Digitale Forensik - Sammeldatei

Questions and Answers

In welchem Kontext wird die GUID Partition Table (GPT) hauptsächlich verwendet?

• Im Zusammenhang mit dem Dateisystem NTFS
• Im Zusammenhang mit dem EFI (Extensible Firmware Interface) (correct)
• Im Zusammenhang mit dem MBR (Master Boot Record)
• Im Zusammenhang mit dem BIOS (Basic Input/Output System)

Wie viele Partitionen können maximal mit einer GUID Partition Table (GPT) realisiert werden?

• 64 Partitionen
• 256 Partitionen
• 128 Partitionen (correct)
• 32 Partitionen

Welche Art von Adressierung wird von der GUID Partition Table (GPT) verwendet?

• 8-bit LBA-Adressen
• 64-bit LBA-Adressen (correct)
• 16-bit LBA-Adressen
• 32-bit LBA-Adressen

Welche der folgenden Komponenten ist kein direkter Bestandteil einer GPT?

Bootsektor (C)

Welchen Zweck erfüllt der 'Protective MBR' im Kontext der GPT?

Er dient zur Kompatibilität mit BIOS-basierten Systemen. (D)

Was besagt Locards Austauschprinzip in Bezug auf digitale Spuren?

Bei jeder Interaktion an einem digitalen oder physischen Tatort findet ein Austausch von Spuren statt. (C)

Warum ist eine Extraktion und Übersetzung digitaler Spuren notwendig?

Da digitale Spuren in einer nicht menschenlesbaren Form vorliegen. (D)

Auf welcher Abstraktionsebene werden Daten als Magnetisierung oder Elektronenzustände dargestellt?

Bit (C)

Welche der folgenden ist die höchste Abstraktionsebene bei der Darstellung digitaler Daten laut dem Text?

Interpretation als Dateiart, z.B. E-Mail (C)

Was kann auf jeder Abstraktionsebene bei der Analyse digitaler Spuren auftreten?

Fehler bei der Interpretation. (D)

In welcher Reihenfolge werden Daten gemäß den verschiedenen Abstraktionsebenen dargestellt?

Magnetisierung/Elektronenzustände -> Zeichenkodierung -> Dateisystem -> Dateiart (D)

Welche Abstraktionsebene beschreibt die Organisation von Datenbeständen auf einem Speichermedium?

Dateisystem (C)

Was ist der Hauptgrund für die Verwendung von Abstraktionsebenen bei der digitalen Forensik?

Um digitale Spuren in einer für Menschen verständlichen Form zu präsentieren. (A)

Welche Aussage trifft auf die Sektoradressierung nach Carrier zu?

Die logische Datenträgeradressierung bezieht sich auf den gesamten Datenträger, unabhängig von Partitionen. (A)

Wo befindet sich die physische Adresse 569 in der Darstellung von Carrier?

Außerhalb der definierten Partitionen. (A)

Was charakterisiert laut dem Text DOS-Partitionen?

Sie sind komplex und wurden modifiziert, um moderne Systeme zu unterstützen. (A)

Was ist der Startadresse von Partition 2 laut der Abbildung?

864 (C)

Was ist die logische Datenträgeradresse von der physischen Adresse 100 in Partition 1?

100 (C)

Welche Aussage beschreibt die Beziehung zwischen logischer und physischer Adresse am treffendsten?

Die physische Adresse bezieht sich auf den tatsächlichen Speicherort, während die logische Adresse relativ ist. (C)

Was ist laut dem Text ein charakteristisches Merkmal von DOS/MBR-Partitionen in Bezug auf technologische Entwicklung?

Sie wurden anfangs für kleine Systeme konzipiert und später erweitert. (B)

Was ist die logische Partitionsadresse der physischen Adresse 964?

100 (C)

Welche der folgenden Optionen beschreibt am besten die 'Tot-Analyse' (dead analysis) im Bereich der digitalen Forensik?

Die Sicherung und Analyse persistenter Spuren, vornehmlich von Festplatten. (D)

Was ist der Hauptfokus der 'Live-Analyse' im Kontext der digitalen Forensik?

Die Sicherung und Analyse von flüchtigen Spuren wie RAM und Cache. (A)

Welchen Zweck erfüllt der Protective MBR in einer GPT-Partitionierung?

Er sorgt dafür, dass ältere Systeme die Disk als belegt erkennen. (A)

Was charakterisiert den Teilbereich der 'Netzwerkforensik' innerhalb der digitalen Forensik?

Die Sicherung und Analyse von Netzwerkverkehr und zugehörigen Spuren. (B)

Wo befindet sich der GPT-Header?

Direkt nach dem Protective MBR. (B)

Welche Aussage beschreibt den Schwerpunkt der digitalen Forensik im Hinblick auf die Datensicherung und -analyse?

Die Sicherung und Analyse von sowohl persistenten als auch flüchtigen Daten (C)

Innerhalb des forensischen Prozesses nach Casey, welche Phase folgt direkt auf die 'Übersicht/Identifikation'?

Erhaltung (B)

Welche Information ist nicht im Eintrag der Partitionstabelle enthalten?

Die physische Lage des Datenträgers. (C)

Welche Funktion hat die Checksumme im GPT-Header?

Das Überprüfen des GPT-Headers und der Partitiontabelle auf Modifikationen oder Fehler. (C)

Was unterscheidet die Analyse von flüchtigen spuren im engeren Sinne von der Analyse von flüchtigen spuren im weiteren Sinne?

flüchtige spuren im engeren Sinne bezieht sich typischerweise auf Spuren im Netzwerk, während flüchtige spuren im weiteren Sinne sich mit Hauptspeicher und Caches beschäftigt. (B)

Was ist die Hauptfunktion der Partition Area?

Speicherung der eigentlichen Partitionen und ihrer Daten. (A)

Welche der folgenden ist KEINE typische Phase im forensischen Prozess nach Casey?

Datenverlust (A)

Was ist das Hauptziel der Phase 'Erhaltung' im forensischen Prozess?

Die Gewährleistung, dass originale Beweismittel nicht verändert werden. (B)

Wozu dient die Backup Area in einer GPT-Partitionierung?

Zur Speicherung von Backup-Kopien des GPT-Headers und der Partitionstabelle. (C)

Wie viele Partitionen sind unter Windows mit GPT maximal möglich?

128 (B)

Was ist eine GUID im Kontext der GPT Partitionstabelle?

Ein eindeutiger 128-Bit-Wert, der jede Partition identifiziert. (C)

Welche der folgenden Aussagen beschreibt die Funktion von Dateisystemdaten am besten?

Sie definieren die Eindeutigkeit eines Dateisystems und enthalten Informationen über die Ablage weiterer wichtiger Daten. (B)

Welche Art von Informationen sind nicht typischerweise in Dateisystemdaten enthalten?

Die exakten Bilddaten der Dateien. (A)

Was ist 'Volume Slack' im Kontext von Dateisystemen?

Die Sektoren hinter dem Dateisystem, die kleiner sind als die Partition und in denen Daten versteckt abgelegt sein können. (A)

Wie können Nutzer normalerweise auf Dateisystemdaten zugreifen und diese gegebenenfalls verändern?

Über spezialisierte Programme und Entwickler-Tools. (C)

Was sind 'Inhaltsdaten' (Content Data) im Rahmen der Dateisystemanalyse?

Positionsdaten von Dateien und Ordnern und Informationen darüber, welche Sektoren durch das Dateisystem allokiert sind. (A)

Welche Rolle spielen Zeitstempel in Dateisystemdaten?

Sie geben die chronologische Reihenfolge der Dateimanipulation an und können bei der forensischen Analyse wichtig sein. (A)

Warum ist die Analyse von Volume Slack relevant in forensischen Untersuchungen?

Weil dort Daten unabhängig vom Dateisystem versteckt sein können. (B)

Was unterscheidet Dateisystemdaten von Inhaltsdaten?

Dateisystemdaten enthalten Metadaten über das Dateisystem selbst, während Inhaltsdaten die Position und die Allokation von Sektoren beschreiben. (A)

Flashcards

Dead-Analyse

Die Analyse von persistenten Spuren, wie z.B. Festplatten, nach einem Ereignis. Oft auch als "Tot-Analyse" oder "Post-Mortem-Analyse" bezeichnet.

Live-Analyse

Die Analyse flüchtiger Spuren wie im Hauptspeicher und Caches, meist während ein Gerät noch aktiv ist.

Netzwerkforensik

Die Sicherung und Analyse von flüchtigen Spuren im Netzwerk, wie z.B. Netzwerkverkehr.

Vorbereitung

Der erste Schritt im forensischen Prozess, bei dem die notwendigen Ressourcen und Vorbereitungen getroffen werden.

Übersicht/Identifikation

Der zweite Schritt im forensischen Prozess, bei dem die relevanten Daten identifiziert und eingrenzt werden.

Erhaltung

Der dritte Schritt im forensischen Prozess, bei dem die sichergestellten Daten so bewahrt werden, dass sie nicht manipuliert werden.

Was besagt das Locardsche Austauschprinzip in der digitalen Forensik?

Das Locardsche Prinzip ist, dass jeder Kontakt Spuren hinterlässt. In der digitalen Forensik bedeutet dies, dass jeder digitale Vorgang Spuren im System hinterlässt. Diese Spuren können zur Identifizierung des Täters oder der Tat verwendet werden.

Warum sind digitale Spuren nicht direkt verständlich?

Digitale Spuren liegen nicht in einer für den Menschen verständlichen Form vor. Sie müssen extrahiert und übersetzt werden, um interpretierbar zu sein. Bei diesem Prozess können Interpretationsfehler auf jeder Ebene auftreten.

Was bezeichnet die Abstraktionsebene in der digitalen Forensik?

Die Abstraktionsebenen beschreiben die unterschiedlichen Formen, in denen Daten vorliegen. Die niedrigste Ebene sind die physikalischen Bit- oder Elektronenzustände, die höchste Ebene ist die Interpretation der Daten, z.B. als E-Mail.

Was ist die unterste Abstraktionsebene in der digitalen Forensik?

Die physikalische Darstellung von Daten auf der Festplatte. Dieser Ebene sind die magnetischen oder elektronischen Zustände zugrunde gelegt.

Was ist die nächste Abstraktionsebene nach der physikalischen Ebene?

Die Darstellung von Daten als Zeichen oder Symbole. Diese Ebene enthält die Zeichenkodierung, z.B. ASCII oder Unicode.

Was ist die Dateisystemebene in der digitalen Forensik?

Die organisierte Struktur von Daten auf einer Festplatte, die den Zugriff und die Verwaltung von Dateien ermöglicht.

Was ist die Ebene der "Daten des Dateisystems als Datei" in der digitalen Forensik?

Die einzelnen Dateien, die im Dateisystem abgelegt sind, z.B. Texte, Bilder oder Programme.

Was ist die höchste Abstraktionsebene in der digitalen Forensik?

Die Interpretation der Datei anhand ihres Inhalts und ihrer Struktur, z.B. als E-Mail, Textdokument oder Bild.

Sektoradressierung

Die Sektoradressierung ist ein Verfahren, das zur Adressierung von Blöcken auf einer Festplatte verwendet wird. Dabei wird jeder Block mit einer eindeutigen Nummer identifiziert.

Partition

Der Begriff "Partition" bezieht sich auf einen bestimmten Teil einer Festplatte, der als unabhängiger Datenspeicher verwendet werden kann. Jede Partition besitzt eine eigene Adresse.

Physikalische Adresse

Die physikalische Adresse beschreibt den physischen Speicherort eines Blocks auf der Festplatte. Sie bildet den tatsächlichen Ort des Datenblocks auf der Festplatte.

Logische Festplatten-Volumen Adresse

Die logische Festplatten-Volumen Adresse beschreibt den Speicherort innerhalb eines logischen Volumes. Sie wird verwendet, um Daten innerhalb eines Partitionsvolumens zu identifizieren.

Logische Partitions Adresse

Die Logische Partitions Adresse gibt den Speicherort eines Blocks innerhalb einer Partition an. Sie dient der Identifizierung von Daten innerhalb der Partitionsstruktur.

DOS/MBR

Das DOS/MBR (Master Boot Record) ist ein Partitionierungs-System, das für die Verwaltung von Partitionen auf Festplatten entwickelt wurde. Es war ursprünglich für kleine Systeme konzipiert, wurde aber angepasst, um auch große moderne Systeme zu unterstützen.

Master Boot Record (MBR)

Der Master Boot Record (MBR) ist ein spezieller Sektor am Beginn einer Festplatte, der Informationen über die Partitionsstruktur und den Bootloader enthält. Er ist wichtig für das Hochfahren eines Computers.

Bootloader

Der Bootloader ist ein kleines Programm, das beim Booten des Computers gestartet wird, um das Betriebssystem zu laden.

GUID Partition Table (GPT)

Ein globally unique identifier (GUID) basierendes Partitionsschema, das mit dem Extensible Firmware Interface (EFI) zusammenarbeitet.

GPT Header

Ein sicherer Bereich am Anfang der Festplatte, der wichtige Informationen über die Partitionstabelle enthält.

Partition Table (GPT)

Ein Bereich auf der Festplatte, der die Informationen zu allen Partitionen enthält.

Partition Area (GPT)

Ein Bereich auf der Festplatte, der die eigentlichen Partitionsdaten enthält.

Backup Area (GPT)

Ein zusätzlicher Bereich auf der Festplatte, der eine Kopie des GPT Headers und der Partition Table enthält.

Protective MBR

Der Protective MBR befindet sich auf Sektor 0 der Festplatte. Er enthält einen Eintrag (0xEE - EFI GTP Disk) und belegt die gesamte Festplatte. Der Protective MBR ermöglicht es auch älteren Systemen, die Festplatte als belegt zu erkennen.

Partitionstabelle

Die Partitionstabelle befindet sich ab Sektor 2 und enthält die eigentlichen Informationen zu den Partitionen. Jeder Eintrag beinhaltet den Start- und Endpunkt, Typ, Namen, Attribute und eine eindeutige GUID.

Partition Area

Die Partition Area ist der größte Bereich auf der Festplatte und wird genutzt, um die Partitionen mit ihren Daten zu speichern. Größe und Lage werden im GPT-Header definiert.

Backup Area

Die Backup Area befindet sich direkt nach der Partition Area und enthält eine Kopie des GPT-Headers und der Paritionstabelle. Im Falle eines Fehlers kann die Backup Area verwendet werden, um den ursprünglichen Zustand der Festplatte wiederherzustellen.

GUID (Globally Unique Identifier)

Ein GUID (Globally Unique Identifier) ist eine eindeutige 128-Bit-Zahl, die jeder Partition zugewiesen wird. Er sorgt dafür, dass jede Partition eindeutig identifiziert werden kann.

GPT

GPT (GUID Partition Table) ist eine moderne Partitionierungstechnik für Festplatten, die verschiedene Vorteile gegenüber dem traditionellen MBR-Schema bietet. Es ermöglicht größere Festplatten, mehr Partitionen und bietet eine höhere Zuverlässigkeit.

Was sind Dateisystemdaten?

Dateisystemdaten beinhalten allgemeine Informationen über das Dateisystem, die es eindeutig identifizieren und den Speicherort anderer wichtiger Daten angeben.

Welche Informationen beinhalten Dateisystemdaten?

Dateisystemdaten enthalten u.a. die Version des Dateisystems, Hinweise auf seine Erstellung, Zeitstempel und die Bezeichnung des Dateisystems.

Wie können Dateisystemdaten betrachtet werden?

Normalerweise können Nutzer diese Daten nur mit einem Hex-Editor einsehen oder bearbeiten.

Was ist Volume Slack?

Volume Slack ist der ungenutzte Bereich hinter dem Dateisystem einer Partition. Dieser Bereich kann zum Verstecken von Daten genutzt werden.

Was sind Inhaltsdaten?

Inhaltsdaten beinhalten Positionen von Dateien und Ordnern innerhalb des Dateisystems. Sie zeigen, welche Sektoren auf der Festplatte belegt sind und welche nicht.

Welche Information geben Inhaltsdaten?

Inhaltsdaten zeigen, welche Datenbereiche aktuell durch das Dateisystem genutzt werden und welche nicht.

Was sind allokierte und nicht-allokierte Sektoren?

Allokierte Sektoren sind Bereiche auf der Festplatte, die für das Dateisystem verwendet werden. Nicht-allokierte Sektoren hingegen liegen ungenutzt vor.

Warum ist die Analyse von Dateisystemdaten wichtig?

Dateisystemanalyse beinhaltet die Untersuchung der Daten und Strukturen des Dateisystems, um Informationen über die Nutzung und Aktivitäten auf dem System zu gewinnen.

Study Notes

Forensische Wissenschaften

• Forensik ist die Anwendung wissenschaftlicher Methoden auf Fragen des Rechtssystems.
• Ein häufiges Anwendungsgebiet der Forensik ist die Untersuchung und Verfolgung von Straftaten.
• Forensik wird in der Regel von Spezialisten durchgeführt.

Kriminalistik

• Gegenstand der Kriminalistik ist das Wissen und die Erkenntnisse über die Mittel, Methoden und Verfahren zur Verhütung, Aufklärung und Untersuchung von Straftaten.
• Die Kriminalistik konzentriert sich auf die Verbrechensbekämpfung in der Gesellschaft.

Kriminologie

• Die Kriminologie ist eine empirische und interdisziplinäre Wissenschaft.
• Sie befasst sich mit dem Verbrechen, dem Täter, der negativen sozialen Auffälligkeit und der Kontrolle des Verhaltens.
• Sie untersucht auch die Wirkung von Strafen und Sanktionen.

Spuren

• Eine Spur ist jedes Objekt, das ein Argument plausibler macht.
• Im juristischen Kontext wird oft von Beweismittel gesprochen.
• Spuren können physisch oder digital sein.
• Spuren lassen sich in Spureninformation und Spurenträger unterteilen.

Digitale Spuren

• Digitale Spuren sind Spuren, die auf Daten basieren, die in Computersystemen gespeichert oder übertragen wurden.
• Sie können sowohl Informationen als auch Materialien umfassen.
• Die Integrität und Authentizität digitaler Spuren müssen bei forensischen Untersuchungen berücksichtigt werden.

Locards Austauschprinzip

• Bei jeder Straftat findet ein Austausch von Materie zwischen Tatort, Opfer und Täter statt.
• Dieser Austausch kann als Beweismittel genutzt werden, um den Tathergang zu rekonstruieren.

Forensische Informatik

• Forensische Informatik: Erforschung forensischer Methoden und Fragestellungen im Zusammenhang mit der Analyse digitaler Spuren.
• Die Analyse digitaler Daten muss nachvollziehbar sein.
• Die Ergebnisse müssen auch für weniger versierte Personen nachvollziehbar sein.

Volume Systems/Partitionsanalyse

• Volume-Systeme haben zwei zentrale Konzepte: das Zusammenfassen mehrerer Speicherbände zu einem und die Aufteilung von Speicherbänden in unabhängige Partitionen.
• Speichermedien müssen so aufgeteilt sein, dass Daten effizient abgerufen werden können.
• Partitionen sind unabhängig von der physikalischen Anbindung des Datenträgers.
• Wichtige Partitionssysteme (Beispiele) sind DOS/MBR und GPT.

Partition Table

• Die Partitionstabellen enthalten Daten zum Aufbau der Partitionen (z.B. Start/End Sektor, Partitionsgröße etc.)
• Es gibt verschiedene, häufig verwendete Partitionstabellenformate.
• Die Einträge der Partitionstabelle beschreiben (meistens) jede Partition einzeln.

Sektoradressierung (nach Carrier)

• LBA (Logical Block Addressing): Logische Durchnummerierung der Sektoren eines Speichermediums
• LVA (Logical Volume Addressing): Die logische Adresse der ersten Sector eines Volumes.
• Logical Partition Volume Address: Die logische Adresse des ersten Sektors einer bestimmten Partition.

DOS/MBR

• Das DOS/MBR-Partitionssystem war früher weit verbreitet.
• Es hat jedoch Einschränkungen, insb. bei der Anzahl der Partitionen. (Max. 4)
• Lösungen für Partitionen, die über diese Grenze hinausgehen sind erweitert Partitionen.
• Die notwendige Struktur zur Repräsentation der Partitionen wird in den ersten 512 Bytes des Speichermediums (MBR) gespeichert.

Aufbau MBR

• Die MBR enthält einen Bootcode, eine Partitionstabelle und eine Signatur.
• Die Partitionstabelle listet Informationen über die vorhandenen Partitionen.
• Der Bootcode enthält Anweisungen, die der Prozessor beim Starten des Computers ausführt.

Boot Code und Partitionstabelle

• Bootcode: Enthält Instruktionen zur Ausführung des Betriebssystems.
• Partitionstabelle: Enthält Informationen über die Partitionen.

CHS-Adresse (Cylinders, Heads, Sectors)

• Eine alte Art der Festplattenadressierung.
• Problematischer, weil die Größe und Position der physischen Sektoren und deren Zuordnung schwierig zu verstehen ist.
• Empfindlich gegenüber Defekten.

Einschränkungen DOS/MBR

• Maximal vier Partitionen
• Erweiterung mit Erweiterte Partitionen ermöglicht die Nutzung weiterer Partitionen.

Erweiterte Partitionen

• Primär und Sekundär, zur Aufteilung und Organisation weiterer Partitionen.

Sekundäre Partitionen

• Erweitert das Partitionskonzept des MBR, ermöglicht es die Verwaltung von weiteren Partitionen in dem Format und legt sie in Verkettung zu anderen Partitionen.

GUID Partition Table (GPT)

• Modernes Partitionssystem
• Höhere Kapazität und andere Vorteile im Vergleich zu MBR.

Bereiche des GPT

• Schutz-MBR: Schutz-MBR ist ein Schutzmechanismus für die GPT Partition, ein Schutzmechanismus der mit dem MBR gleichgesetzt ist.
• GPT-Header: Enthalten Informationen zum Layout der Tabelle.
• Partitionstabelle: Enthaltete Daten über die Partitionen.
• Partitionen-Area: Enthält die Daten der Partitionen und deren Untertypen.
• Backup Area: Backup des GPT Headers und der Partitionstabelle.

Allgemeine Layout des GPT

• GPT-Header: Enthält Informationen zu Größe, Type etc. des Systems.
• Protective MBR: Ein Schutzmechanismus für die GPT-Partition.
• Partitionstabelle: Leitet Zugriff auf Tabellen aus.
• Partition-Area: Gibt die Daten-Cluster an.
• Backup-Area: Sicherheit durch Kopien von Tabelle und Header.

Dateisystemanalyse

• Ziele: Daten auf Volumes, Partitionen oder Disks analysieren und interpretieren als ein Dateisystem.
• Ergebnisse: Anzeige von Daten, Wiederherstellung gelöschter Daten, Anzeige von Sektorinhalten

Motivation der File Systems Analyse

• Motivation: Die Fähigkeit, Daten zu speichern und abzurufen.

Das Dateisystem

• Dateisysteme werden benötigt, um Daten zu speichern und abzurufen.
• Sie ermöglichen eine hierarchische Organisation von Daten in Ordnern und Dateien.
• Alle Computersysteme unterstützen Dateisysteme mit unterschiedlichen Konfigurationen.

Fünf Kategorien nach Carrier

• Dateisystemdaten: Allgemeine und notwendige Daten für das Dateisystem
• Inhaltsdaten: Dateninhalte von Dateien und Ordnern, z.B. Cluster.
• Metadaten: Beschreibende Daten über Dateien und Ordner, z.B. Zeitstempel, Dateinamen und Attribute.
• Dateinamensdaten: Informationen über Dateinamen (z.B. Name, Größe etc.)
• Anwendungsdaten: Spezifische Operationen des Dateisystems.

Essentielle Daten

• Informationen die notwendig sind um eine Datei zu speichern/abrufen.

Nicht-Essentielle Daten

• Informationen die nicht notwendig sind, um eine Datei zu speichern/abrufen. (z.B. Zeitstempel)

Vereinfachte Darstellung der Inhalte zur Datei-Erstellung/Löschen

• Dateisystem erstellen: MFT wird benutzt um Daten zu speichern, welche dann in andere Attribute und Cluster geschrieben werden. (Beispiel: dir1\file1.txt)
• Datei-Löschen: Der Eintrag im Directory Entry wird gelöscht, welche dann in der Bitmap notiert wird als nicht zugewiesen. (Beispiel: Löschen von dir1\file1.txt)

Dateisystem NTFS

• Entwickelt um die Bereiche zu erweitern, und grössere Datenmengen nutzen zu können.

Master File Table (MFT)

• Zentrales Element des NTFS-Dateissystems.
• Enthält Metadaten zu Dateien und Ordnern und dient als Index/Liste aller Dateien/Ordner.

MFT-Aufbau

• Header: Festdefinierter Bereich mit relevanten Informationen
• Attribute: Informationen bzgl. Eigenschaften der Dateien (z.B. Dateiname, Größe, Zeiten, usw.).

Laufliste (Cluster Runs)

• Listet die Cluster eines Files in einer bestimmten Reihenfolge auf, um zu zeigen, wie die Cluster an das File gekoppelt sind. Wird in $DATA gespeichert.

$BOOT-Sektor

• Enthält Informationen zum Systemstart, für bestimmte Dateisysteme.

$ATTRDEF

• Enthält Informationen über Attribute ( z.B. Type ID, Name des Attributes)

Cluster

• Gruppierte Sektoren, um Datei- und Ordnerdaten zu speichern.

$BITMAP

• Allokierungsstatus der Cluster.
• Gibt an, welcher Cluster aktuell verwendet wird und welche nicht.

$BADCLUS

• Listet beschädigte und/oder ungültige Cluster.
• Nicht nutzbare Cluster-Adressen werden in dieser Tabelle dokumentiert.

$STANDARD_INFORMATION Attribut

• Zeitstempel des Dateitreats (z.B. Erstellung, Änderung, Zugriff)

$FILE_NAME Attribut

• Dateiname bzw. Name eines Ordners.

B-Tree (Binary Trees)

• Datenstruktur, die die Positionierung von Daten in einer Datenbank optimiert.
• Im Dateisystem wird sie zur Speicherung von Daten und deren Anordnung verwendet

Weitere Punkte (Methoden oder Themen)

• Live-Analyse: Untersuchung und Analyse des Systems während der Ausführung.
• Post-mortem-Analyse: Untersuchung und Analyse des Systems nach der Beendigung der Ausführung.

Mobile Forensik

• Schwerpunkt des Studiengebiets: Extrahieren, Wiederherstellen und Analysieren von digitalem Beweismaterial aus Mobilgeräten.
• Wichtige Datenquellen: Telefonate, SMS, Bilder, Internet-Aktivitäten, Standortdaten.
• Verschiedene Vorgehensweisen: abhängig vom Betriebssystem, des Geräts und des Herstellers.

Herausforderungen in der mobilen Forensik

• Komplexität der Geräte: Unterscheidliche Betriebssysteme, Hardware und Software
• Sicherheitsmaßnahmen: Verschlüsselungen, Passwörter
• Nicht-persistente Daten: Daten, die beim Herunterfahren des Geräts verloren gehen.

Dokumentation in der Forensik

• Wesentliche Aspekte zur Dokumentation.
• Dokumentation von Informationen bzgl. Personen die auf den Inhalt Zugriff hatten.
• Detaillierte Dokumentation des Untersuchungsprozesses

Description

Dieses Quiz behandelt wichtige Konzepte der digitalen Forensik und die Verwendung der GUID Partition Table (GPT). Es umfasst Themen wie die maximale Anzahl von Partitionen, Adressierungsmethoden und das Protective MBR in Verbindung mit GPT. Zudem wird das Konzept der Abstraktionsebenen digitaler Daten und deren Analyse thematisiert.