Grundlagen der digitalen Forensik

Grundlagen der digitalen Forensik

Lernen Sie die Grundlagen der digitalen Forensik kennen, indem Sie mit den Artefakten arbeiten, auf die sich Ermittler nach einer Kompromittierung verlassen. Wenn ein System gelöscht, verändert oder teilweise zerstört wurde, hängt der Erfolg der Untersuchung davon ab, Beweise korrekt zu sichern und nützliche Daten aus den verbleibenden Resten zu extrahieren. Dieser Kurs vermittelt Ihnen, wie Sie Speichermedien abbilden (Imaging), gelöschte Daten wiederherstellen, Metadaten analysieren und aus kompromittierten Dateien eine beweisgestützte Zeitachse erstellen.

Warum das wichtig ist

Bei der Forensik geht es nicht nur darum, interessante Dateien zu finden. Es geht darum, die Integrität von Beweismitteln zu wahren, Daten wiederherzustellen, ohne die Quelle zu kontaminieren, und genügend Kontext zu gewinnen, um den Tathergang zu rekonstruieren. Diese Vorgehensweisen sind entscheidend für die Reaktion auf Sicherheitsvorfälle (Incident Response), rechtliche Prüfungen und Analysen nach einem Datenleck.

Dieser Kurs konzentriert sich auf grundlegende Arbeitsabläufe der Festplattenforensik. Sie werden bitgenaue Abbilder erstellen, gelöschte Inhalte aus Rohdaten wiederherstellen, Dateimetadaten untersuchen und diese Techniken in einem realistischen Untersuchungsszenario kombinieren.

Was Sie lernen werden

• Erstellung und Verifizierung forensischer Abbilder, ohne die ursprünglichen Beweismittel zu verändern.
• Wiederherstellung gelöschter oder versteckter Dateien aus Rohdaten von Speichermedien.
• Extraktion von Metadaten aus Dokumenten und Bildern zur Unterstützung der Zeitachsenanalyse.
• Verständnis dafür, wie Datei-Artefakte zur Rekonstruktion von Vorfällen beitragen.
• Untersuchung kompromittierter Speicherbeweise mit einem disziplinierten forensischen Prozess.

Kurs-Roadmap

• Forensisches Imaging mit dd: Erstellen Sie vertrauenswürdige Rohkopien von Beweismitteln und verifizieren Sie deren Integrität mittels Hashes.
• File Carving und Wiederherstellung: Stellen Sie gelöschte Inhalte mithilfe von Carving-Techniken aus Festplattenabbildern wieder her.
• Analyse von Dateimetadaten: Extrahieren Sie verborgene kontextuelle Hinweise aus wiederhergestellten Dateien mit Tools wie ExifTool.
• Die Herausforderung für forensische Ermittler: Wenden Sie Imaging, Wiederherstellung und Metadatenanalyse bei der Untersuchung eines kompromittierten Systems an.

Für wen dieser Kurs geeignet ist

• Lernende, die in die Arbeitsabläufe der digitalen Forensik und Incident Response einsteigen möchten.
• Sicherheitsanalysten, die ihre Grundlagen im Umgang mit Beweismitteln stärken müssen.
• Verteidiger, die eine praxisorientierte Einführung in die Wiederherstellung von Festplatten-Artefakten und die Erstellung von Zeitachsen suchen.

Ergebnisse

Am Ende dieses Kurses sind Sie in der Lage, Festplattenbeweise korrekt zu sichern, nützliche forensische Artefakte wiederherzustellen und Metadaten sowie wiederhergestellte Dateien zu nutzen, um ein klareres Bild der Aktivitäten eines Angreifers zu erstellen.