Computer Forensik mit Open-Source Tools
Computer Forensik ist nicht nur für die Strafverfolgung interessant. Es gibt viele Gründe, forensische Analysen im Unternehmen selbst durchzuführen. Die Umsetzung indes gestaltet sich für Administratoren nicht einfach und stellt diese vor diverse Probleme. Zum einen ist geeignete proprietäre Software für forensische Auswertung sehr teuer. Zum anderen handelt es sich vielfach um Insider-Wissen, für das es keine öffentlich zugängliche Dokumentationen gibt.
Diese Schulung setzt auf die Stärken von Linux. Kaum ein anderes Betriebssystem ist in der Lage, die Vielfalt der vorhanden Dateisysteme diverser Betriebssysteme zu analysieren, den Zeitverlauf von Dateien zu untersuchen, oder gelöschte Dateien zu restaurieren. In diesem Bereich gewinnt auch die Virtualisierung immer größere Bedeutung, Virtualbox und KVM leisten hier wichtige Hilfestellung.
In dieser Schulung konfigurieren wir eine Linux basierte Auswertestation und lernen die forensischen Grundlagen zur Auswertung von Dateisystemen. Die gezeigten Techniken sind auf allen gängigen Desktop-Betriebssystemen anwendbar, und werden hier am Beispiel von Windows praktisch durchgeführt.
Zur Auswertung von Linux/BSD Serversystemen bieten wir einen weiterführenden Kurs an, der auf diesem Kurs aufbaut.
Trainer und Dozenten
Hans-Peter Merkel (Dipl. Ing.) bildet seit vielen Jahren Strafverfolgungsbehörden in Deutschland und im Ausland aus. Er unterstützt Strafverfolgungsbehörden bei Durchsuchungen und führt zusammen mit ihnen die anschließende forensische Auswertungen durch. Sein Schwerpunkt liegt dabei auf der Auswertung von Linux/BSD Internet Servern.
Inhalt
Einführung
- Überblick und Installation von für die Forensik wichtigen Programmen
- Installation/Konfiguration von Virtualisierungen unter Virtualbox und KVM
- wichtige FUSE Treiber installieren
Daten Akquisition
- Erste Schritte mit Live CDs, DVD und bootfähigen USB Sticks
- Erstellung forensischer Images im EWF und AFF Format
Auswertung von Images
- Einblicke in die Partitionsinformationen
- Mit dem Sleuthkit Dateilisten mit MAC Zeitinformationen erstellen
- Konvertierungen mit xmount (ewf, aff, dd, qcow, vd, etc)
- Logische Auswertung von Speichermedien
- Umgang mit gelöschte Dateien und Unallocated Space
- Rekonstruktion gelöschter Dateien
- File/RAM Slack
File Carving
- Rekonstruktion von Dateien bei beschädigten Medien über Header Analyse
- Aufspüren von email Adressen, URL's, IP Adressen oder Kreditkartennummern
Passwort Cracking von Windows Systemen
- Mit Ophcrack und den Rainbow Tables LM/NTLM Hashes cracken
- Bitlocker Verschlüsselung bei TPM (Windows 11) aushebeln
Virtualisierung
- EWF Images virtualisieren
- Hürden von problematischen Windows Systemen überwinden um ein solches System erfolgreich zu booten (Bluescreen, AntiWPA, Treiber)
- Erste Schritte mit Live CDs, DVD und bootfähigen USB Sticks
- Erstellung forensischer Images im EWF und AFF Format
Auswertung von Images
- Einblicke in die Partitionsinformationen
- Mit dem Sleuthkit Dateilisten mit MAC Zeitinformationen erstellen
- Konvertierungen mit xmount (ewf, aff, dd, qcow, vd, etc)
- Logische Auswertung von Speichermedien
- Umgang mit gelöschte Dateien und Unallocated Space
- Rekonstruktion gelöschter Dateien
- File/RAM Slack
File Carving
- Rekonstruktion von Dateien bei beschädigten Medien über Header Analyse
- Aufspüren von email Adressen, URL's, IP Adressen oder Kreditkartennummern
Passwort Cracking von Windows Systemen
- Mit Ophcrack und den Rainbow Tables LM/NTLM Hashes cracken
- Bitlocker Verschlüsselung bei TPM (Windows 11) aushebeln
Virtualisierung
- EWF Images virtualisieren
- Hürden von problematischen Windows Systemen überwinden um ein solches System erfolgreich zu booten (Bluescreen, AntiWPA, Treiber)
- Rekonstruktion von Dateien bei beschädigten Medien über Header Analyse
- Aufspüren von email Adressen, URL's, IP Adressen oder Kreditkartennummern
Passwort Cracking von Windows Systemen
- Mit Ophcrack und den Rainbow Tables LM/NTLM Hashes cracken
- Bitlocker Verschlüsselung bei TPM (Windows 11) aushebeln
Virtualisierung
- EWF Images virtualisieren
- Hürden von problematischen Windows Systemen überwinden um ein solches System erfolgreich zu booten (Bluescreen, AntiWPA, Treiber)
Virtualisierung
- EWF Images virtualisieren
- Hürden von problematischen Windows Systemen überwinden um ein solches System erfolgreich zu booten (Bluescreen, AntiWPA, Treiber)
Kurszeiten
Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.
An Kurstagen gibt es bei uns ab 8 Uhr Frühstück.
Unsere Kurse beginnen um 9 Uhr und enden um 18 Uhr.
Neben den kleinen Pausen gibt es eine Stunde Mittagspause mit leckerem, frisch in unserer Küche zubereitetem Essen.
Nach der Schulung anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.
Termine und Anmeldung
-
28. April 2025, 3 Tage
Digitale Forensik anmelden -
17. Dezember 2025, 3 Tage
Digitale Forensik anmelden
Haben Sie einen anderen Wunschtermin?