TU Wien:Digital Forensics VU (Weippl)

From VoWi
Jump to navigation Jump to search

Daten[edit]

Lecturers Edgar Weippl, Martin Schmiedecker, Karsten Theiner
ECTS 3
Aufgezeichnet true
Department Information Systems Engineering
When winter semester
Language English
Links tiss:188922 , Mattermost-Channel
Zuordnungen
Master Business Informatics Wahlmodul ISE/EXT - Information Systems Engineering Extension
Master Medizinische Informatik Wahlmodul Biosignal- und Bildverarbeitung
Master Software Engineering & Internet Computing Wahlmodul Advanced Security

Mattermost: Channel "digital-forensics"RegisterMattermost-Infos

Inhalt[edit]

Übersicht: Grundsätzliches zur Arbeit als Forensiker_in: Anwendungsfälle, Analysemethoden, Bericht, Rechtliche Rahmenbedingungen, Details zu Betriebssystemen, Dateisystemen, Netzwerkforensik, Smartphones, Steganographie, RAM-Analyse, Social Networks, Anonymität. Dabei werden auch immer wieder entsprechende Tools erwähnt bzw. für die Übung zur Verwendung empfohlen.

Vorlesungen sind aufgeteilt in folgende Themenblöcke:

  • Introduction/Motivation
  • Analysis Methods: Secure on/off computer, File reconstructions, File Carving, Timeline Analysis, Media Analysis, UserAssist Key
  • Rechtliche Grundlagen der Berichterstattung: Sachverständiger (Arten+Rollen), Forensicher Prozess, Gutachten und Befund, Beweise, Tats- vs Rechtsfrage
  • Operation Systems & Tools: Windows (Registry, Files, special Databases), Linux (Important files/directories, Rootkits), Tools (e.g. bulk_extractor...)
  • Memory Forensics: RAM Acquisation Techniques, Paging, Tool: Volatility
  • Counterforensics: Data Hiding, Tor, Slackspace, Steganography
  • File Systems: Intro to File Systems, FAT, ext3, NTFS, Special Areas on Disk
  • Cloud Forensics: How to secure evidence/data within cloud systems
  • Smartphone Forensics: Challenges, RAM, ROM, Flash, SIM Card, Details on where to look in iOS, Details on where to look in Android

Ablauf[edit]

Regelmäßige Vorlesung, 2 Tests und 4 Übungen.

Benötigte/Empfehlenswerte Vorkenntnisse[edit]

Optional Introduction to Security

Vortrag[edit]

Guter Vortrag, wird auch aufgezeichnet.

Übungen[edit]

4 Übungen, bei denen ein Sachverhalt bearbeitet und ein Protokoll (Gutachten) verfasst werden muss, das zur Beurteilung herangezogen wird.

  • TrueCrypt: Container-Passwort bruteforcen, Empfehlung einer Passwortlänge und -Komplexität für 10 Jahre
  • File Systems: Analyse eines NTFS-Images mit Autopsy/Sleuth Kit, Bulk Extractor, ...
  • RAM: Analyse eines Arbeitsspeicherdumps mit Volatility
  • Smartphones: Analyse eines Android und eines iPhone Images

Stand: WS 2019/20

Prüfung, Benotung[edit]

2 Übungstests während des Semester mit 25 Multiple-Choice-Fragen zu je vier Antwortmöglichkeiten. Teilpunkte waren möglich, wenn richtige Antworten fehlten. Falsche Antworten (Kreuze) führten zu sofortigen 0 Punkten auf die gesamte Frage (weniger als 0 Punkte pro Frage konnte aber nicht erreicht werden). Beim zweiten Test gab es einige Fragen, bei denen alle Antworten richtig waren.

Zeitaufwand[edit]

Mittel bis hoch. Für die Tests muss man nicht allzu viel lernen (einige Male die Folien durchlesen), allerdings sind die Übungen doch etwas tricky mit merkwürdig versteckten Lösungen, wodurch deren Bearbeitungszeit, auch wenn die Übungen an sich nicht all zu schwierig sind, doch relativ hoch ausfallen kann. Eine Schwierigkeit bei den Übungen besteht auch darin, dass nie ganz klar ist, wann man alle nötigen Informationen gefunden hat und fertig ist. Alles in allem aber innerhalb der 3 ECTS.

Andere Meinung: Eine der leichtesten aber auch interessantesten LVAs im Security Modul. Sehr zu empfehlen, auch der Zeitaufwand ist mit 3 ECTS einfach zu schaffen.

Unterlagen[edit]

noch offen

Tipps[edit]

noch offen

Verbesserungsvorschläge / Kritik[edit]

noch offen