Kriminaltechnik (Modul 2)
Elektronische Spuren IT-Forensik
Elektronische Spuren IT-Forensik
Kartei Details
| Karten | 16 |
|---|---|
| Lernende | 25 |
| Sprache | Deutsch |
| Kategorie | Kriminologie |
| Stufe | Andere |
| Erstellt / Aktualisiert | 19.12.2013 / 09.12.2022 |
| Weblink |
https://card2brain.ch/box/kriminaltechnik_modul_26
|
| Einbinden |
<iframe src="https://card2brain.ch/box/kriminaltechnik_modul_26/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Wo kann die IT-Forensik angewannt werden?
bei jedem elektronischen Gerät, das über einen Speicher verfügt
(also Mobiltelefon, Smartcard, Router, Server, Computersysteme)
Die Analyse mittels IT-Forensik besteht aus einem Prozess aus 4 Schritten. Nenne diese?
- Identifizierung
- Sicherstellung
- Analyse
- Aufbereitung und Präsentation
Was wird im Prozessschritt Identifizierung unternommen?
- Ausgangslage darstellen
- möglichst genaue Dokumentation des Vorgefundenen
- Strukturierung dahingehend welche Form von Beweisen den Beteiligten zugänglich sind.
Am Ende wird durch Sichtung dieser grundlegenden Fakten eine Entscheidung darüber gefällt, welche Mittel zur Beweiserhebung zur Verfügung gestellt werden müssen.
Was muss beim Prozessschritt Sicherstellung beachtet werden? was ergibt sich für eine Fragestellung?
In diesem Prozessschritt ergibt sich bei laufenden Systemen immer wieder eine entscheidende Fragestellung: Ist das betroffene IT-System aufgrund der Gefährdungssituation abzuschalten oder kann es weiter betrieben werden?
(flüchtige Daten können verloren gehen)
Prozessschritt Analyse?
Sinn und Zwekc der Analyse liegt in der Veranschaulichung und Untersuchung der Beweise.
Die Analyse findet niemals am originalen System statt.
Prozessschritt Aufbereitung und Präsentation?
Berichterstattung
- Ermittlung der Identität des Täters
- Ermittlung des Zeitraums der Tat
- Ermittlung des Umfanges der Tat
- Ermittlung der Motivation der Tat
- Ermittlung der Ursache und Durchführung
In welche 2 Hauptarten können Elektronische Spuren eingeteilt werden?
- flüchtige Spuren
- nicht-flüchtige Spuren
Was sind flüchtige Spuren (Daten)? und wo und wie gibt es sie?
Flüchtige Daten gibt es sowohl bei laufenden als auch bei ausgeschalteten Systemen.
Die meisten flüchtigen Daten gibt es jedoch bei laufenden Systemen.
Besonder interessant sind abei verschlüsselte Dateien und Laufwerke, welche im geöffneten Zustand unverschlüsselt vorleigen undmit geringem Aufwnad gesichert weren können.
Nenne die zwei wichtigsten Verhaltensregelen in Zusammenhang mit flüchtigen Daten.
- Ausgeschaltete Systeme nicht einschalten
- Laufende Systeme nicht aussachlten
Wie stelle ich Geräte sicher bei welche flüchtige Daten vorhanden sind?
- Geräte mit genügend eigener jStromversorgung (Notebooks usw.) können wie die nichtflüchtigen Datenspeicher behandelt werden.
- Bei Geräten ohne eigene oder ungenügender Stromverorgung müssen die flüchtigen Daten vor Ort, (allenfalls mit Unterstützung eines IT-Forensikers) gesicher werden bevor das Gerät ausgeschaltet wird.
Wie erkenne ich flüchtige Daten an einem Windows-System?
- Prüfung am laufenden System vornehmen, Blick auf die geöffneten Fenster
- Suche nach offenen Dateien (z.B. Text und Tabellendokumente)
- Suche nach offenen Onlinedaten (z.B. Hotmail, GMail
Merke!
Nebst dem sollte in jedem Fall nach offenen verschlüsselten Laufwerken gesucht werden. Um offene verschlüsselte Laufwerke finden zu könnenn, vergleicht man am Besten die logischen laufwerde mit den physisch vorhandenen Laufwerken!!
Wo und wie finde ich die physischen Laufwerke im Windows-System?
Computerverwaltung
- Klicken mit der rechten Muastaste auf Arbeisplatz und Ausweählen der Opition "Verwalten"
Was kann ich erkennen, wenn ich die pysischen Laufwerke mit den logischen Laufwerken (Explorer) vergleich?
Ich kann Laufwerke erkennen, die keinem pysischen Laufwerk zugeordnet sind. Es handelt sich dabei um ein mit Truecrypt verschlüsseltes Laufwerk.
Wie sichere ich flüchtige Daten am Tatort?
- eingenes nicht kontaminiertes Medium benützen
- Sicherung des Arbeitsspeichers (RAM) "FTK Imager"
- Totos vom Desktop un der geöffneten Fenter erstellen "Digitalkamera"
- Offene Dateien und Onlinedaten (Mail, Dokumente etc.) sichern. "speichern unter"
Was sind nicht flüchtige Spuren (Daten)?
- Festplatten
- CD/DVD/Blu-ray Disc
- Flash-Speicher in Mobiltelefon
- USB-Sticks
- Digitalkamera usw.
Was sollte bei Mobilen Geräten beachtet werden?
Eingeschaltete Geräte sollte in den Flugmodus gesetzt werden! (Verhinderung der Fern-Datenlöschung)
