TU Wien:Digital Forensics VU (Weippl)

Aus VoWi
Zur Navigation springen Zur Suche springen

Daten[Bearbeiten | Quelltext bearbeiten]

Vortragende Martin SchmiedeckerKarsten TheinerEdgar Weippl
ECTS 3
Aufgezeichnet true
Letzte Abhaltung 2023W
Sprache English
Mattermost digital-forensicsRegisterMattermost-Infos
Links tiss:188922, eLearning, Homepage
Zuordnungen
Masterstudium Medizinische Informatik Wahlmodul Biosignal- und Bildverarbeitung
Masterstudium Software Engineering & Internet Computing Wahlmodul Advanced Security
Katalog Freie Wahlfächer Wahlmodul Freie Wahlfächer


Inhalt[Bearbeiten | Quelltext bearbeiten]

Übersicht: Grundsätzliches zur Arbeit als Forensiker_in: Anwendungsfälle, Analysemethoden, Bericht, Rechtliche Rahmenbedingungen, Details zu Betriebssystemen, Dateisystemen, Netzwerkforensik, Smartphones, Steganographie, RAM-Analyse, Social Networks, Anonymität. Dabei werden auch immer wieder entsprechende Tools erwähnt bzw. für die Übung zur Verwendung empfohlen.

Vorlesungen sind aufgeteilt in folgende Themenblöcke:

  • Introduction/Motivation
  • Analysis Methods: Secure on/off computer, File reconstructions, File Carving, Timeline Analysis, Media Analysis, UserAssist Key
  • Rechtliche Grundlagen der Berichterstattung: Sachverständiger (Arten+Rollen), Forensicher Prozess, Gutachten und Befund, Beweise, Tats- vs Rechtsfrage
  • Operation Systems & Tools: Windows (Registry, Files, special Databases), Linux (Important files/directories, Rootkits), Tools (e.g. bulk_extractor...)
  • Memory Forensics: RAM Acquisation Techniques, Paging, Tool: Volatility
  • Counterforensics: Data Hiding, Tor, Slackspace, Steganography
  • File Systems: Intro to File Systems, FAT, ext3, NTFS, Special Areas on Disk
  • Cloud Forensics: How to secure evidence/data within cloud systems
  • Smartphone Forensics: Challenges, RAM, ROM, Flash, SIM Card, Details on where to look in iOS, Details on where to look in Android

Ablauf[Bearbeiten | Quelltext bearbeiten]

Regelmäßige Vorlesung, 2 Tests und 4 Übungen.

WS21: 1 Test und 4 Übungen, die Vorlesung war bereits im Dezember zu Ende, die letzte Abgabe und der Test waren Anfang Januar.

WS22: 1 MC-Test und 4 Übungen

Benötigte/Empfehlenswerte Vorkenntnisse[Bearbeiten | Quelltext bearbeiten]

Optional Introduction to Security

Vortrag[Bearbeiten | Quelltext bearbeiten]

Guter Vortrag, wird auch aufgezeichnet.

Übungen[Bearbeiten | Quelltext bearbeiten]

4 Übungen, bei denen ein Sachverhalt bearbeitet und ein Protokoll (Gutachten) verfasst werden muss, das zur Beurteilung herangezogen wird.

  1. TrueCrypt: Container-Passwort bruteforcen, Empfehlung einer Passwortlänge und -Komplexität für 10 Jahre
  2. Memory Forensics: Analyse eines Arbeitsspeicherdumps mit Volatility
  3. File Systems: Analyse eines NTFS-Images mit Autopsy/Sleuth Kit, Bulk Extractor, ...
  4. Smartphones: Analyse eines Android und eines iPhone Images

Man benötigt ca. 100 GB freien Speicherplatz für die Übung (Assignment 3 und 4). Die ersten zwei Assignments benötigen nicht besonders viel Speicherplatz.

Stand: WS 2021/22

WS22[Bearbeiten | Quelltext bearbeiten]

  1. VeraCrypt: Container-Passwort bruteforcen, Empfehlung einer Passwortlänge und -Komplexität für 10 Jahre
  2. File Systems: Analyse eines NTFS-Images mit Autopsy/Sleuth Kit, Bulk Extractor, ...
  3. Smartphones: Analyse eines Android Images
  4. Memory Forensics: Erstellen eines Memory Dumps eines beliebigen OS, anschließend Analyse davon; Analyse eines gegebenen Arbeitsspeicherdumps mit Volatility

Die FileSystems, Smartphones und Memory Forensics Übungen benötigen jeweils zwischen 10 und 50 GB freien Speicherplatz, wobei sofort nach der Übung alle files wieder gelöscht werden können.

Prüfung, Benotung[Bearbeiten | Quelltext bearbeiten]

2 Übungstests während des Semesters mit 25 Multiple-Choice-Fragen zu je vier Antwortmöglichkeiten. Teilpunkte waren möglich, wenn richtige Antworten fehlten. Falsche Antworten (Kreuze) führten zu sofortigen 0 Punkten auf die gesamte Frage (weniger als 0 Punkte pro Frage konnte aber nicht erreicht werden). Beim zweiten Test gab es einige Fragen, bei denen alle Antworten richtig waren.


WS21[Bearbeiten | Quelltext bearbeiten]

Im WS21 gab es nur eine Abschlussprüfung, bei der mindestens die Hälfte der Punkte erreicht werden mussten. Es gab 5 Freitext Fragen mit je 10 Punkten als Online Open Book Prüfung via TUWEL, Internetrecherche ebenso erlaubt. Es gab einen TUWEL Chat für Fragen, aber keine Kameraüberwachung etc. und war darauf konzipiert das Verständnis zu überprüfen.

Zeit: 60 min ab Start in Tuwel, also ca. 12min/Frage

WS22[Bearbeiten | Quelltext bearbeiten]

Eine Multiple Choice Prüfung. Es gab mehrere mögliche Prüfungstermine, verteilt von Dezember bis ins neue Semester. Zum ersten Prüfungstermin ist die letzte VO Einheit nicht gekommen. Altfragen aus den Materialien hier am vowi helfen. VO Videos ein/zwei mal anschauen sollte normalerweise reichen. Es gibt eine zweite Antrittsmöglichkeit, falls der Test negativ ist.

Zeitaufwand[Bearbeiten | Quelltext bearbeiten]

Mittel bis hoch. Für die Tests muss man nicht allzu viel lernen (einige Male die Folien durchlesen), allerdings sind die Übungen doch etwas tricky mit merkwürdig versteckten Lösungen, wodurch deren Bearbeitungszeit, auch wenn die Übungen an sich nicht all zu schwierig sind, doch relativ hoch ausfallen kann. Eine Schwierigkeit bei den Übungen besteht auch darin, dass nie ganz klar ist, wann man alle nötigen Informationen gefunden hat und fertig ist. Alles in allem aber innerhalb der 3 ECTS.

Andere Meinung: Eine der leichtesten aber auch interessantesten LVAs im Security Modul. Sehr zu empfehlen, auch der Zeitaufwand ist mit 3 ECTS einfach zu schaffen.

Unterlagen[Bearbeiten | Quelltext bearbeiten]

noch offen

Tipps[Bearbeiten | Quelltext bearbeiten]

Der folgende YouTube Kanal war sehr hilfreich: https://www.youtube.com/@DFIRScience

Highlights / Lob[Bearbeiten | Quelltext bearbeiten]

noch offen

Verbesserungsvorschläge / Kritik[Bearbeiten | Quelltext bearbeiten]

noch offen