Die Studierenden sind in der Lage, die Kenntnisse und Fertigkeiten zu IT-forensischer Vorgehensweisen und technischer Analysemethoden einzusetzen. Die Studierenden führen IT-forensische Untersuchungen am Beispiel zweier unterschiedlicher Filesysteme durch und können diese anwenden. Sie beherrschen die theoretischen Grundlagen, um diese kognitiv, intuitiv und kreativ in der Studienarbeit umzusetzen.

Den Studierenden werden vertiefte Kenntnisse zu Grundsätzen und Anforderungen, speziell im internationalen Kontext und vor dem Hintergrund unterschiedlicher rechtlicher Situationen, vermittelt:

• Datenträgeranalyse
  • Übersicht Typen von Festplatten (SCSI, xATA, xIDE, etc.)
  • Übersicht physische Aufteilung einer Platte (cylinder, head, sector)
  • Übersicht logische Aufteilung einer Platte (partitions, raw data)
  • Übersicht Dateisysteme (FAT, NTFS als Schwerpunkt, ggfls. ext2, ext3)
  • Übersicht Dateiverwaltung (Cluster, slack space [drive slack, RAM slack])
  • Details Festplattenanalyse (Sicherheitsmaßnahmen, tools, hands on)
  • Dateien und ihre Eigenschaften (Metadaten)
  • Arten von Dateien (normal, hidden, deleted, encrypted, alternate datastream, ...)
  • string search (logisch vs. physisch, Kodierung)
  • Details FAT
  • Historische FAT-Systeme (FAT 12, FAT 16)
  • FAT32 (Strukturen, Namenskonvention)
• Betriebssystemanalyse
  • Server vs. Workstation
  • Lokation OS auf Platte
  • Prozessanalyse
  • Netzwerkverbindungen
  • Registry
  • NTFS (Metadaten und Details)
  • Details Alternate Datastreams
  • Details Filetypen
  • Windows-Artefakte (cookies, temporary files, MRU, print jobs, ...)
  • timelining
  • Details Registry
  • Email-Analyse

• Netzwerkanalyse
  • Grundlagen
  • Protokolle
  • Detail-Analyse
  • Anomalien
  • verdeckte Kommunikation
  • Angriffstypen

Vorlesung, Übungen in Kleingruppen.

Deutsch

Hausarbeit

3
(90 h = 30 h Präsenz- und 60 h Eigenstudium)

• File System Forensic Analysis, Brian Carrier, Taschenbuch: 600 Seiten, Verlag: Addison-Wesley Longman, Amsterdam (17. März 2005), Sprache: Englisch, ISBN-10: 0321268172, ISBN-13: 978-0321268174
• Computer Forensik: Computerstraftaten erkennen, ermitteln, aufklären, Alexander Geschonneck, Broschiert: 342 Seiten, Verlag: dpunkt Verlag; Auflage: 4., aktualisierte Auflage (22. Februar 2010), Sprache: Deutsch, ISBN-10: 3898646580, ISBN-13: 978-3898646581
• Windows® Internals, Fifth Edition (PRO-Developer), Mark Russinovich & David A. Solomon, Gebundene Ausgabe: 1232 Seiten, Verlag: Microsoft Press; Auflage: Fifth Edition. (17. Juni 2009), Sprache: Englisch, ISBN-10: 9780735625303, ISBN-13: 978-0735625303, ASIN: 0735625301
• Harlan Carvey, Windows Forensic Analysis, Verlag: Syngress Media; Auflage: 2nd edition. (13. Juli 2009), ISBN-13: 978- 1597494229
• Sammes; Jenkinson, Forensic Computing: A Practitioner's Guide, Verlag: Springer, Berlin; Auflage: 2nd ed. (30. Juli 2007), ISBN-13: 978-1846283970