Foliensammlung – IT-Forensik

👉 Zurück zur Übersicht

Slide 01

• Forensik
  • Aufgabe
  • Etymologie
  • Teilgebiete
  • Ziele und Definition von IT-Forensik

Slide 02

• Forensische Grundlagen
  • Anforderungen
  • Prozessmodelle
  • Klassifikation digitaler Spuren
• Datenträger
  • Speichermedien
  • Datentypen
  • Grundlagen der Partitionierung
  • Imageformate
• DOS Partitionsschema
• GPT Partitionsschema

Slide 03

• Einleitung
  • Grundlagen zu Dateisystemen
  • Zur Mehrdeutigkeit des Begriffs Block
  • Mehrdeutigkeit des Begriffs Adresse
• Referenzmodell von Carrier
• Grundlagen der Dateisystemanalyse
  • Analyse der Dateisystemdaten
  • Namensschema@Sleuth Kit
  • Grundlagen Dateisystemanalyse

Slide 04

• Layout des FAT-Dateisystems
  • Bereiche des FAT-Dateisystems
  • Reservierter Bereich
  • FAT Bereich
  • Datenbereich
• FAT-Dateisystemdaten
  • Reservierter Bereich
  • Wichtige Datenfelder des Bootsektors
  • FAT32 spezifische Datenfelder des Bootsektors
  • Datenfelder von FSINFO
• Metadaten FATs
  • FAT Bereich
  • Datenverwaltung unter FAT
  • FAT-Einträge
    • FAT12/16
    • FAT32
  • Analyse nicht-allozierter Blöcke
  • Informationen zur FAT mittels fsstat
• Metadaten in Verzeichnissen
  • Inhalt eines Basisverzeichniseintrags
  • Spezifikation der Verzeichnisstruktur: Basiseintrag
  • Spezifikation der Verzeichnisstruktur: Langer Dateiname
  • Spezifikation des Attribut-Byte
  • Spezifikation der MAC-Zeitstempel
  • Spezifikation der Datum-Codierung
  • Anlegen eines Verzeichnisses
  • Löschen einer Datei
  • Anlegen einer Datei unter FAT
  • Löschen einer Datei unter FAT

Slide 05

• Grundlegendes zu NTFS
  • Backup Kopie des Bootsektors
  • Journale in NTFS
  • NTFS Dateisystemkomponenten
  • Layout – Übersicht
  • Dateisystemdateien
  • Layout eines NTFS Dateisystems inkl. MFT
  • Grundlegendes zu NTFS
  • Interpretation der Bytemuster im Bootsektor
• Master File Table (MFT)
  • Grundlegender Aufbau eines MFT-Eintrags
  • Datenfelder des MFT Headers
  • Detaillierter Aufbau des MFT-Headers
  • Zugriff auf Hexdump des MFT Records für $MFT
  • Adressierung eines MFT Eintrags
• Attribute
  • Detaillierter Aufbau eines MFT-Eintrags
  • Typische Attribute eines MFT-Eintrags
  • Zugriff auf die Attributübersicht
  • Zugriff auf $AttrDef
  • Attribute der $MFT
  • Aufbau eines MFT Attributs
  • Datentrukturen des Headers eines residenten Attributs
  • Cluster Runs für nicht-residente Attribute
  • Anlegen einer Datei unter NTFS
  • Löschen einer Datei unter NTFS
• Verzeichnisse und EFS
  • Übersicht mit fls
  • Attribute des Wurzelverzeichnis
  • Verzeichnisse in NTFS am Beispiel C:\Windows
  • Datenfelder des $FILE_NAME-Index-Eintrags
  • Encrypting File System (EFS)
  • EFS Verschlüsselung
  • EFS Entschlüsselung

Slide 06

• Einführung
  • Was ist Reverse Engineering?
  • Use Cases
  • Was ist Software reverse engineering (SRE)?
  • Software Engineering Review
  • Kompilierung Review
    • 1. Präprozessor-Phase (Preprocessing)
    • 2. Übersetzungsphase (Compilation)
    • 3. Assembler-Phase (Assembly)
    • 4. Linker-Phase (Linking)
  • Output Formats/Executables
  • ELF-Dateien – Überblick
  • ELF-Dateien: Typen
  • ELF-Dateien: Symbole
  • ELF-Symboltabellen
  • ELF Zusammenfassend
  • Computerarchitektur 101
    • x86_64 Architektur
    • x86_64 Registers
    • x86_64 Instruktionen
• Assembly 101
  • Instruktionen
  • Der Stack
  • Instruktionen: jmp / call
  • Instruktion: cmp
  • Adressierungsmethoden
• Tools und Werkzeuge
  • Ghidra
  • Konkurrenz
• Ghidra 101
• Einführung & Fallbeispiele