TU Wien:Digital Forensics VU (Jankovics, Mulazzani)

Aus VoWi
Wechseln zu: Navigation, Suche


Daten[Bearbeiten]

Inhalt[Bearbeiten]

Übersicht: Grundsätzliches zur Arbeit als Forensiker: Anwendungsfälle, Analysemethoden, Bericht, Rechtliche Rahmenbedingungen, Details zu Betriebssystemen, Dateisystemen, Netzwerkforensik, Smartphones, Steganographie, RAM-Analyse, Social Networks, Anonymität. Dabei werden auch immer wieder entsprechende Tools erwähnt bzw. für die Übung zur Verwendung empfohlen.

Vorlesungen sind aufgeteilt in folgende Themenblöcke:

  • Introduction/Motivation
  • Analysis Methods: Secure on/off computer, File reconstructions, File Carving, Timeline Analysis, Media Analysis, UserAssist Key
  • Rechtliche Grundlagen der Berichterstattung: Sachverständiger (Arten+Rollen), Forensicher Prozess, Gutachten und Befund, Beweise, Tats- vs Rechtsfrage
  • Operation Systems & Tools: Windows (Registry, Files, special Databases), Linux (Important files/directories, Rootkits), Tools (e.g. bulk_extractor...)
  • Memory Forensics: RAM Acquisation Techniques, Paging, Tool: Volatility
  • Counterforensics: Data Hiding, Tor, Slackspace, Steganography
  • File Systems: Intro to File Systems, FAT, ext3, NTFS, Special Areas on Disk
  • Cloud Forensics: How to secure evidence/data within cloud systems
  • Smartphone Forensics: Challenges, RAM, ROM, Flash, SIM Card, Details on where to look in iOS, Details on where to look in Android

Ablauf[Bearbeiten]

Regelmäßige Vorlesung, 2 Tests und 4 Übungen.

Benötigte/Empfehlenswerte Vorkenntnisse[Bearbeiten]

Optional Introduction to Security

Vortrag[Bearbeiten]

noch offen

Übungen[Bearbeiten]

WS2011[Bearbeiten]

  • Analyse eines Netzwerkdumps mittels Wireshark
  • Analyse eines Festplattenimages mittels Autopsy/Sleuth Kit
  • Bruteforcing eines Truecrypt-containers
  • Analyse von zwei Memorydumps

SS2014[Bearbeiten]

  • Truecrypt: Container-Passwort bruteforcen, Empfehlung einer Passwortlänge und -Komplexität für 10 Jahre
  • NTFS: Analyse eines NTFS-Images mit Autopsy/Sleuth Kit, Foremost
  • RAM: Analyse eines Arbeitsspeicherdumps mit Volatility
  • Smartphones: Analyse eines Android und eines iPhone Images

WS2016[Bearbeiten]

  • Truecrypt: Container-Passwort bruteforcen, Empfehlung einer Passwortlänge und -Komplexität für 10 Jahre
  • RAM: Analyse eines Arbeitsspeicherdumps mit Volatility
  • Smartphone: Analyse eines iPhone- und Android-Dumps
  • File Systems: Analyse eines Filesystems mittels Autopsy (Sleuth Kit), Bulk Extractor, ...

Prüfung, Benotung[Bearbeiten]

2 Übungstests während des Semester mit offenen Fragen zum Stoff. Ähnlich anderer LVAs des SecLab wie Introduction to Security etc.

WS2016: Seit diesem (und letztem) Semester werden die Prüfungen im Multiple-Choice-Modus durchgeführt. Im WS2016 waren dabei 25 Aufgaben mit je vier Antwortmöglichkeiten zu lösen. Teilpunkte waren möglich, falsche Antworten führten aber zu Abzügen (weniger als 0 Punkte pro Frage konnte aber nicht erreicht werden).

Zeitaufwand[Bearbeiten]

Mittel. Für die Tests muss man nicht allzu viel lernen, allerdings sind die Übungen doch etwas tricky mit merkwürdig versteckten Lösungen, wodurch deren Bearbeitungszeit, auch wenn die Übungen an sich nicht all zu schwierig sind, doch relativ hoch ausfallen kann.

Unterlagen[Bearbeiten]

noch offen

Tipps[Bearbeiten]

noch offen

Verbesserungsvorschläge / Kritik[Bearbeiten]

noch offen