101 - Mobile Forensik - Kapitel 8

Questions and Answers

Welche Art von Analyse kann bei der mobilen Forensik erforderlich sein?

• Eine Analyse der Hardwarekomponenten.
• Nur eine Analyse der Netzwerkprotokolle.
• Auswertung auf Byte-Ebene. (correct)
• Ausschließliche Analyse der grafischen Benutzeroberfläche.

Was ist ein wichtiger Aspekt der Dokumentation während des forensischen Prozesses?

• Die Spekulationen über den möglichen Täter.
• Die subjektive Meinung des Forensikers.
• Der äußere Zustand des Asservats. (correct)
• Detaillierte Notizen über die Wetterbedingungen während der Analyse.

Welche Information ist nicht zwingend in der Dokumentation einer forensischen Untersuchung enthalten?

• Die verwendeten Werkzeuge.
• Das Datum und die Uhrzeit der Analyse.
• Die Raumtemperatur während der Analyse. (correct)
• Der Hersteller, das Modell und das Betriebssystem des Gerätes.

Was umfasst der Begriff 'Cell Phone Forensics' laut Bair (2018)?

Die Wiederherstellung von zellulären Daten durch validierte Methoden. (C)

Warum ist die Dokumentation des 'Status: an- oder ausgeschaltet' des Asservats wichtig?

Weil es die Art der Datenerfassung und Analyse beeinflussen kann. (C)

Was sollte bei der Erstellung von Fotos des Asservats dokumentiert werden?

Der Zustand und die Details des Asservats. (B)

Welche der folgenden Informationen wird nicht typischerweise in einem forensischen Bericht benötigt?

Die Namen der am Fall beteiligten Personen. (A)

Was ist der Hauptzweck der Dokumentation in der mobilen Forensik?

Den gesamten Prozess und die Resultate transparent und nachvollziehbar zu machen. (D)

Warum ist die Sicherstellung und Isolation in der mobilen Forensik besonders wichtig?

Um Veränderungen am Gerät zu verhindern oder zu minimieren. (A)

Welche Vorkehrungen sind notwendig, wenn ein Mobilgerät im entsperrten Zustand für forensische Zwecke vorbereitet wird?

Das Aktivieren von Entwickleroptionen wie USB-Debugging, 'Stay Awake' und 'Screen Timeout'. (A)

Warum können klassische Write-Blocker aus der Computerforensik nicht in der mobilen Forensik eingesetzt werden?

Weil eine Interaktion mit dem Gerät notwendig ist, die von Write-Blockern verhindert wird. (C)

Welche Maßnahme hilft, die Kommunikation eines Mobilgeräts mit Mobilfunknetzen und anderen kabellosen Protokollen zu unterbinden?

Das Aktivieren des Flugmodus oder die Verwendung von Faraday-Bags. (A)

Welche der folgenden Optionen ist keine Methode zur Extraktion von Daten aus einem Mobilgerät?

Remote-Sicherung (A)

Was ist das Hauptmerkmal der manuellen Sicherung in der mobilen Forensik?

Die Nutzung des Geräts zur Sichtung der Daten. (B)

Was ist der Unterschied zwischen einer logischen und einer Dateisystem-Sicherung?

Die logische Sicherung verwendet die API des Herstellers, während die Dateisystem-Sicherung auf der Ebene des Dateisystems operiert. (B)

Was bedeutet eine physikalische Sicherung im Kontext der mobilen Forensik?

Eine bitweise Extraktion des gesamten Gerätespeichers. (C)

Welche der folgenden Aussagen beschreibt am besten die Einschränkungen bei der Gewinnung logischer Daten in der mobilen Forensik?

Die Verfügbarkeit logischer Daten ist limitiert und erfordert oft einen Agenten zum Abruf. (C)

Was ist ein charakteristisches Merkmal physikalischer Daten in der mobilen Forensik?

Sie ermöglichen oft die einfachere Wiederherstellung gelöschter Dateien, benötigen jedoch in der Regel Spezialisten zur Analyse. (B)

Welchen Zweck hat die Validierung in der forensischen Analyse von Mobilgeräten?

Die Validierung soll gewährleisten, dass die gefundenen Artefakte durch eine andere Methode reproduzierbar sind und damit die Korrektheit der Analyse bestätigt wird. (C)

Was versteht man unter 'Hand Carving' im Kontext der Validierung mobiler Forensik?

Eine detaillierte Analyse von Daten auf niedriger Ebene, oft ohne spezielle Software. (A)

Welche der folgenden Daten gehören typischerweise zu den logischen Daten, die in der mobilen Forensik analysiert werden?

SMS, MMS, Bilder, Kontakte und Browserverläufe. (A)

Was ist der Hauptunterschied zwischen destruktiven und nicht-destruktiven Techniken bei der Extraktion physikalischer Daten?

Destruktive Techniken können das Gerät beschädigen, während nicht-destruktive Techniken dies vermeiden. (B)

Welches der folgenden Beispiele beschreibt NICHT die Anwendung einer Validierungsmethode in der mobilen Forensik?

Das Betrachten des Geräts ohne jegliche Analyse mit spezieller Software. (D)

In welchen Fällen ist das manuelle Carven von Daten in der mobilen Forensik erforderlich?

Wenn die Dateisysteme beschädigt sind oder spezielle Dateitypen extrahiert werden müssen, die von Standardtools nicht unterstützt werden. (D)

Was ist der Hauptgrund für die Verwendung mehrerer Softwaretools in der mobilen Forensik?

Um die Ergebnisse verschiedener Analysen zu vergleichen und zu validieren. (A)

Was versteht man unter 'Cross-Tool-Validation' im Kontext der mobilen Forensik?

Die Analyse der gleichen Daten mit unterschiedlicher Software und Vergleich der Ergebnisse. (B)

Welches Ziel hat der Vergleich von SMS-Daten und Metadaten nach der Aufbereitung mit verschiedenen Tools?

Die Überprüfung auf Konsistenz und Datenintegrität. (C)

Was bedeutet 'Call Detail Record Validation' im forensischen Kontext?

Der Abgleich von Verbindungsdaten bei Mobilfunk-Providern. (A)

Warum sind Verbindungsdaten von Mobilfunk-Providern in der Forensik relevant?

Um die Anrufe und Nachrichten eines Nutzers zu überprüfen. (C)

Welche Art von Fragestellung ist die Anforderung von Verbindungsdaten bei Mobilfunk-Providern?

Eine juristische Fragestellung. (D)

Was ist das Hauptziel des Vergleichs der mit Software A und Software B aufbereiteten Daten?

Die Überprüfung auf Übereinstimmung und Zuverlässigkeit der Ergebnisse. (D)

Was ist ein typisches Beispiel für Daten, die in der mobilen Forensik cross-validiert werden könnten?

SMS-Inhalte und Metadaten. (C)

Welche der folgenden Aussagen beschreibt am besten die Herausforderung bei der Untersuchung von mobilen Geräten im Vergleich zu herkömmlichen Computern?

Mobile Geräte können nicht durchgehend im ausgeschalteten Zustand untersucht werden, was die Integrität der Daten gefährdet. (C)

Welche der folgenden Optionen beschreibt ein Sicherheitsfeature, das bei der forensischen Analyse von mobilen Geräten eine Herausforderung darstellt?

Die Verwendung von Geräteverschlüsselung. (B)

Was ist die Hauptkomponente einer SIM-Karte (Subscriber Identity Module)?

Ein Chip, der zur Speicherung und Identifizierung verwendet wird. (D)

Welche Art von Speicher wird auf einer UICC für Benutzer- und Netzwerkdaten verwendet?

EEPROM (C)

Wie hat sich die physische Beschaffenheit von SIM-Karten im Laufe der Zeit hauptsächlich verändert?

Das umgebende Material ist im Laufe der Zeit weniger geworden, während der Chip im Wesentlichen gleich geblieben ist. (C)

Welche der folgenden Optionen ist keine Komponente des Dateisystems einer SIM-Karte?

Application File (AF) (D)

Was ist das größte Risiko beim Einschalten eines Mobilgeräts im Rahmen einer forensischen Analyse?

Die zufällige oder bewusste Veränderung von Daten. (A)

Was ist die Funktion eines 'Master File' (MF) im Dateisystem einer SIM-Karte?

Das Root-Verzeichnis (D)

Welche der folgenden Plattformen stellt aufgrund ihrer vielen Hardwarevarianten eine besondere Herausforderung in der mobilen Forensik dar?

Android (C)

Welches Problem entsteht durch die Sicherheitsfeatures bei der forensischen Analyse mobiler Geräte?

Erschwerung des Auslesens der Daten durch die Verschlüsselung und Passcodes. (D)

Wofür steht die Abkürzung 'ICCID' im Kontext von SIM-Karten?

Integrated Circuit Card Identifier (C)

Warum ist die mobile Forensik schwieriger als die traditionelle Computerforensik?

Weil mobile Geräte nicht durchgehend ausgeschaltet analysiert werden können. (D)

Wo werden die EF-Dateien gespeichert, die zu einem bestimmten Mobilfunknetz gehören?

Innerhalb der DF-Verzeichnisse (D)

Welchen Vorteil bietet die USIM-Karte im Vergleich zur traditionellen SIM-Karte?

Größere Speicherkapazität (C)

Wenn eine SIM-Karte mehrere Netze oder Frequenzen unterstützen soll, wie ist die Verzeichnisstruktur aufgebaut?

Ein MF-Verzeichnis mit mehreren DF-Verzeichnissen (D)

Welche Art von Daten werden typischerweise im RAM-Speicher einer UICC gespeichert?

Teile des Betriebssystems und Applikationen, die aktuell ausgeführt werden (B)

Flashcards

Sicherung und Isolation (Mobilforensik)

Diese Phase in der Mobilforensik ist essenziell, um Veränderungen am Gerät zu verhindern oder zu minimieren.

Flugzeugmodus

Der Flugzeugmodus deaktiviert alle Kommunikationsverbindungen mit dem Mobilfunknetz und anderen kabellosen Protokollen.

Faraday Bag

Faraday Bags blockieren elektromagnetische Strahlung und verhindern so jegliche externen Manipulationen am Mobilgerät.

Entwickleroptionen bei der Mobilforensik

Bevor ein Mobiltelefon untersucht wird, werden bestimmte Optionen aktiviert wie USB Debugging, Stay Awake und Screen Timeout.

Logische Sicherung

Diese Art der Extraktion nutzt die API des Herstellers, um bestimmte Daten vom Mobiltelefon zu extrahieren.

Dateisystem-Sicherung

Diese Methode extrahiert Daten vom Mobiltelefon auf Dateisystemebene.

Physikalische Sicherung

Diese Extraktionsmethode kopiert alle Inhalte des Speichers eines Mobilgeräts bitweise.

Manuelle Sicherung

Bei dieser Methode wird das Mobiltelefon direkt benutzt, um Daten zu sichten.

Mobile Forensik

Daten aus Mobilgeräten mithilfe von validierten Methoden zu gewinnen und zu analysieren

Forensische Werkzeuge

Die verschiedenen Werkzeuge, die benötigt werden, um Daten aus Smartphones zu extrahieren und zu analysieren.

Byte-Ebene-Analyse

Analyse von Daten auf niedriger Ebene (Byte-Ebene).

Forensische Dokumentation

Die Dokumentation aller Schritte und Ergebnisse während eines forensischen Prozesses

Dokumentationsinhalte

Wichtige Informationen, die in der forensischen Dokumentation festgehalten werden müssen

Cell Phone Forensics

Die Analyse von Daten auf einem Mobilgerät, die mit einem Mobilfunknetzwerk in Verbindung stehen

Forensischer Prozess

Die Kombination der verschiedenen Phasen der forensischen Untersuchung, von der Datenerfassung bis zur Analyse

Forensische Interpretation

Die Auswertung der Ergebnisse der Datenanalyse, um Erkenntnisse über die Vorgänge auf dem Gerät zu erhalten

Cross Tool Validation

Die Überprüfung der Ergebnisse verschiedener Softwaretools, die auf denselben Datensatz angewendet wurden.

Call Detail Record Validation

Die Überprüfung von Verbindungsdaten aus verschiedenen Quellen, z.B. Mobilfunkbetreiber und forensischen Tools.

Abgleich der Daten

Ein Abgleich der Daten, um sicherzustellen, dass die Ergebnisse verschiedener Tools konsistent sind.

Datenvalidierung

Die Überprüfung der Daten, um sicherzustellen, dass sie korrekt und vollständig sind.

Mehrere Tools verwenden

Der Prozess der Verwendung mehrerer Tools, um sicherzustellen, dass die Ergebnisse zuverlässig sind.

Datenaufbereitung

Die Aufbereitung von Daten mit Hilfe von Softwaretools.

Verschiedene Quellen verwenden

Die Verwendung verschiedener Quellen für die Datenanalyse.

Ergebnisse aus verschiedenen Quellen vergleichen

Der Prozess der Überprüfung der Ergebnisse verschiedener Quellen, um die Zuverlässigkeit der Daten zu gewährleisten.

Logische Daten

Dieser Datentyp bezieht sich auf jegliche Daten, die mithilfe eines 'Agenten', einer Software oder einer App, abgerufen werden können. Dazu gehören zum Beispiel SMS, MMS, Bilder, Kontakte, Anrufliste, Chats, Videos, Browser-Verlauf, Bookmarks, GPS-Daten, Applikationen usw.

Analyse logischer Daten

Logische Daten sind oft einfacher zu verstehen und zu analysieren, da sie im Wesentlichen die gleichen Informationen zeigen, die auch auf dem Gerät selbst sichtbar sind.

Physikalische Daten

Dieser Datentyp bezieht sich auf die rohen Daten, die auf dem Speichermedium des Geräts gespeichert sind. Dies beinhaltet sowohl die aktiv genutzten Daten als auch gelöschte Daten, die noch auf der Festplatte vorhanden sind.

Analyse physikalischer Daten

Die Extraktion physikalischer Daten ist in der Regel aufwendiger und benötigt Spezialisten. Der Prozess kann die Analyse gelöschter Daten und die Suche nach versteckten Informationen ermöglichen.

Daten-Carving

Beim 'Carving' geht es um die manuelle Extraktion von Daten aus Dateien oder Sektoren, die nicht mehr in der ursprünglichen Dateistruktur vorhanden sind. Dies ist besonders relevant bei der Suche nach gelöschten Daten.

Validierung in der Forensik

Dieser Prozess dient der Überprüfung der Ergebnisse der Analyse. Er soll sicherstellen, dass die gefundenen Artefakte (z.B. eine SMS) mit verschiedenen Methoden reproduzierbar sind.

Validierung durch 'Hand Carving'

Die Validierung durch 'Hand Carving' bezieht sich darauf, bestimmte Daten auf niedriger Ebene zu analysieren. Dies kann helfen, die Echtheit und Integrität der Daten zu verifizieren.

Validierungsmethoden

Es gibt verschiedene Methoden zur Validierung von forensischen Daten. Neben der visuellen Validierung, bei der die Daten manuell überprüft werden, gibt es auch die Möglichkeit, andere Tools oder Call Detail Records (CDR) von Providern zu nutzen.

Datenveränderungen bei Mobilforensik

Mobiltelefone sind komplexe Systeme mit vielen Funktionen, die zu Veränderungen von Daten führen können, selbst bei einer forensischen Untersuchung.

Android-Geräte in der Mobilforensik

Android-Geräte sind besonders komplex, da es viele verschiedene Hersteller und Modelle gibt.

iOS-Geräte in der Mobilforensik

iOS-Geräte sind in der Regel geschlossenere Systeme, was die forensische Untersuchung vereinfachen kann.

SIM-Karten in der Mobilforensik

SIM-Karten speichern wichtige Informationen über den Nutzer und wurden über die Jahre immer kleiner.

Sicherheitsfeatures bei Mobilforensik

Bei der Mobilforensik müssen Passcodes und andere Sicherheitsmechanismen überwunden werden, um auf die Daten des Geräts zuzugreifen.

Rechtliche Aspekte der Mobilforensik

Die Analyse von Daten aus Mobiltelefonen benötigt spezielle Methoden und Werkzeuge, um die rechtlichen Vorgaben einzuhalten.

Forensische Beweismittel aus Mobiltelefonen

Die forensische Analyse von Mobiltelefonen kann helfen, Straftaten aufzuklären, Opfer zu identifizieren und Beweise zu sichern.

Herausforderungen der Mobilforensik

Die Mobilforensik ist ein schnelllebiges Gebiet, da sich die Mobiltelefontechnologie ständig weiterentwickelt.

Was ist eine UICC?

Ein integrierter Schaltkreis, der für die Speicherung von Nutzerdaten und Netzwerk-Informationen in Mobiltelefonen eingesetzt wird.

Welche Speichertypen beinhaltet eine SIM-Karte?

Eine UICC-Karte verfügt über verschiedene Speichertypen, die je nach Funktion genutzt werden. ROM speichert Firmware, Betriebssystem und Apps. RAM ist der Arbeitsspeicher für aktive Prozesse. EEPROM wird für Nutzer- und Netzwerkdaten verwendet.

Wie ist das Dateisystem einer SIM-Karte aufgebaut?

Das Dateisystem der SIM-Karte gliedert sich in drei Komponenten:

1. Master File (MF): Das Hauptverzeichnis.
2. Dedizierte Files (Df): Unterverzeichnisse.
3. Elementäre Files (Ef): Einzelne Dateien mit den eigentlichen Daten.

Wie viele verschiedene Netze kann eine SIM-Karte bedienen?

Wenn eine SIM-Karte mehrere Netze oder Frequenzbänder bedienen soll, wird für jedes Netz ein eigenes Df-Verzeichnis angelegt. Innerhalb dieser Verzeichnisse befinden sich dann die EF-Dateien mit den Netzdaten.

Welche Standards gibt es für SIM-Karten?

Die Standards SIM und USIM definieren unterschiedliche Speicherkapazitäten. Aktuell wird USIM häufiger verwendet, da es mehr Speicherplatz bietet.

Welche Bedeutung hat die UICC-Karte in der Mobilforensik?

Die UICC-Karte ist ein wichtiges Element für die mobile Kommunikation und für die forensische Untersuchung von Mobiltelefonen. Sie speichert wertvolle Informationen über den Nutzer und seine Aktivitäten.

Wie kann die UICC-Karte in der Mobilforensik untersucht werden?

Mithilfe von forensischen Methoden, wie der Datenerfassung und -analyse, können Informationen von der SIM-Karte gewonnen und ausgewertet werden, um die Vorgänge auf dem Mobiltelefon zu rekonstruieren.

Wie werden Daten von der UICC-Karte gesichert?

SIM-Karten können mit verschiedenen Methoden gesichert werden, um Datenverlust oder -manipulation zu vermeiden. Dabei ist es wichtig auf die forensischen Prinzipien zu achten, um die Aussagekraft der gewonnenen Daten zu gewährleisten.

Study Notes

Mobile Device Forensics

• Mobile device forensics is a branch of digital forensics focusing on extracting, recovering, and analyzing digital evidence from mobile devices under sound forensic conditions. (Skulkin, Tindall, & Tamma, 2018)

Data on a Mobile Phone

• Data on mobile phones is crucial, including calls, SMS, emails, and GPS information (sent and received).
• Analysis needs are highlighted by personal information, online activities, and use as a tool in crimes.
• Forensic procedures vary based on the operating system.

Mobile Forensics Procedure

• Preparation: Identifying the owner, model, operating system, and relevant data.
• Securing and Isolating: Preventing changes to the device, enabling developer options, disabling debugging, and preventing interaction with the mobile device using USB connections, write-blocker. Preventing external interference using airplane mode and Faraday bags.
• Extraction and Securing: Varying methods depending on the device (OS, manufacturer, model); including manual, logical, and physical methods to secure and extra data in a way that assures the data is a true representation of the device at the point it was seized.
• Examination and Analysis: Utilizing tools to prepare and analyze data, potentially requiring byte-level analysis.
• Reporting: Documentation must be conducted throughout the entire process. Key elements include date and time of analysis, the external condition of the device, its status (on/off), the manufacture and model, photos of the device, tools used, and data produced during extraction and analysis.

Cell Phone Forensics

• Cell phone forensics is the process of recovering cell-related data through forensic examination using validated means. (Bair, 2018)

Logical Data

• Data retrieval needs a specialist due to various methods and complexity.
• Logically based data includes SMS, MMS, images, contacts, call logs, chats, videos, browsing history, bookmarks, GPS data, and applications.

Physical Data

• Physical data recovery typically takes longer.
• Data recovery often requires specialists.
• Methods may include manual carving.
• Potential methods include non-destructive techniques (e.g., bootloader) and destructive techniques (e.g., chip off).

Validation

• Validation is crucial in forensics.
• The goal is to recreate findings using other methods (possibly visually).
• Examples include visual validation, cross-tool validation, call detail record validation, and hand-carving validation.

Visual Validation

• Utilizes the phone's user interface to verify data integrity and reproduce findings.
• Example of SMS recovery: Using a forensic tool, displays the content of a message, and confirms the extracted data with the message shown on the mobile phone.

Cross-Tool Validation

• Allows for comparison of data extracted using different forensic tools.
• Example: Comparing SMS contents and metadata across different forensic tools.

Call Details Record Validation

• Verification of call details using provider data, enabling detection of spoofing attempts.
• Example: Checking call times and participants from call logs against provider data for discrepancies.

Hand Carving Validation

• A method of analyzing data from the file system directly.
• Example: Checking MMS images after the forensic process of the mobile device.

Challenges in Mobile Forensics

• Preventing changes to the device (e.g., turn off, restarting) is essential.
• Mobile forensic investigations need to adapt to different hardware and software configurations and operating systems (e.g., Android, iOS, Blackberry, Windows).
• Dealing with security features such as passwords and device encryption is needed.
• The judicial and legal context for the investigation.

SIM Cards

• Subscriber Identity Module (SIM) cards have undergone significant changes.
• Newer SIM cards use a Universal Integrated Circuit Card (UICC) format, with reduced material around the chip, and more extensive data storage methods.
• Methods for securing user data vary.

Memory Storage

• Different memory types (ROM, RAM, EEPROM) store different types of data.
• ROM stores firmware, operating system, and applications.
• RAM handles parts of the operating system and applications.
• EEPROM stores user data and network data.

File System Components

• A file system has MF, DF, and EF components.
• MF is the master file, DF is the dedicated file, and EF is the elementary file.
• The MF contains the root directory, and subdirectories contain the details on various files.

Multiple Networks

• SIM cards can handle multiple networks, potentially resulting in multiple data directories and individual files for each network.
• The data structures can be complex, involving multiple directories, files, and specific data formats based on network protocols (e.g., SMS, email, apps).

Data on SIM Cards

• Data stored on SIM cards includes network communication details.
• The data can be critical for legal investigations.
• Temporarily stored data might be moved from the SIM to the device for efficiency (e.g., SMS).

Description

Testen Sie Ihr Wissen über mobile Forensik und deren Prozesse. Dieses Quiz behandelt wichtige Aspekte wie Dokumentation, Sicherstellung von Beweismitteln und spezifische Techniken für die Analyse von Mobilgeräten. Ideal für Studierende und Fachleute im Bereich digitale Forensik.