ULTRA ZUSAMMENFASSUNG.docx PDF
Document Details
Uploaded by EntrancingOnyx2948
Tags
Related
- Computer Forensics - Certified Cybersecurity Technician - Exam 212-82 PDF
- Computer Forensics Exam 212-82 PDF
- Fundamentals of Digital Forensics - Theory, Methods, and Applications PDF
- Investigación de Delitos Tecnológicos PDF
- Investigación de Delitos Tecnológicos PDF
- CySA+ Lessons 5-8 & CVSS (Quiz 2) PDF
Summary
This document is a summary of the principles of forensic information, including digital investigation, partitions, and file system analysis. The text covers various concepts, methods, and processes in the field of forensic science.
Full Transcript
Kapitel 1 - Grundlagen ====================== Begriffe: --------- **Forensik**: Anwendung von wissenschaftlichen Methoden (auf Fragen des Rechtsystems) **Kriminalistik**: Wissen über die Mittel und Methoden unterschiedlicher Aspekte von Straftaten (Naturwissenschaftlicher Fokus) (*vermittelt dies...
Kapitel 1 - Grundlagen ====================== Begriffe: --------- **Forensik**: Anwendung von wissenschaftlichen Methoden (auf Fragen des Rechtsystems) **Kriminalistik**: Wissen über die Mittel und Methoden unterschiedlicher Aspekte von Straftaten (Naturwissenschaftlicher Fokus) (*vermittelt dieses Wissen*) **Kriminologie**: Erfassung des Gesamten Erfahrungswissen über Straftaten und -täter (Sozialwissenschaftlicher Fokus) **Spur**: Hinterlassenes Zeichen, Beweismittel (kann nahezu alles sein) - - - **Spureninformationen**: Bedeutung der Spur, [sowohl Inhalt als auch Format der Informationen] - - - - **Spurenträger**: Material, z.B. Brief und Tinte - **Integrität** (Im Kontext der Spur): - - - - **Authentizizät** (Im Kontext der Spur): - - - **Digitale Spuren** ([Eigenschaften unter Konzepte]): Spuren, die auf Daten basieren, welche in Computersystemen gepseichert oder übertragen werden - - - - - - - - - - - - - - - - - - - - - - - - - - - - - **Forensische Informatik** (mehr unter Konzepte): - - - - Konzepte: --------- ### **Locards Austauschprinzip**: (S. 22+) - - - - ### **Locards Austauschprinzip**: Transfer in die digitale Welt (S. 40+) - -  - - - - - ### **Digitale Spuren** - Eigenschaften: S. 44+ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - ### **Forensische Informatik:** Aufteilung nach Techniken S. 58+ 1. 2. 3. ### **Forensischer Prozess** (nach Casey): S. 66+ 1. 2. 3. 4. 5. ### **Integrated Digital Investigation Process Model:** (Carrier) S.72 Kapitel 2 - Partitionsanalyse ============================= Begriffe -------- **Volume Systems**: Volume-Systeme basieren auf zwei zentralen Konzepten: die Zusammenführung mehrerer Speichervolumen zu einem einzelnen Volumen und die Aufteilung eines Speichervolumens in unabhängige Partitionen. **Datenträger**: Sammlung adressierbarer Sektoren für Datenspeicherung. - - - **Partition**: Sammlung aufeinanderfolgender Sektoren in einem Volume. - - **Partitionstabelle**: Jeder Eintrag beschreibt eine spezifische Partition, Ein Partitionssystem besitzt eine oder mehrere Partitionstabellen, wichtige Daten der Partitionen weren dort gespeichert - - **DOS/MBR**: Am weitesten verbreitetes, aber komplexestes Partitionierungssystem. - - **Boot Code** (Teil von DOS/MBR): Instruktionen, wie die Partitionstabelle analysiert werden muss bzw. wo sich das Betriebssystem befindet. **CHS (Cylinder-Head-Sector)**: Klassische Methode zur Adressierung von Festplattendaten. - - **Konzepte** ------------ ### **Einführung Speichersysteme**: - - - - - - - - ### **Partitionstabelle** (Bsp.):  ### **Sektoraddressierung**: - - - - - - - - ### **Einführung DOS/MBR**: - - - - - - -  **Boot Code:** - - - - - - **Partitionstabelle:** - - - - - **CHS-Adresse**: - - - - - - **LBA** (**Logical Block Address**) - - **Einschränkung des MBR**: - - - - - - **Erweiterte Partitionen**: - - - - - - - - **Sekundäre Partitionen**: - - - - - - - - - **[Zusammenfassung]**: N ≤ 4 - - N \> 4 - - -  ### GUID PARTITION TABLE (GPT) **Einführung**: - - - - - **Bereiche des GPT**: - - - - - **Layout**: **Protective MBR (Sektor 0)**: - - - **GPT Header (Sektor 1)**: - - - **Partition Table (ab Sektor 2)**: - - - - - - - - **Partition Area**: - - - **Backup Area**: - - **[Zusammenfassung]**: - - - - Kapitel 3 - Dateisystemanalyse ============================== Begriffe -------- **Dateisystemanalyse**: analysiert Daten auf **Volume****Disk** und interpretiert diese als Sysem - - - - - **Dateisystem**: *Motivation*: eine Methode für langzeit speicher und abruf von Daten wurde benötigt - - - **Volume Slack:** bezeichnet den ungenutzten Speicherplatz innerhalb eines Volumes, der durch die Partitionierung und das Dateisystemmanagement entsteht. Es setzt sich aus zwei Hauptbereichen zusammen: 1. 2. - **Allokationsstrategien**: - - - - - - - - - - - - - **Bitmap**: zeigt [Allokierungsstatus] der Speicherblöcke an (in Bits 1/0) **Cluster**: Die kleinste adressierbare Einheit eines Dateisystems - - - **Dateisystem-Journale**: Dateisystem-Journale protokollieren Änderungen vor der Ausführung, um Dateninkonsistenzen bei Abstürzen zu vermeiden und eine schnelle Wiederherstellung zu ermöglichen. **Data Carving**: Methode zur Wiederherstellung gelöschter Dateien durch Suche nach Dateisignaturen in nicht-allokierten Speicherbereichen, unabhängig von vorhandenen Metadaten. Konzepte -------- ### **Dateisystem - Grundlagen**: **Fünf Abstraktionsschichten nach Carrier** (Überblick)**:** - **Dateisystem** (File System Data): - - **Inhalt** (Content Data): - - - **Metadaten** (Meta Data): - - **Dateiname** (File Name Data): - - **Anwendung** (Application Data) - - **Essentielle Daten**: notwendig zum *Speichern* und *Abrufen* von Dateien - - **Nicht-Essentielle Daten**: für QoL, nicht notwendig zur allgemeinen Funktion - - ### **Dateinsysemanalyse**: **Dateistemdaten**: - - - - - - - - - - - - - - **Inhaltsdaten**: - - - - - - - - - - - - - - - - +-----------------------------------------------------------------------+ | **Kurz**: | | | | - - - | +-----------------------------------------------------------------------+ - - - - - - - - - - -  - - - - -  **Metadaten**: - - - - - - - **Dateinamensdaten**: - - - - - - - **Anwedungsdaten**: - - - - - - - - - - - - **Zusammenfassung**:  ### File (System) Slack: [Einführung]: - - - - - [Unterscheidung]: 1. - - - 2. - Kapitel 4 - FAT =============== Begriffe -------- **FAT**: File Allocation Table - - - **Directory Entries**: - - - - - Konzepte -------- ### FAT - Aufbau [Zentrale Elemente]: - - - - - - - [Aufgabe des FAT]: - - - Versionen von FAT: *Unterschiede in der Größe der Einträge im FAT* - - - -  ### Layout des FAT [Grundsätzliches Layout]: - - - **[Boot Sektor]**: - - - [**Reserved Area** und **FAT Area**]: - - - - - - **[Data Area]**: - - - - **Besonderheit: Root-Verzeichnis**: - - - - Root Directory in FAT12/FAT16  Root Directory in FAT32
