Autor Thema: IT Forensic Forensik (Was Ermittler im Win-System finden können) (Gelesen 658 mal)

Anon4Guest · « **am:** 24. Mai 2012, 14:26:14 »

Unter dem Begriff Forensik werden die wissenschaftlichen Arbeitsgebiete zusammengefasst, in denen kriminelle Handlungen systematisch identifiziert beziehungsweise ausgeschlossen sowie analysiert oder rekonstruiert werden.

Mittlerweile ist die forensische Untersuchung von Computersystemen im Sinne einer inhaltlichen Auswertung der dort gespeicherten Informationen auch im Zusammenhang mit „herkömmlichen“ Straftaten, aber auch für Zwecke der Steuerfahndung etabliert. Es geht dabei darum belastende Beweise zu finden und zu sichern.

Allgemeiner Links zu einem Forensic Wiki >> You are not allowed to view links. Register or Login

Dabei werden das Dateisystem aber auch Registry, Logs, Verläufe, History, Browser uvm. untersucht. Für jede Aufgabe gibt es diverse Werkzeuge und Anwendungen.

Auf folgenden Links wird beispielhaft ein Windows 8 nach forensichen Gesichtspunkten untersucht. So oder so ähnlich kann man natürlich jedes WindowsSystem untersuchen.
Forensiche Untersuchung Teil 1 > You are not allowed to view links. Register or Login
Forensiche Untersuchung Teil 2 > You are not allowed to view links. Register or Login
Forensiche Untersuchung Teil 3 > You are not allowed to view links. Register or Login

Registry-Forensik >> You are not allowed to view links. Register or Login oder als You are not allowed to view links. Register or Login

Anon4Guest · « **Antwort #1 am:** 29. Dezember 2012, 12:56:10 »

Hi,

toller Beitrag!
War noch nie ein Freund von Windows....

Gibts sowas auch für Mac und Linux?

Anon4Guest · « **Antwort #2 am:** 29. Dezember 2012, 13:23:39 »

Natürlicht kann man jedes System forensisch untersuchen.
Wenigstens SWAP, Auslagerungsdatei und temporäre Dinge sollten irgendwie gesichert/verschlüsselt werden.

Ansonsten ist natürlich vorteilhaft nur portable Anwendungen zu nutzen um im System möglichst wenig verwertbare Spuren zu erzeugen.

Eine VM in einem verschlüsselten Volume scheint den besten Schutz zu bieten.
Wenn das VM-System läuft können natürlich über irgendwelche Schädlinge/Trojaner Daten abgegriffen werden.

MfG

Anon4Guest · « **Antwort #3 am:** 29. Januar 2013, 09:19:45 »

Hallo upl97o0,
was SecAno geschrieben hat, dem kann ich nur zustimmen. Aber das ist meiner Meinung nach nur die halbe Miete. Man sollte wissen, zumindest die jenigen die mit Windows arbeiten, dass mann mit einigen Tricks die schnüffelei erheblich erschweren kann. Dazu gehört unter anderem, ganz ohne Swapp-Datei zu arbeiten, alle Log-Dateien regelmäßig löschen und vor allen Dingen die Mitteilungen an MS unterbinden, alle Anwendungen, (Programme), amerikanischer Herkunft möglichst vom PC verbannen weil die in der Regel durch die Bank, sehr auskunftsfreudig sind. Diverse Dienste die man nicht benötigt sollte man ebenfalls abstellen.

Allerdings muß man auch wissen das dies nur auf einem 64-Bit Windows so richtig funktioniert, denn unter einem 32-Bit Windows klappt das nicht so recht weil ein 32-Bit Windows nur max. 4GB Arbeitsspeicher verwalten kann und das ist für ein zügiges arbeiten ohne Swapp-Datei echt zu wenig wie ich meine. Mit einem Windows 64-Bit und 8GB Arbeitsspeicher macht sich das fehlen einer Swapp-Datei nicht bemerkbar. (Ich kann jedenfalls keine Einschränkung feststellen). Hinzu kommt noch das ich soweit wie nur eben möglich alle Logs deaktiviert habe, Schattenkopien ebenfalls unterbunden habe sowie alte Updates und sonstigen Müll entfernt habe.
Von ehemals 34GB BS auf C:\, sind inzwischen nur noch 16GB vorhanden und meine Kiste läuft seit einer Woche ohne Probleme und zu schnüffeln ist kaum noch was vorhanden.

Ich möchte aber hier nicht unterschlagen das ich vor Beginn meiner "Reinigungsaktion" und nach Fertigstellung jeweils ein Backup angelegt habe worauf ich bei Bedarf jederzeit zurückgreifen kann. Sofern meine Registery wieder auf 200MB geklettert ist, kommt mein Backup zum Einsatz und das Spiel beginnt von vorne. (Testen von Software). :-))

Ein kleines Progrmm das ich im Netz durch einen Zufall gefunden habe, das mir bei meiner Reinigungsaktion sehr behilflich war möchte ich allen interessierten nicht vorenthalten: CleverCleaner. Wer ebenfalls beabsichtigt sein Winows abzuspecken sollte das Programm einmal genauer ansehen.

GanzNett · « **Antwort #4 am:** 29. Januar 2013, 19:40:58 »

Liest sich ja ganz nett.

Könntest Du für die Laien genauer beschreiben was wie entfernt/deaktiviert wird??

Ein Tipp von mir für alle die USB3 haben.
Holt Euch von Super Talent den USB3-Stick RC8. 25GB

Den Stick einstecken, wenn er bei den Laufwerken angezeigt wird (Rechtsklick > Eigenschaften)
Zum Reiter ReadyBoost wechseln und dieses Gerät für ReadyBoost verwenden aktivieren.

Ab sofort werden alle wichtigen Systemdateien als auch die Auslagerungsdatei verschlüsselt auf dem USB-Sick abgelegt.
Das System wird spürbar schneller und vieles landet verschlüsselt auf dem Stick.

Wer viel RAM hat richtet sich auch noch eine RAM-Disk ca. 2 GB ein. Link> You are not allowed to view links. Register or Login
Die Ramdisk startet noch bevor man sich am System anmeldet. Hierrauf biegt man nun alle Temporären und Logdateien um. Auch BrowserCache.
Mit dem ausschalten des PCs ist alles in der Ramdisk weg. Die RAM-Disk beschleunigt das System noch mal ungemein und hat den Vorteil das alle Daten darauf verloren sind sobald das System aus ist. Man muss nicht mehr sooo viel Aufräumen weil das jetzt bei jedem Neustart automatisch geht.

Anon4Guest · « **Antwort #5 am:** 30. Januar 2013, 08:47:17 »

Hi GanzNett,
...das ist das Problem das alle haben, nicht zu wissen wo man anfangen soll. (Mir erging es ebenso). Ich habe Monate und Wochen damit verbracht pro Tag 2-3 Stunden im Netz nach Modifikationen zu suchen um die Windows-Bremsen abzustellen, diverse Programme inbegriffen. Ob Foren, Blocks, diverse Links und PC-Hefte, alles was mir vor die Augen kam habe ich mir genauer angesehen und die vorhandenen Infos umgesetzt, bzw. ausprobiert. Die meisten Änderungen wurden allerdings in der Registery durchgeführt, Einträge hinzugefügt, gelöscht und abgeändert. Was ich für mich als sinnvoll und nützlich angesehen wurde habe ich gelassen, alles andere wurde wieder in den Orginalzustand versetzt. Um nun genau herauszufinden was bei mir alles geändert, bzw. modifiziert wurde, müsste ich wieder ein Win7-64-Bit neu installieren, die Registery sichern und mit meiner jetzigen aktiven, Eintrag für Eintrag vergleichen. Der Aufwand hierzu ist nicht mal abzuschätzen.

m.f.g.

Anon4Guest · « **Antwort #6 am:** 30. Januar 2013, 23:12:44 »

So habe ich einmal begeonnen mich mit anonymität zu beschäftigen.
Ich habe das für mich aber auch dokumentiert um das immer wieder nachvollziehen zu können.
Aus der Doku wurde dann die Webseite anondat.com

Vielleicht solltest Du das mit dem dokumentieren mal etwas genauer ins auge fassen ?? :-)

Es gibt meines Wissens aber auch Software die 2 registrys vergleichen kann.

Schön wäre allerdings eine Abhandlung welche Änderung weshalb gut ist und wie man es macht.
Würde ich glatt bei anondat.com mit aufnehmen ;-) .. Wenn Du Dir die Arbeit machst.

Grüsse SecAno

Anon4Guest · « **Antwort #7 am:** 31. Januar 2013, 08:02:54 »

Hi SecAno,
...nein, für eine Dokumentation meiner Ergebisse habe ich nicht eine Minute Zeit, zudem müßte ich auch alle meine Spickzettel aus meinem Schredder herbeizaubern. Ein Ding der Unmöglichkeit.

Um es auf einen einfachen Nenner zu bringen, ich habe einige Projekte die ich unbedingt noch umsetzen und ins Netz stellen will weil mir die Zeit davon läuft wenn man so will. Ich habe nicht vor noch mit 80 am PC zu sitzen und zu chatten.
Meine Kenntnisse in PHP sind gleich Null, daher bin ich auf Hilfe zwangsweise angewiesen. Dazu zählt nicht nur das bereits erwähnte Polit-Forum. (Mehr dazu eventuell im geschützten Bereich, wenn Du möchtest?)

Was den Vergleich der Registery betrifft, überlasse dies gerne den Useren die daran interessiert sind und stelle dazu meine aktive Registery gerne zur Verfügung, denn meine Kiste ist absolut jungfräulich und nichts darauf gespeichert was mir Sorgen bereiten könnte. (Wer Interesse hat soll sich melden).

Was das Interesse an einer Abhandlung betrifft, kann ich vielleicht noch mit der Webseite im Netz weiterhelfen, die mich inspiriert hat Änderungen an der Registery vorzunehmen, bzw. zu testen. Die meisten Änderungen betrafen jedenfalls den FF Vers. 18.1.
(Weitere Änderungen werden bestimmt noch folgen, nur wann und welche wird sich irgendwie ergeben wenn das Thema paßt).

m.f.g.

Anon4Guest · « **Antwort #8 am:** 18. März 2013, 21:11:14 »

Schon en bissl aslter, aber trotzdem, habe hier von einem Bekannt den Tipp erhalten, eventuell einfach mein ganze System so aufzubauen, dass sich die Dten bdi falscher Passwort eingabe selbst vernichten, so würde selbst eine Durchsuchung nichts ans licht führen, denn du lügst und Flupp im nächstn Augenblick wird deine Platte 37 mal mit Nullen überschrieben (Wieso 37-Mal? Ist US-Defense Ministry Standard), während im Vordergrund ein Ladebalken ist, auf welchem erscheint, dass die Entschlüsselung im Gange ist.

Ich werde mich jetzt mal hinsetzen und schauen, ob ich etwas solches aus einzelnen Programmen zusammen bosseln kann, oder ob ich alles selbstcoden müsste.

Das ganze System sollte nicht alzu schwer su erstellen sein, jedoch macht mir die verschlüsselung die meisten sorgen, als solche müsste dann ein TrueCrypt im Hintergrund sein und die eingabe des original passworts wuerde einen zugriff auf genanntes interface geben.

Ich bin dann mal beschaeftigt, aber zwischendrin werd ich wohl webspace einrichten und eventuell mal zocken xD
also erwartet nicht, dass es schnell geht

IT Forensic Forensik (Was Ermittler im Win-System finden können)