In der ersten Vorlesung wird eine Einleitung in das Fach gegeben. Hierfür werden Zugriffe auf Datenträger und Dateisysteme besprochen. Ein großer Teil der Zeit wird jedoch für die Selektion der Studenten der TU Darmstadt aufgebraucht.
| Skript-Anfang | Kapitel 0 – Seite 1 |
|---|---|
| Skript-Ende | Kapitel 0 – Seite 28 |
Einleitung
Welche Eigenschaften sind wichtig für die Forensik?
- Integrität, weshalb spezielle Soft- oder Hardware für einen Schreibschutz benötigt werden
- Protokollierung, um eine maximale Nachvollziehbarkeit der Beweisführung möglich ist
Mit welchen Werkzeugen beschäftigen wir uns?
- Digital Forensics Framework (DFF)
- Sleuthkit
strings
Datenträger
Welche Dateisysteme sind häufig anzutreffen?
- USB-Sticks sind meist mit File Allocation Table (FAT) formatiert
- Windows-Systeme verwenden New Technology File System (NTFS)
- Linux-Systeme werden auf den extended filesystems ext3 und ext4 betrieben
- Hierarchical File System Plus (HFS+) ist das Dateisystem für iOS-Geräte iOS
Wo ist die Unterteilung des Datenträgers zu finden?
- Die Partitionstabelle enthält die Aufteilung der Partitionen
- Die häufigsten Tabellen sind Master Boot Record (MBR) und GUID Partition Table (GPT)
Womit beschäftigt sich die Datenträgeranalyse?
- Allozierte Bereiche
- Anfang und Ende von Partitionen
- Versteckte Daten zwischen Partitionen oder in Bereichen, die normalerweise nicht beschreibbar sind
- Hierbei handelt es sich um Host Protected Area (HPA) und Device Configuration Overlay (DCO)
Was ist der Slack-Space?
- Nicht allozierte Partitionsbereiche
- Restbereiche von Dateiblöcken (normalerweise 512 Byte groß)
- In diesen Arealen können Dateien nicht-persistent gespeichert werden
