TU Wien:Digital Forensics VU (Weippl)

From VoWi
Jump to navigation Jump to search


Daten[edit]

Lecturers Edgar Weippl, Martin Schmiedecker, Karsten Theiner
ECTS 3
Department Information Systems Engineering
When winter semester
Language English
Links tiss:188922
Zuordnungen
Master Business Informatics Wahlmodul ISE/EXT - Information Systems Engineering Extension
Master Medizinische Informatik Wahlmodul Biosignal- und Bildverarbeitung
Master Software Engineering & Internet Computing Wahlmodul Advanced Security

Mattermost: Channel "digital-forensics" Team invite & account creation link Mattermost-Infos

Inhalt[edit]

Übersicht: Grundsätzliches zur Arbeit als Forensiker: Anwendungsfälle, Analysemethoden, Bericht, Rechtliche Rahmenbedingungen, Details zu Betriebssystemen, Dateisystemen, Netzwerkforensik, Smartphones, Steganographie, RAM-Analyse, Social Networks, Anonymität. Dabei werden auch immer wieder entsprechende Tools erwähnt bzw. für die Übung zur Verwendung empfohlen.

Vorlesungen sind aufgeteilt in folgende Themenblöcke:

  • Introduction/Motivation
  • Analysis Methods: Secure on/off computer, File reconstructions, File Carving, Timeline Analysis, Media Analysis, UserAssist Key
  • Rechtliche Grundlagen der Berichterstattung: Sachverständiger (Arten+Rollen), Forensicher Prozess, Gutachten und Befund, Beweise, Tats- vs Rechtsfrage
  • Operation Systems & Tools: Windows (Registry, Files, special Databases), Linux (Important files/directories, Rootkits), Tools (e.g. bulk_extractor...)
  • Memory Forensics: RAM Acquisation Techniques, Paging, Tool: Volatility
  • Counterforensics: Data Hiding, Tor, Slackspace, Steganography
  • File Systems: Intro to File Systems, FAT, ext3, NTFS, Special Areas on Disk
  • Cloud Forensics: How to secure evidence/data within cloud systems
  • Smartphone Forensics: Challenges, RAM, ROM, Flash, SIM Card, Details on where to look in iOS, Details on where to look in Android

Ablauf[edit]

Regelmäßige Vorlesung, 2 Tests und 4 Übungen.

Benötigte/Empfehlenswerte Vorkenntnisse[edit]

Optional Introduction to Security

Vortrag[edit]

noch offen

Übungen[edit]

WS2011[edit]

  1. Analyse eines Netzwerkdumps mittels Wireshark
  2. Analyse eines Festplattenimages mittels Autopsy/Sleuth Kit
  3. Bruteforcing eines Truecrypt-containers
  4. Analyse von zwei Memorydumps

SS2014[edit]

  1. Truecrypt: Container-Passwort bruteforcen, Empfehlung einer Passwortlänge und -Komplexität für 10 Jahre
  2. NTFS: Analyse eines NTFS-Images mit Autopsy/Sleuth Kit, Foremost
  3. RAM: Analyse eines Arbeitsspeicherdumps mit Volatility
  4. Smartphones: Analyse eines Android und eines iPhone Images

WS2016[edit]

  1. Truecrypt: Container-Passwort bruteforcen, Empfehlung einer Passwortlänge und -Komplexität für 10 Jahre
  2. RAM: Analyse eines Arbeitsspeicherdumps mit Volatility
  3. Smartphone: Analyse eines iPhone- und Android-Dumps
  4. File Systems: Analyse eines Filesystems mittels Autopsy (Sleuth Kit), Bulk Extractor, ...

WS2019[edit]

  1. Truecrypt: Container-Passwort bruteforcen, Empfehlung einer Passwortlänge und -Komplexität für 10 Jahre
  2. File Systems: Analyse eines Filesystems mittels Autopsy (Sleuth Kit), Bulk Extractor, ...
  3. Smartphone: Analyse eines iPhone- und Android-Dumps

Prüfung, Benotung[edit]

2 Übungstests während des Semester mit 25 Multiple-Choice-Fragen zu je vier Antwortmöglichkeiten. Teilpunkte waren möglich, wenn richtige Antworten fehlten. Falsche Antworten (Kreuze) führten zu sofortigen 0 Punkten auf die gesamte Frage (weniger als 0 Punkte pro Frage konnte aber nicht erreicht werden).

Zeitaufwand[edit]

Mittel. Für die Tests muss man nicht allzu viel lernen, allerdings sind die Übungen doch etwas tricky mit merkwürdig versteckten Lösungen, wodurch deren Bearbeitungszeit, auch wenn die Übungen an sich nicht all zu schwierig sind, doch relativ hoch ausfallen kann.

Unterlagen[edit]

noch offen

Tipps[edit]

noch offen

Verbesserungsvorschläge / Kritik[edit]

noch offen