Digitale Forensik - Sammeldatei

Questions and Answers

In welchem Kontext wird die GUID Partition Table (GPT) hauptsächlich verwendet?

Im Zusammenhang mit dem Dateisystem NTFS

Im Zusammenhang mit dem EFI (Extensible Firmware Interface) (correct)

Im Zusammenhang mit dem MBR (Master Boot Record)

Im Zusammenhang mit dem BIOS (Basic Input/Output System)

Wie viele Partitionen können maximal mit einer GUID Partition Table (GPT) realisiert werden?

64 Partitionen

256 Partitionen

128 Partitionen (correct)

32 Partitionen

Welche Art von Adressierung wird von der GUID Partition Table (GPT) verwendet?

8-bit LBA-Adressen

64-bit LBA-Adressen (correct)

16-bit LBA-Adressen

32-bit LBA-Adressen

Welche der folgenden Komponenten ist kein direkter Bestandteil einer GPT?

Bootsektor

Welchen Zweck erfüllt der 'Protective MBR' im Kontext der GPT?

Er dient zur Kompatibilität mit BIOS-basierten Systemen.

Was besagt Locards Austauschprinzip in Bezug auf digitale Spuren?

Bei jeder Interaktion an einem digitalen oder physischen Tatort findet ein Austausch von Spuren statt.

Warum ist eine Extraktion und Übersetzung digitaler Spuren notwendig?

Da digitale Spuren in einer nicht menschenlesbaren Form vorliegen.

Auf welcher Abstraktionsebene werden Daten als Magnetisierung oder Elektronenzustände dargestellt?

Bit

Welche der folgenden ist die höchste Abstraktionsebene bei der Darstellung digitaler Daten laut dem Text?

Interpretation als Dateiart, z.B. E-Mail

Was kann auf jeder Abstraktionsebene bei der Analyse digitaler Spuren auftreten?

Fehler bei der Interpretation.

In welcher Reihenfolge werden Daten gemäß den verschiedenen Abstraktionsebenen dargestellt?

Magnetisierung/Elektronenzustände -> Zeichenkodierung -> Dateisystem -> Dateiart

Welche Abstraktionsebene beschreibt die Organisation von Datenbeständen auf einem Speichermedium?

Dateisystem

Was ist der Hauptgrund für die Verwendung von Abstraktionsebenen bei der digitalen Forensik?

Um digitale Spuren in einer für Menschen verständlichen Form zu präsentieren.

Welche Aussage trifft auf die Sektoradressierung nach Carrier zu?

Die logische Datenträgeradressierung bezieht sich auf den gesamten Datenträger, unabhängig von Partitionen.

Wo befindet sich die physische Adresse 569 in der Darstellung von Carrier?

Außerhalb der definierten Partitionen.

Was charakterisiert laut dem Text DOS-Partitionen?

Sie sind komplex und wurden modifiziert, um moderne Systeme zu unterstützen.

Was ist der Startadresse von Partition 2 laut der Abbildung?

864

Was ist die logische Datenträgeradresse von der physischen Adresse 100 in Partition 1?

100

Welche Aussage beschreibt die Beziehung zwischen logischer und physischer Adresse am treffendsten?

Die physische Adresse bezieht sich auf den tatsächlichen Speicherort, während die logische Adresse relativ ist.

Was ist laut dem Text ein charakteristisches Merkmal von DOS/MBR-Partitionen in Bezug auf technologische Entwicklung?

Sie wurden anfangs für kleine Systeme konzipiert und später erweitert.

Was ist die logische Partitionsadresse der physischen Adresse 964?

100

Welche der folgenden Optionen beschreibt am besten die 'Tot-Analyse' (dead analysis) im Bereich der digitalen Forensik?

Die Sicherung und Analyse persistenter Spuren, vornehmlich von Festplatten.

Was ist der Hauptfokus der 'Live-Analyse' im Kontext der digitalen Forensik?

Die Sicherung und Analyse von flüchtigen Spuren wie RAM und Cache.

Welchen Zweck erfüllt der Protective MBR in einer GPT-Partitionierung?

Er sorgt dafür, dass ältere Systeme die Disk als belegt erkennen.

Was charakterisiert den Teilbereich der 'Netzwerkforensik' innerhalb der digitalen Forensik?

Die Sicherung und Analyse von Netzwerkverkehr und zugehörigen Spuren.

Wo befindet sich der GPT-Header?

Direkt nach dem Protective MBR.

Welche Aussage beschreibt den Schwerpunkt der digitalen Forensik im Hinblick auf die Datensicherung und -analyse?

Die Sicherung und Analyse von sowohl persistenten als auch flüchtigen Daten

Innerhalb des forensischen Prozesses nach Casey, welche Phase folgt direkt auf die 'Übersicht/Identifikation'?

Erhaltung

Welche Information ist nicht im Eintrag der Partitionstabelle enthalten?

Die physische Lage des Datenträgers.

Welche Funktion hat die Checksumme im GPT-Header?

Das Überprüfen des GPT-Headers und der Partitiontabelle auf Modifikationen oder Fehler.

Was unterscheidet die Analyse von flüchtigen spuren im engeren Sinne von der Analyse von flüchtigen spuren im weiteren Sinne?

flüchtige spuren im engeren Sinne bezieht sich typischerweise auf Spuren im Netzwerk, während flüchtige spuren im weiteren Sinne sich mit Hauptspeicher und Caches beschäftigt.

Was ist die Hauptfunktion der Partition Area?

Speicherung der eigentlichen Partitionen und ihrer Daten.

Welche der folgenden ist KEINE typische Phase im forensischen Prozess nach Casey?

Datenverlust

Was ist das Hauptziel der Phase 'Erhaltung' im forensischen Prozess?

Die Gewährleistung, dass originale Beweismittel nicht verändert werden.

Wozu dient die Backup Area in einer GPT-Partitionierung?

Zur Speicherung von Backup-Kopien des GPT-Headers und der Partitionstabelle.

Wie viele Partitionen sind unter Windows mit GPT maximal möglich?

128

Was ist eine GUID im Kontext der GPT Partitionstabelle?

Ein eindeutiger 128-Bit-Wert, der jede Partition identifiziert.

Welche der folgenden Aussagen beschreibt die Funktion von Dateisystemdaten am besten?

Sie definieren die Eindeutigkeit eines Dateisystems und enthalten Informationen über die Ablage weiterer wichtiger Daten.

Welche Art von Informationen sind nicht typischerweise in Dateisystemdaten enthalten?

Die exakten Bilddaten der Dateien.

Was ist 'Volume Slack' im Kontext von Dateisystemen?

Die Sektoren hinter dem Dateisystem, die kleiner sind als die Partition und in denen Daten versteckt abgelegt sein können.

Wie können Nutzer normalerweise auf Dateisystemdaten zugreifen und diese gegebenenfalls verändern?

Über spezialisierte Programme und Entwickler-Tools.

Was sind 'Inhaltsdaten' (Content Data) im Rahmen der Dateisystemanalyse?

Positionsdaten von Dateien und Ordnern und Informationen darüber, welche Sektoren durch das Dateisystem allokiert sind.

Welche Rolle spielen Zeitstempel in Dateisystemdaten?

Sie geben die chronologische Reihenfolge der Dateimanipulation an und können bei der forensischen Analyse wichtig sein.

Warum ist die Analyse von Volume Slack relevant in forensischen Untersuchungen?

Weil dort Daten unabhängig vom Dateisystem versteckt sein können.

Was unterscheidet Dateisystemdaten von Inhaltsdaten?

Dateisystemdaten enthalten Metadaten über das Dateisystem selbst, während Inhaltsdaten die Position und die Allokation von Sektoren beschreiben.

Study Notes

Forensische Wissenschaften

• Forensik ist die Anwendung wissenschaftlicher Methoden auf Fragen des Rechtssystems.
• Ein häufiges Anwendungsgebiet der Forensik ist die Untersuchung und Verfolgung von Straftaten.
• Forensik wird in der Regel von Spezialisten durchgeführt.

Kriminalistik

• Gegenstand der Kriminalistik ist das Wissen und die Erkenntnisse über die Mittel, Methoden und Verfahren zur Verhütung, Aufklärung und Untersuchung von Straftaten.
• Die Kriminalistik konzentriert sich auf die Verbrechensbekämpfung in der Gesellschaft.

Kriminologie

• Die Kriminologie ist eine empirische und interdisziplinäre Wissenschaft.
• Sie befasst sich mit dem Verbrechen, dem Täter, der negativen sozialen Auffälligkeit und der Kontrolle des Verhaltens.
• Sie untersucht auch die Wirkung von Strafen und Sanktionen.

Spuren

• Eine Spur ist jedes Objekt, das ein Argument plausibler macht.
• Im juristischen Kontext wird oft von Beweismittel gesprochen.
• Spuren können physisch oder digital sein.
• Spuren lassen sich in Spureninformation und Spurenträger unterteilen.

Digitale Spuren

• Digitale Spuren sind Spuren, die auf Daten basieren, die in Computersystemen gespeichert oder übertragen wurden.
• Sie können sowohl Informationen als auch Materialien umfassen.
• Die Integrität und Authentizität digitaler Spuren müssen bei forensischen Untersuchungen berücksichtigt werden.

Locards Austauschprinzip

• Bei jeder Straftat findet ein Austausch von Materie zwischen Tatort, Opfer und Täter statt.
• Dieser Austausch kann als Beweismittel genutzt werden, um den Tathergang zu rekonstruieren.

Forensische Informatik

• Forensische Informatik: Erforschung forensischer Methoden und Fragestellungen im Zusammenhang mit der Analyse digitaler Spuren.
• Die Analyse digitaler Daten muss nachvollziehbar sein.
• Die Ergebnisse müssen auch für weniger versierte Personen nachvollziehbar sein.

Volume Systems/Partitionsanalyse

• Volume-Systeme haben zwei zentrale Konzepte: das Zusammenfassen mehrerer Speicherbände zu einem und die Aufteilung von Speicherbänden in unabhängige Partitionen.
• Speichermedien müssen so aufgeteilt sein, dass Daten effizient abgerufen werden können.
• Partitionen sind unabhängig von der physikalischen Anbindung des Datenträgers.
• Wichtige Partitionssysteme (Beispiele) sind DOS/MBR und GPT.

Partition Table

• Die Partitionstabellen enthalten Daten zum Aufbau der Partitionen (z.B. Start/End Sektor, Partitionsgröße etc.)
• Es gibt verschiedene, häufig verwendete Partitionstabellenformate.
• Die Einträge der Partitionstabelle beschreiben (meistens) jede Partition einzeln.

Sektoradressierung (nach Carrier)

• LBA (Logical Block Addressing): Logische Durchnummerierung der Sektoren eines Speichermediums
• LVA (Logical Volume Addressing): Die logische Adresse der ersten Sector eines Volumes.
• Logical Partition Volume Address: Die logische Adresse des ersten Sektors einer bestimmten Partition.

DOS/MBR

• Das DOS/MBR-Partitionssystem war früher weit verbreitet.
• Es hat jedoch Einschränkungen, insb. bei der Anzahl der Partitionen. (Max. 4)
• Lösungen für Partitionen, die über diese Grenze hinausgehen sind erweitert Partitionen.
• Die notwendige Struktur zur Repräsentation der Partitionen wird in den ersten 512 Bytes des Speichermediums (MBR) gespeichert.

Aufbau MBR

• Die MBR enthält einen Bootcode, eine Partitionstabelle und eine Signatur.
• Die Partitionstabelle listet Informationen über die vorhandenen Partitionen.
• Der Bootcode enthält Anweisungen, die der Prozessor beim Starten des Computers ausführt.

Boot Code und Partitionstabelle

• Bootcode: Enthält Instruktionen zur Ausführung des Betriebssystems.
• Partitionstabelle: Enthält Informationen über die Partitionen.

CHS-Adresse (Cylinders, Heads, Sectors)

• Eine alte Art der Festplattenadressierung.
• Problematischer, weil die Größe und Position der physischen Sektoren und deren Zuordnung schwierig zu verstehen ist.
• Empfindlich gegenüber Defekten.

Einschränkungen DOS/MBR

• Maximal vier Partitionen
• Erweiterung mit Erweiterte Partitionen ermöglicht die Nutzung weiterer Partitionen.

Erweiterte Partitionen

• Primär und Sekundär, zur Aufteilung und Organisation weiterer Partitionen.

Sekundäre Partitionen

• Erweitert das Partitionskonzept des MBR, ermöglicht es die Verwaltung von weiteren Partitionen in dem Format und legt sie in Verkettung zu anderen Partitionen.

GUID Partition Table (GPT)

• Modernes Partitionssystem
• Höhere Kapazität und andere Vorteile im Vergleich zu MBR.

Bereiche des GPT

• Schutz-MBR: Schutz-MBR ist ein Schutzmechanismus für die GPT Partition, ein Schutzmechanismus der mit dem MBR gleichgesetzt ist.
• GPT-Header: Enthalten Informationen zum Layout der Tabelle.
• Partitionstabelle: Enthaltete Daten über die Partitionen.
• Partitionen-Area: Enthält die Daten der Partitionen und deren Untertypen.
• Backup Area: Backup des GPT Headers und der Partitionstabelle.

Allgemeine Layout des GPT

• GPT-Header: Enthält Informationen zu Größe, Type etc. des Systems.
• Protective MBR: Ein Schutzmechanismus für die GPT-Partition.
• Partitionstabelle: Leitet Zugriff auf Tabellen aus.
• Partition-Area: Gibt die Daten-Cluster an.
• Backup-Area: Sicherheit durch Kopien von Tabelle und Header.

Dateisystemanalyse

• Ziele: Daten auf Volumes, Partitionen oder Disks analysieren und interpretieren als ein Dateisystem.
• Ergebnisse: Anzeige von Daten, Wiederherstellung gelöschter Daten, Anzeige von Sektorinhalten

Motivation der File Systems Analyse

• Motivation: Die Fähigkeit, Daten zu speichern und abzurufen.

Das Dateisystem

• Dateisysteme werden benötigt, um Daten zu speichern und abzurufen.
• Sie ermöglichen eine hierarchische Organisation von Daten in Ordnern und Dateien.
• Alle Computersysteme unterstützen Dateisysteme mit unterschiedlichen Konfigurationen.

Fünf Kategorien nach Carrier

• Dateisystemdaten: Allgemeine und notwendige Daten für das Dateisystem
• Inhaltsdaten: Dateninhalte von Dateien und Ordnern, z.B. Cluster.
• Metadaten: Beschreibende Daten über Dateien und Ordner, z.B. Zeitstempel, Dateinamen und Attribute.
• Dateinamensdaten: Informationen über Dateinamen (z.B. Name, Größe etc.)
• Anwendungsdaten: Spezifische Operationen des Dateisystems.

Essentielle Daten

• Informationen die notwendig sind um eine Datei zu speichern/abrufen.

Nicht-Essentielle Daten

• Informationen die nicht notwendig sind, um eine Datei zu speichern/abrufen. (z.B. Zeitstempel)

Vereinfachte Darstellung der Inhalte zur Datei-Erstellung/Löschen

• Dateisystem erstellen: MFT wird benutzt um Daten zu speichern, welche dann in andere Attribute und Cluster geschrieben werden. (Beispiel: dir1\file1.txt)
• Datei-Löschen: Der Eintrag im Directory Entry wird gelöscht, welche dann in der Bitmap notiert wird als nicht zugewiesen. (Beispiel: Löschen von dir1\file1.txt)

Dateisystem NTFS

• Entwickelt um die Bereiche zu erweitern, und grössere Datenmengen nutzen zu können.

Master File Table (MFT)

• Zentrales Element des NTFS-Dateissystems.
• Enthält Metadaten zu Dateien und Ordnern und dient als Index/Liste aller Dateien/Ordner.

MFT-Aufbau

• Header: Festdefinierter Bereich mit relevanten Informationen
• Attribute: Informationen bzgl. Eigenschaften der Dateien (z.B. Dateiname, Größe, Zeiten, usw.).

Laufliste (Cluster Runs)

• Listet die Cluster eines Files in einer bestimmten Reihenfolge auf, um zu zeigen, wie die Cluster an das File gekoppelt sind. Wird in $DATA gespeichert.

$BOOT-Sektor

• Enthält Informationen zum Systemstart, für bestimmte Dateisysteme.

$ATTRDEF

• Enthält Informationen über Attribute ( z.B. Type ID, Name des Attributes)

Cluster

• Gruppierte Sektoren, um Datei- und Ordnerdaten zu speichern.

$BITMAP

• Allokierungsstatus der Cluster.
• Gibt an, welcher Cluster aktuell verwendet wird und welche nicht.

$BADCLUS

• Listet beschädigte und/oder ungültige Cluster.
• Nicht nutzbare Cluster-Adressen werden in dieser Tabelle dokumentiert.

$STANDARD_INFORMATION Attribut

• Zeitstempel des Dateitreats (z.B. Erstellung, Änderung, Zugriff)

$FILE_NAME Attribut

• Dateiname bzw. Name eines Ordners.

B-Tree (Binary Trees)

• Datenstruktur, die die Positionierung von Daten in einer Datenbank optimiert.
• Im Dateisystem wird sie zur Speicherung von Daten und deren Anordnung verwendet

Weitere Punkte (Methoden oder Themen)

• Live-Analyse: Untersuchung und Analyse des Systems während der Ausführung.
• Post-mortem-Analyse: Untersuchung und Analyse des Systems nach der Beendigung der Ausführung.

Mobile Forensik

• Schwerpunkt des Studiengebiets: Extrahieren, Wiederherstellen und Analysieren von digitalem Beweismaterial aus Mobilgeräten.
• Wichtige Datenquellen: Telefonate, SMS, Bilder, Internet-Aktivitäten, Standortdaten.
• Verschiedene Vorgehensweisen: abhängig vom Betriebssystem, des Geräts und des Herstellers.

Herausforderungen in der mobilen Forensik

• Komplexität der Geräte: Unterscheidliche Betriebssysteme, Hardware und Software
• Sicherheitsmaßnahmen: Verschlüsselungen, Passwörter
• Nicht-persistente Daten: Daten, die beim Herunterfahren des Geräts verloren gehen.

Dokumentation in der Forensik

• Wesentliche Aspekte zur Dokumentation.
• Dokumentation von Informationen bzgl. Personen die auf den Inhalt Zugriff hatten.
• Detaillierte Dokumentation des Untersuchungsprozesses

Description

Dieses Quiz behandelt wichtige Konzepte der digitalen Forensik und die Verwendung der GUID Partition Table (GPT). Es umfasst Themen wie die maximale Anzahl von Partitionen, Adressierungsmethoden und das Protective MBR in Verbindung mit GPT. Zudem wird das Konzept der Abstraktionsebenen digitaler Daten und deren Analyse thematisiert.