwaltet werden und welche digitalen Spuren durch die Benutzeraktivitäten auf einem Windows-PC in der Registry hinterlassen werden.

Agenda

• Das Betriebssystem beinhaltet die grundlegenden Aufgaben, die Verwaltung des Arbeitsspeichers und der Benutzerkonten, die Systemkonfiguration und die Windows-Ereignisprotokollierung.

Betriebssysteme

• Ein Betriebssystem umfasst Programme eines digitalen Rechensystems und steuert/überwacht die Ausführung von Programmen, gemäß DIN 44300.

Aufgaben des Betriebssystems

• Grundsätzliche Aufgaben
• Die Verwaltung des Arbeitsspeichers
• Die Verwaltung der Benutzerkonten
• Die Verwaltung der Systemkonfiguration
• Die Windows "Ereignisprotokollierung"

Grundsätzliche Aufgaben des Betriebssystems

• Programm- und Prozessverwaltung: Steuerung, Laden aus Festplatte in RAM, CPU-Register und Interprozesskommunikation.
• Sammlung von Dienstprogrammen: Befehle über Kommandozeile, graphische Oberfläche und Tools(z.B. Kopieren).
• Es erfolgt die Verwaltung von Betriebsmitteln wie CPU, RAM, HDD/SSD, Geräte (Monitor, Tastatur/Maus, Scanner/Drucker), und Rechenzeit.

Die Verwaltung des Arbeitsspeichers

• Es gibt physischen Arbeitsspeicher (RAM) und virtuellen Arbeitsspeicher (Auslagerungsdateien).

Digitale Spuren im virtuellen Speicher

• Die Datei „pagefile.sys“ ist standardmäßig im Root-Verzeichnis des Betriebssystems und kann digitale Spuren enthalten, die auch im RAM zu finden sind.
• Inhalte werden ausgelagert, wenn nicht genügend Speicher im RAM vorhanden ist.
• Nicht benötigte Inhalte können zwischenzeitlich ausgelagert werden.
• Beim normalen Herunterfahren des Systems kann der Inhalt der pagefile.sys überschrieben oder gelöscht werden.
• PCs sollten nach einer Datendurchsuchung nicht normal heruntergefahren werden (Stecker ziehen!), da dies die Spuren in der Auslagerungsdatei sichert und eine Aktivierung der Energiespareinstellungen verhindert.

PC Energiespareinstellungen

• Die Datei „hiberfil.sys“ befindet sich ebenfalls im Root-Verzeichnis.
• Bei Aktivierung laden Energiespareinstellungen/Ruhezustand den RAM fast vollständig in die Datei „hiberfil.sys“.
• Vorheriger Inhalt der hiberfil.sys wird dabei überschrieben.
• Die Aktivierung der Energiespareinstellung muss verhindert bzw. der Laptop nicht geschlossen werden, um die Datei zu sichern.

Sichtbarkeit von Auslagerungsdateien

• Auslagerungsdateien sind standardmäßig versteckt. Sie können über die Explorer-Optionen sichtbar gemacht werden (grundsätzlich nicht an Rechnern von Dritten).
  • Zu finden im Reiter "Ansicht" unter erweiterte Einstellungen: "Ausgeblendete Dateien, Ordner und Laufwerke anzeigen"

Übersicht – Auslagerungsdateien des Windows Betriebssystems

• pagefile.sys: Auslagerungsdatei (1) RAM
• hiberfil.sys: Ruhezustand (2) RAM
• swapfile.sys: Auslagerungsdatei speziell für Daten aus Apps ab Windows 8
• Die digitalen Spuren des RAM befinden sich in den virtuellen Auslagerungsdateien.

Mögliche digitale Spuren

• Mögliche digitale Spuren können sich im physischen Arbeitsspeicher (RAM) oder in den Auslagerungsdateien befinden, dazu können Passwörter gehören.
• Die RAM-Sicherung kann durch eine Fachdienststelle erfolgen.

Die Verwaltung der Benutzerkonten

• Arten von Benutzerkonten ab Windows 10:
  • Microsoft-Konto: Anmeldung mit E-Mail-Adresse, geräteübergreifend, Nutzung von OneDrive.
  • Lokales Konto: Nur lokale Anmeldung, keine Netzdienste.

Die Benutzerkonten – Rechte

• Administrator
• Standardbenutzer (eingeschränkte Rechte, z.B. im Internet)
• Gastkonto
• Weitere (z.B. in Unternehmen)
• Benutzerkontensteuerung

Die Verwaltung der Systemkonfiguration – Windows-Registry

• Die Windows Registry ist eine zentrale Datenbank des Windows-Betriebssystems, die Informationen wie Systemstart, Gerätetreiber, Windows-Dienste, installierte Software, Benutzer-Accounts, Sicherheitsrichtlinien und Benutzerprofile enthält.

Aufruf der Windows Registry

• Der Aufruf erfolgt über "regedit" in der Windows-Suche.
• Vorsicht bei der Veränderung der Einträge!

Aufgaben des Betriebssystems

• Grundsätzliche Aufgaben
• Die Verwaltung des Arbeitsspeichers
• Die Verwaltung der Benutzerkonten
• Die Verwaltung der Systemkonfiguration
• Die Windows Ereignisprotokollierung

Was wird protokolliert?

• Windows protokollierte An-/Abmeldungen, App-Nutzung, Hardware, Netzwerk, Systemzustände und Zeiteinstellungen.

Spuren im Windows Betriebssystem

• Die Windows Registry speichert Informationen zu installierten Programmen und Benutzeraktivitäten und ist deshalb wichtig für IT-Forensiker.

Was ist im Rahmen des 1. Angriffs bei der Sicherung zu beachten?

• Wird der Rechner für eine Datendurchsuchung „mitgenommen“?
  • Das normale Beenden des Rechners kann installierte Software-Spuren löschen und auch Einträge in der Windows Registry.
  • Deshalb "Stecker ziehen" nach Beendigung aller Maßnahmen!

Spuren – Nutzeraktivitäten

• LastActivityView: Datenbank zu Aktivitäten des Users

Spuren – Einschaltzeiten

• TurnedOnTimesView: Datenbank zur Einschaltdauer und den Zeiten des Systems

Spuren – Benutzeranmeldungen

• WinLogOnView: Datenbank zu Benutzeran- und -abmeldungen

Spuren – USB-Geräte

• USBDeview: Datenbank über angeschlossene USB-Geräte

Spuren – Prozesse

• Task Scheduler View: Task = Prozess - Informationen zu Prozessen

Spuren – Office – zuletzt verwendete Dokumente

• Zuletzt verwendete Dokumente und weitere Einträge