Der Festplattenforensikfallgenerator
|
|
- Cornelius Heidrich
- vor 8 Jahren
- Abrufe
Transkript
1 Der Festplattenforensikfallgenerator Diplomarbeit im integrierten Studiengang Mathematik und Informatik von Christian Moch Erstgutachter: Prof. Dr. Felix Freiling Zweitgutachter: Betreuer: Prof. Dr. Colin Atkinson Prof. Dr. Felix Freiling 25. Februar
2 In der Computerforensik werden digitale Spuren gesichert und systematisch analysiert um mögliche Straftaten nachzuweisen, beziehungsweise diese auszuschliessen. Viele Gebrauchsgegenstände, wie beispielsweise Mobiltelefone, Drucker, Kundenbonuskarten oder elektronische Zugangskontrollen erzeugen solche digitalen Spuren und archivieren diese über einen langen Zeitraum. Durch Auswertung dieser Spuren können gelöschte Daten oder sogar Abläufe im realen Leben rekonstruiert werden, um den Tatverdächtigen zu be- oder entlasten. Die Software Forensig 2 ist ein Werkzeug um forensische Fallbeispiele, in Form von Festplattenabbildern, automatisiert zu erzeugen. Die Fallbeispiele werden über eine Skriptsprache deniert; so kann unter anderem die Grösse, der Inhalt, der zeitliche Ablauf, installierte Software und Benutzerinteraktionen im Abbild mit der Skriptsprache beschrieben werden. Die Skriptsprache kann durch eigene Denitionen, Klassen und Vererbungen erweitert werden. Diese Eigenschaft ermöglicht es wiederholende Abläufe zu automatisieren und die Sprache systematisch weiter zu entwickeln.
3 Inhaltsverzeichnis Abbildungsverzeichnis 6 Tabellenverzeichnis 7 Listings 8 1 Einführung Hintergrund Datenstruktur einer Festplatte Ausbildung Motivation Aufgabenbeschreibung Ergebnisse Aufbau der Arbeit Danksagung Anforderungen und Konzeption Zusammenfassung Anforderung Konzeption Zusammenfassung Entwurf Einleitung Zufallselemente Reproduzierbarkeit Auswahl des Virtualisierers physikalischer Rechner Virtualisierer XEN VMware Qemu Entscheidung Installation des Systems Netzwerkinstallation Installtion mit CD Ubuntu-vm-installer Benutzerinteraktion mit dem System Benuzterinteraktion auf Betriebssystemebene
4 3.6.2 Interaktion mit dem Virtualisierer Erzeugung der Festplattenabbilder Netzwerk Zeitlinie Vollständigkeit der Skriptsprache Weitere verwendete Tools dd mount, umount qemu-img nmap sshpass Python Modulaufbau der Software Hexer Partitioner Commander Converter Disk ExtensionCard Memory System Reporter Generator Zusammenfassung Die Skriptsprache Python Die Skriptsprache Time System Disk Cpu Memory GenericCard Converter Qemu Partitioner Hexer Commander Reporter Generator Ausblick Implementierung Zusammenfassung Genereller Aufbau eines Moduls Time
5 5.4 System Disk DataDisk SystemDisk Cpu, Memory, ExtensionCard Converter Qemu Partitioner Hexer Commander Reporter Generator Verzeichnisstruktur Erweiterungsmöglichkeiten Ausblick Verwendung Zusammenfassung Installationsanleitung Schnelleinstieg Ausführliche Installationsanleitung Benutzung der Software DataDisk-Skripte SystemDisk-Skripte systemdisk3.script Tipps und Tricks Fehlerhafte Skripts Zusammenfassung Ergebnisse Fähigkeiten Einschränkungen verwandte Arbeiten weiterführende Arbeiten Literaturverzeichnis 112 A API 114 B Partitionskennungen 210 C man pages 212 C.1 qemu C.2 ubuntu-vm-builder D Glossar 233 5
6 Abbildungsverzeichnis 1.1 Darstellung einer Partitionstabelle im Hexformat CHS Kodierung in der Partitionstabelle [38] Partitionstabelle mit erweiterten Partitionen [2] Schema einer FAT Dateisystems [2] Ablaufschema der Forensig 2 Software Python dynamische Datentypverwaltung Python Tupeldenition Python Listendenition Python Setdenition Python Wörterbuchdenition Python Sammeltypeneigenschaften Python Beispielskript Hexdump nach crash() Aufruf
7 Tabellenverzeichnis 4.1 reservierte Wörter in Python built-in Funktionen in Python Importieren von Modulen Modul Time() Modul System() Verwaltungsmethoden Modul System() - funktionale Methoden Modul Disk() Modul DataDisk() Modul SystemDisk() Modul Cpu() Modul Memory() Modul GenericCard() Modul NetworkCard() Modul Converter() Modul Qemu() Modul Partitioner() Modul Hexer() Modul Commander() Modul Reporter() Modul Generator() B.1 Partitionskennungen
8 Listings 3.1 Beispielcode Zufallselemente Skriptsprache Beispielcode Zufallselemente Zwischencode Zusammenspiel Modul und Skriptsprache Beispielcode Kongurationsdatei Beispielcode zum Einbinden der Kongurationsdatei Beispielcode Logging Möglicher Zustand von self. disk Beispielcode Partitoner Beispielcode Reporter Neue Methode denieren Logging und Kongurationsdatei in Modul einbinden minimale Klasse mit XML Funktionen Verwendung der minimalen Klasse aus der Skriptsprache eingabe.script datadisk1.script datadisk2.script datadisk3.script systemdisk1.script systemdisk2.script systemdisk3.script waitnished.script timeline.script
9 Kapitel 1 Einführung 1.1 Hintergrund Der Begri Forensik stammt aus dem lateinischen Begri forum. Das Forum war im antiken Rom der Marktplatz und gleichzeitig Austragungsort für Gerichtsverhandlungen, dort wurden also Beweise vorgebracht und letzlich das Urteil gefällt. Unter dem Begri Forensik versteht man heute die systematische Analyse und Rekonstruktion krimineller Handlungen. Ein Forensiker sichert alle vorhandenen Spuren und konstruiert daraus mögliche Tathergänge. Durch Kombination der vorhandenen Spuren lassen sich einzelne Tatabläufe bekräftigen oder ausschliessen. Die Sicherung der Spuren und die Kombination zu möglichen Tathergängen muss dabei gerichtsfest sein. Das heisst, die Methoden müssen fundiert und ein Irrtum nahezu ausgeschlossen sein. Eine Spur die vor Gericht verwertbar ist, heisst forensische Spur. [8] Als Beispiel: Ein Fingerabdruck, der an einem Tatort sichergestellt wurde, lässt nicht den Schluss zu, ob die zugehörige Person an der Tat beteiligt war. Er sagt zunächst nur aus, dass die Person zu einem früheren Zeitpunkt am Tatort war. Erst in Kombination mit anderen Spuren wird der Fingerabdruck ein belastendes Beweismittel, beispielsweise wenn der Fingerabdruck im Inneren des aufgebrochenen Tresorraums sichergestellt wurde und die Person keinen Zutritt zu diesem hatte. Aber Spuren können Tatverdächtige auch entlasten, beispielsweise wenn der Tatverdächtige zum Tatzeitpunkt von einer Überwachungskamera an einem anderen Ort gelmt wurde, kommt er als Täter nicht in Frage. Eine der Hauptaufgaben der Forensik ist der Nachweis des Tathergangs und die Zuordnung zu einem Täter. Bei den eben erwähnten Fingerabdrücken kann relativ sicher nachgewiesen werden, dass dieser zu einer Person gehört. Allerdings gibt es Techniken Fingerabdrücke zu fälschen [3], was die Aussage, die Person war am Tatort, verfälschen kann. Falls der Fingerabdruck am Tatort gefälscht wurde, gehört er zwar immer noch zu einer bestimmten Person, diese muss jedoch nicht zwingend am Tatort gewesen sein. Die Forensik muss sich daher mit allen Spuren und allen möglichen Tathergängen befassen und möglichst viele Tatabläufe ausschlieÿen, bis im Idealfall nur noch ein möglicher Täter übrig bleibt. 9
10 Die Computerforensik beschäftigt sich ausschlieÿlich mit digitalen Spuren. Digitale Spuren sind zunächst erstmal alle Daten die auf einem Computersystem übertragen oder gespeichert worden sind, beispielsweise Daten auf einer Festplatte oder Übertragungen einer Netzwerkkarte. Damit ein Ermittler die Spuren interpretieren kann, müssen diese lesbar gemacht werden. Auf einer Festplatte wird eine Spur durch unterschiedliche magnetisierte Bereiche repräsentiert, mit der ein Ermittler nichts direkt anfangen kann. Erst die Interpretation der Bereiche zu Bits und die Interpretation der Bits zu einer Zeichenkodierung und diese wiederrum zu einem Dateisystem und letzlich zu einer Datei lässt den Forensiker erfahren, welche Information diese Spur beinhaltet. Wie zu sehen ist, sind viele Interpretationen nötig, um aus der physikalischen Spur eine brauchbare Information zu gewinnen. Dabei können in jeder Interpretationsstufe Fehler unterlaufen, es muss also genau geprüft werden, ob die letzlich erhaltene Information korrekt ist. Selbst wenn Interpretationsfehler ausgeschlossen würden, ist es immer noch sehr leicht, die Informationen zu manipulieren. Ein Ermittler kann unabsichtlich die Information oder sogar die physikalische Spur selbst verändern; ebenso kann ein Straftäter diese Manipulation absichtlich herbeiführen. Bei digitalen Spuren ist es oft nicht möglich Manipulationen festzustellen, daher sind die gewonnenen Informationen immer mit einer gewissen Vorsicht zu betrachten [8]. Digitale Spuren sind nie personenbezogen. Dateien sind zwar in aller Regel einem Benutzerkonto zugeordnet, dieses ist aber nur eine digitale Zuordnung zu einer real existierenden Person. Um die reale Person zu identizieren sind weitere Spuren zwingend nötig. Selbst wenn eindeutig geklärt ist, welche reale Person zum Benutzerkonto zugehörig ist, muss die Datei nicht vom Benutzer angelegt worden sein. Es ist denkbar, dass die Person nicht einmal Kenntnis von der Datei hatte. Es gibt vielfältige Möglichkeiten wie die Datei an den Ort gekommen ist, beispielsweise durch ein Botnetz oder einen gezielten Angri durch Ausnutzung einer Sicherheitslücke. Die Tatsache, dass digitale Spuren leicht manipulierbar sind, verschärfen das Zuordnungsproblem weiter. Aber digitale Spuren haben nicht nur Nachteile; ein Vorteil ist zum Beispiel, dass das Original 1:1 dupliziert werden kann. So kann die Ermittlung komplett auf einer Kopie stattnden. Selbst wenn versehentlich Beweismaterial vernichtet wurde, steht das Original nach wie vor zur Verfügung. Ein weiterer positiver Aspekt ist, dass digitale Spuren nur sehr schwer komplett und nachhaltig vernichtet werden können. Selbst gelöschte Dateien können in der Regel wiederhergestellt werden. Die weite Verbreitung digitaler Systeme steigert die Menge an verfügbaren digitalen Spuren enorm, sodass digitale Spuren bei immer mehr Straftaten eine Rolle spielen. [8] Die Straftaten müssen dabei nicht zwingend an einem Computer verübt werden. Digitale Spuren sind in vielen alltäglichen Gegenständen zu nden, beispielsweise Mobiltelefone, auf diesen werden Telefonnummern, Kurznachrichten, Anruisten, s, Videos, Bilder und vieles mehr gespeichert. Einige dieser Spuren können bei Straftaten Hinweise zur Aufklärung geben. Weitere Alltagsgegenstände, die digitale Spuren enthalten können, sind Festplattenreceiver, Drucker, digitale Überwachungskameras, Geldautomaten, digitale Zugangskontrollen und viele weitere. 10
11 Wieviele Informationen mit Hilfe der Computerforensik aus einem Datenträger gewonnen werden können, zeigt die Veröentlichung Reconstructing Peoples Lives: A Case Study in Teaching Forensic Computing, Felix Freiling, Thorsten Holz, Martin Mink deutlich [6]. In dieser Arbeit wird ein gewisses Vorwissen über den Aufbau eines Festplattenabbildes vorrausgesetzt. Um die Arbeit auch ohne dieses Wissen verstehen zu können, werden die folgenden Unterabschnitte den Aufbau eines Festplattenabbildes kurz erläutern. Für einen umfassendenden und detailierten Einblick in die Datenstruktur einer Festplatte empehlt sich ein Blick in das Buch File System Forensic Analysis von Brian Carrier [2] Datenstruktur einer Festplatte Die Informationen der folgenden Abschnitte sind im Wesentlichen aus dem Buch File System Forensic Analysis von Brian Carrier [2] entnommen und geben in kompakter und oberächlicher Form einen Einblick in die Datenstrukturen einer Festplatte. Die Abschnitte sind geeignet um das Wissen aufzufrischen oder kleine Wissenlücken zu schlieÿen. Sie haben nicht den Anspruch einer umfassenden Einführung; dazu sollte die angegebene Literatur studiert werden. Eine Festplatte ist ein Medium auf dem viele Daten gespeichert werden können, die Daten werden physikalisch als unterschiedlich magnetisierte Bereiche dargestellt. Ohne weitere Strukturen würden die Daten relativ schnell unübersichtlich werden und damit nur noch schwer oder gar nicht mehr aundbar sein. Ein erster Schritt die Festplatte zu strukturieren sind sogenannte Partitionen. Diese denieren Bereiche, in denen später Daten abgelegt werden können. Eine Festplatte kann in mehrere unterschiedliche Bereiche unterteilt werden. Die Partitionen sind ein erster Schritt um die Festplatte zu strukturieren, es ist nun klar in welchen Bereichen Daten liegen können und welche Bereiche für abgelegte Daten nicht in Frage kommen. Allerdings ist noch nicht klar wie die Daten auf den Partitionen abgelegt werden sollen. Eine Partition alleine deniert ausschlieÿlich die Datenbereiche, nicht die Struktur dieser Bereiche. Um die Daten innerhalb einer Partition zu strukturieren, wird ein Dateisystem benötigt. Das Dateisystem deniert eine Struktur, mit der Dateien und Ordner angelegt werden können. Das Dateisystem gibt vor, wie die Daten wieder gelöscht, wie Daten verschoben und wo diese Daten innerhalb der Partition abgelegt werden sollen. Das Dateisystem bestimmt, welche Operationen erlaubt sind. Einige Dateisysteme erlauben eine Rechtevergabe, die in Zusammenarbeit mit dem Betriebssystem, den Zugri der verschiedenen Benutzer auf die Datei regelt. Andere Dateisystem besitzen diese Eigenschaften nicht. Das Dateisystem gibt ebenfalls gewisse Grenzen vor, so gibt es in der Regel eine maximale Dateigröÿe oder eine maximale Anzahl an verwaltbaren Dateien. 11
12 Die folgenden Unterabschnitte geben dem Leser einen Einblick in die Struktur einer Partition beziehungsweise eines Dateisystems. Partitionen Es gibt verschiedene Arten Partitionen zu denieren, dieser Abschnitt geht nur auf DOS-Partitionen ein, weitere Partitionierungsarten können der Literatur entnommen werden. Die DOS-Partitionen sind momentan sehr weit verbreitet, sie werden oft DOS- Partition oder PC-based Partitionen genannt und werden von Dos, Windows und Linux verstanden. Dieses Partitionsschema ist schon sehr lange in Benutzung und stöÿt langsam an seine Grenzen. Eine Alternative ist das GUID-Partitionsschema, das in neueren Windowsversion und von Linux unterstüzt wird. Die DOS-Partitionen basieren, historisch bedingt, auf einer Tabelle mit genau vier Einträgen. In diesen vier Einträgen können vier Partitionen deniert werden. Ursprünglich wurde nicht erwartet, dass jemals mehr als vier Partitionen benötigt werden, was sich in Anbetracht der heutigen Datenmengen jedoch als Irrtum herrausstellte. Darauf wurde reagiert und ein spezieller Eintrag deniert, der eine erweiterte Partition darstellt. Das Prinzip der erweiterten Partition ist relativ einfach, in der originalen Tabelle wird der Eintrag als normale Partition geführt, allerdings bendet sich am Anfang der Partition nicht der Beginn eines Datenbereichs, sondern eine weitere Partitionstabelle. Mit diesem Prinzip kann eine verkettete Liste von Partitionen erstellt werden und so die Anzahl der möglichen Partitionen von vier auf beliebig viele gesteigert werden. Eine weitere historische Einschränkung ist die CHS Adressierung, die angibt an welchem Zylinder, Kopf und Sektor die Partition beginnt und endet. Der CHS Eintrag wurde auf 3 Byte begrenzt, was Festplatten mit bis zu 1024 Zylinder, 256 Köpfe und 64 Sektoren erlaubt. Die Zylinder und Köpfe denieren dabei, wo die Sektoren physikalisch zu nden sind. Es sind mit allen Kombinationen also bis zu Sektoren ansteuerbar. Ein Sektor hat normalerweise 512 Byte, was zu einer Gesamtgröÿe von 8 Gigabyte einer Festplatte führt, mehr ist über den CHS-Wert nicht denierbar. Frühere Systeme brauchten zwingend den CHS-Wert, um die Festplatte korrekt ansteuern zu können, heutige Systeme können auf den CHS Wert verzichten und ignorieren diesen normalerweise. Die Information über die Position der Partition wird allein durch den 4 Byte groÿen Startsektor, der fortlaufend über die ganze Festplatte deniert ist, festgelegt. Dieser 4 Byte Wert erlaubt eine Adressierung bis zu 2 Terrabyte, was sehr nahe an der heutigen Kapazität der Festplatten ist. Es wird also schon bald wieder eine Anpassung oder Ablösung des Schemas erfolgen müssen. Am Ende jeder Partitionstabelle muss der Hexwert 0x55AA stehen, ansonsten gilt die Partition als gelöscht. 12
13 Abbildung 1.1: Darstellung einer Partitionstabelle im Hexformat Ein Eintrag in der Paritionstabelle deniert das Dateisystem, allerdings bedeutet der Eintrag nicht, dass wirklich das denierte Dateisystem dort vorhanden ist. Es kann durchaus ein anderes Dateisystem oder sogar gar kein Dateisystem auf dieser Partition vorhanden sein. Wie diese Unstimmigkeiten behandelt werden ist Aufgabe des Betriebssystems. Wenn Partitionen gelöscht werden, wird nur der Eintrag aus der Partitionstabelle gelöscht. Die eigentliche Partition, inklusive Dateisystem, ist noch auf der Festplatte vorhanden. In Abbildung 1.1 ist eine Partitionstabelle in seiner Hexadezimaldarstellung zu sehen. Der erste Eintrag beginnt an Stelle 0x1be, der vorletzte Byte Wert der ersten geschwärzten Zeile. Das erste Byte deniert, ob die Partition bootbar ist oder nicht. Der hexadezimale Wert 0x80 bedeutet bootfähig, 0x00 heisst nicht bootbar, andere Werte sind an dieser Stelle nicht deniert. Die 3 folgenden Byte 0x geben den CHS-Wert des Startsektors an. Da der Wert im little Endian Format geschrieben wird, ist der eigentliche CHS-Wert 0x Der CHS-Wert ist speziell kodiert, siehe Abbildung 1.2. Der Wert 0x ist umgerechnet der erste Sektor, auf dem ersten Kopf auf dem nullten Zylinder. Der nächste Eintrag 0x83 deniert das Dateisystem der Partition, 0x83 1 steht dabei für ein Linux Dateisystem. Darauf folgt wieder ein 3 Byte groÿer CHS Wert 0xfe3f1e, da er im little Endian-Format dargestellt wird, ist der eigentliche Wert 0x1e3e. Auf den folgenden 4 Byte wird der Startsektor, relativ zum Beginn der Festplatte beziehungsweise, bei erweiterten Partitionen, zum Beginn der erweiterten Partition deniert. Der eingetragene Wert 0x3f in litte Endian Schreibweise ist 0x f in normaler hexadezimaler Darstellung. Also beginnt die Partition bei Sektor 63. Die letzten 4 Byte des ersten Eintrages 0x in normaler Darstellung, ist die Gröÿe der Partition in Sektoren, in dezimaler Darstellung sind das Sektoren, was ungefähr einer Gröÿe von 240 Megabyte entspricht. Wie in Abbildung 1.1 zu sehen ist, benden sich unmittelbar nach der Partitionstabelle weitere Daten. Nach Denition sollten hier allerdings keine Daten zu nden sein. Solche Daten aufzudecken und zu anlysieren ist Aufgabe der Computerforensik. Abbildung 1.3 zeigt den Aufbau einer Partitionstabelle mit mehrfachen erweiterten Partitionen. 1 siehe auch Tabelle B.1 13
14 Abbildung 1.2: CHS Kodierung in der Partitionstabelle [38] Abbildung 1.3: Partitionstabelle mit erweiterten Partitionen [2] 14
15 Abbildung 1.4: Schema einer FAT Dateisystems [2] Dateisysteme Es gibt viele unterschiedliche Dateisysteme, deren Aufbau ich in dieser Arbeit nicht im einzelnen darstellen werde. Für einen genaueren Einblick in einzelne Dateisysteme sei auch hier auf die Literatur verwiesen. Das Erstellen eines Dateisystems auf einer Partition nennt man formatieren. Beim formatieren wird die grundlegende Struktur des Dateisystems geschrieben. Viele Dateisysteme verwenden für die Zuordnung der Daten intern Baumstrukturen. In diesen Bäumen werden die Positionen der einzelnen Dateien hinterlegt, damit das Dateisystem die geschriebenen Daten später wieder nden kann. Die meisten Dateisysteme löschen eine Datei nur aus dem Baum, nicht aber die Daten auf der entsprechenden Partition. Das heisst, gelöschte Daten sind solange wiederherstellbar, bis der Bereich von einer anderen Datei überschrieben wurde. Selbst wenn ein vorhandenes Dateisystem mit einem anderen Dateisystem formatiert wurde, gibt es gewisse Chancen die alten Daten wiederherzustellen. In vielen Fällen legt das neue Dateisystem nur an einigen Schlüsselstellen die initiale Baumstruktur ab, die restlichen Bereiche bleiben zunächst erhalten. Wenn das neue Dateisystem weitere Daten schreibt, wird jeweils ein weiterer Teil des alten Dateisystems überschrieben. Abbildung 1.4 zeigt die Verwaltungsstruktur eines Fat-Dateisystems. Das Fat-Dateisystem verweist zunächst auf ein root-directory, in dem alle Dateien und Ordner auf der obersten Ebene enthalten sind. Zu jedem Eintrag ist ein Verweis auf einen Cluster, in dem der Eintrag gespeichert wurde. Bei einem Verzeichnis verweist das rootdirectory auf ein weiteres Verzeichnis. Bei einer Datei wird direkt auf den Beginn der Datei verwiesen. 15
16 Festplattenabbild Wie bereits erwähnt, können digitale Spuren 1:1 kopiert werden. Dadurch kann das Original, in diesem Fall die Festplatte, geschont und die Analyse auf einer Kopie durchgeführt werden. Das Festplattenabbild ist die Repräsentation einer Festplatte als Datei. Es werden alle Informationen wie Partitionstabelle und Dateisystem originalgetreu kopiert. Die Analyse dieser Datei kommt damit zum gleichen Ergebniss wie eine Analyse des Originals. In der Praxis wird daher die Analyse nur auf der Kopie durchgeführt. Damit ist es ausgeschlossen, dass Fehler während der Analyse das Beweismittel vernichten, da das Original jederzeit wieder kopiert werden kann. Ein Nachteil von Festplattenabbildern besteht darin, dass einige Eigenschaften wie, Hardwareverschlüsselung oder Host Protected Area (HPA) nicht auf dem Abbild nachvollziehbar sind. 1.2 Ausbildung Die Ausbildung an deutschen Hochschulen in der Computerforensik umfasst immer die praktische durchgeführte Analyse einer Festplatte, USB-Sticks oder Diskette. Der Datenträger wird dem Studenten zur Analyse physikalisch ausgehändigt; die Anweisungen für die Analyse varieren dabei sehr stark. Die FH Ingolstadt [13] gibt jedem Studenten einen 1GB USB Stick zur Analyse. Der Dozent präpariert dabei einen USB-Stick mit diversen Dateisystemen. Zwischen den Dateisystem wird bewusst eine Lücke gelassen um später dort Daten zu verstecken. Auf die Dateisysteme werden verschiedene Nutzdaten, wie Vorlesungsskripte, Bilder und ordner kopiert. Anschliessend verändert der Dozent zufällig die Inhalte. Es werden Dateien gelöscht, manipuliert oder versteckt. Der einzelne präparierte USB- Stick wird danach vervielfältigt und jeder Student erhält eine Kopie zur Analyse. Aus der Aufgabenstellung wissen die Studenten zum Teil welche Daten sie nden müssen, allerdings werden auch Daten versteckt, die nicht durch einfaches Abarbeiten der Aufgaben gefunden werden können. In früheren Kursen an der FH Ingolstadt wurden gebrauchte Festplatten zur Analyse genutzt. Da dort, aus forensischer Sichtweise, nur uninteressante Inhalte zu nden waren, wurde diese Praxis mittlerweile eingestellt. An der Universität Mannheim [9] wurden für jeden Studenten individuelle Disketten zur Analyse bereitgestellt. Die Disketten wurden jeweils mit einem unterschiedlichen Dateisystem formatiert und danach manuell einige Dateien kopiert, gelöscht oder manipuliert. Die Disketten wurden, wie in Ingolstadt, physikalisch ausgehändigt; als Hinweis zur Analyse wurde lediglich das Dateisystem bekanntgegeben. Die Aufgabe der Studenten war, eine vollständige Analyse der Diskette; erst während der Analyse wurde dem Studenten klar, was von ihm genau erwartet wurde. In einem Beispiel waren einige Daten auf dem Dateisystem vorhanden, andere waren gelöscht, konnten 16
17 aber wiederhergestellt werden. In einer wiederhergestellten Datei befand sich ein Passwort, das zufällig für das passwortgeschützte ZIP-Archiv gültig war. Wenn das ZIP-Archiv entpackt wurde, kam eine Textdatei mit dem Inhalt 'Well done Image 5 solved' zum Vorschein. Als weitere Übungsaufgabe erhalten Studenten in Mannheim eine gebrauchte Festplatte, die meist über ein Onlineauktionshaus gekauft wurde. Die genaue Herkunft der Festplatte und die Inhalte sind dem Dozenten nicht bekannt. Zusätzlich verteilte die Universität Mannheim ein VMware Image eines angegrienen Systems. Das Image wurde im Rahmen des Honeynet Project angegrien und kompromitiert. Es handelte sich also um einen real durchgeführten Angri auf ein Honeypot System. Die Aufgabe der Studenten bestand darin, herauszunden, welche Dateien verändert wurden, welche verdächtigen Prozesse laufen und ob bestehende Netzwerkverbindungen existieren. Die FH Oenburg [14] präpariert einen USB-Stick, ähnlich wie die FH Ingolstadt. Die Aufgabenbeschreibung umfasst die ersten Schritte der Analyse - Kopieren des Inhaltes in ein originalgetreues Abbild, Bestimmen der Grösse des Abbilds, Einhängen in das lokale Dateisystem. Nach den weiteren Hinweisen, ist eine Wiederherstellung der Dateien nicht möglich und es wird auf eine Diskrepanz zwischen Partitionsgrösse des Dateisystems und Dateigrösse des Abbildes hingewiesen. Der Student soll zunächst nur den Bereich ausserhalb des Dateisystems analysieren. Auch wenn teilweise gebrauchte Festplatten eingesetzt werden, ist allen Ausbildungskonzepten das manuelle Erstellen eines Falles gemeinsam. Je nach Aufwand, die der Dozent in die Erstellung legt, ist das ein zeitaufwändiger Prozess. Wenn, wie in Mannheim, ein individueller Fall pro Student erstellt wird, summiert sich der Aufwand und ist sehr schnell nicht mehr umsetzbar. 1.3 Motivation In der computerforensischen Ausbildung ist die Analyse einer Festplatte einer der zentralen Punkte. Festplatten sind sehr weit verbreitet und enthalten eine Vielzahl forensisch verwertbarer Spuren und Informationen. Durch systematische Analyse einer Festplatte können diese Spuren zur Aufklärung einer Straftat beitragen. In der Praxis ist die Analyse einer Festplatte zu Ausbildungszwecken allerdings problematisch. Eine manuelle Erstellung eines entsprechenden Abbildes ist sehr zeitaufwändig und damit in gröÿerer Anzahl nicht realisierbar. Individuelle Abbilder pro Student fallen daher recht klein aus oder jeder Student bekommt aus Zeitgründen ein identisches Abbild. Eine Alternative ist der Kauf und die Analyse gebrauchter Festplatten, die über diverse Onlineauktionshäuser kostengünstig zu erwerben sind. Allerdings ist hier die Qualität der Festplatte für den Dozenten nur durch eine eigene, ebenfalls zeitaufwändige Analyse zu beurteilen. Da der Zeitaufwand nicht zu vertreten ist, muss die Festplatte ungeprüft den angehenden forensischen Ermittlern ausgehändigt werden. 17
18 Die forensischen Berichte zu diesen Festplatten können nicht auf Vollständigkeit beziehungsweise Korrektheit überprüft werden. Die Inhalte sind, aus forensischer Sicht, zumeist uninteressant. Obwohl die Inhalte viele Informationen über den ehemaligen Besitzer enthalten und unter anderem sensible private Informationen preisgeben, handelt es sich meistens um forensische Standardfälle. Das Niveau der Ausbildung muss aber über Standardfälle hinausgehen, um die Qualität der Ausbildung zu gewährleisten. Ein andere Aspekt, der gegen gebrauchte Festplatten spricht, kommt von rechtlicher Seite hinzu. Es ist rechtlich kritisch zu beurteilen, wem die Daten auf gebrauchten Festplatten gehören, insbesonders wenn diese oensichtlich gelöscht wurden. Die Bachelorarbeit von Marion Liegl Datenschutz in computerforensischen Veranstaltungen [20] befasst sich ausführlich mit diesem Thema. Sie kommt zum Schluss, dass ohne Information des Verkäufers über den Verwendungszweck, keine forensische Analyse stattnden sollte. Da aus rechtlichen Gründen gebrauchte Festplatten ausfallen, muss der Dozent auf manuell erstellte Fälle zurückgreifen. Ein anzustrebendes Ziel sind dabei unterschiedliche Fälle pro Student. Damit wird ein Abschreiben der Berichte untereinander verhindert und jeder Student muss die Analyse an seinem Abbild selbst durchführen. Wenn die Fälle ähnlich gelagert sind, kann ein wünschenswerter Informationsaustausch unter den Studenten stattnden, ohne den Lerneekt negativ zu beeinussen. Wie bereits erwähnt, ist die manuelle Erstellung individueller Abbilder sehr zeitaufwändig und kaum durchführbar, solange dieser Prozess nicht automatisiert ist. Wenn dem Dozenten die Möglichkeit gegeben wird, eigene Abbilder auf einfachem Wege zu erstellen, ist das Zeitproblem auf die Erstellung der Denition reduziert. Damit wäre der Prozess zeitlich überschaubar und damit realisierbar. Eine hohe Qualität der Ausbildung wäre nun direkt vom Dozenten abhängig und nicht mehr so stark durch die Vorbereitunszeit begrenzt. Die Qualität und vor allem die Nachvollziehbarkeit der forensischen Ausbildung steigt dadurch vermutlich messbar an. Hier setzt diese Arbeit an. Es soll ein System erstellt werden, welches eine automatisierte Erstellung forensischer Fallbeispiele erlaubt. Welche Aufgaben das System erfüllen sollte, wird im nächsten Abschnitt beschrieben. 1.4 Aufgabenbeschreibung Wie aus der Motivation ersichtlich ist, befasst sich diese Arbeit mit einer Software, die auf einfachem Wege forensische Fallbeispiele erzeugen soll. Als Eingabe dient eine Skriptsprache, die zunächst in ein lauähiges Programm gewandelt wird, welches anschlieÿend das Abbild generiert. Es ist also ein Forensic Image Generator Generator (Forensig 2 ). Der Anwender soll die Möglichkeit haben, diverse Systemzustände über die Skriptsprache zu denieren. Dabei kann man diese grob in folgende Kategorien einordnen: 18
19 Anlegen von Partitionen und Dateisystemen Normale Benutzeraktionen, Dateioperationen, Software installieren usw. Besondere Benutzeraktionen, Dateien verschlüsseln, verstecken Simulation von Einbrüchen auf das System Die Zeit, zu der die Aktivitäten ausgeführt werden, soll über die Skriptsprache kongurierbar sein. Als Ausgabe der Skriptsprache erhält der Dozent das Festplattenabbild und soweit er es in der Skriptsprache angefordert hat, einen Bericht über den Zustand des Systems zu einem bestimmten Zeitpunkt innerhalb des Skriptablaufs. Damit der Dozent nicht für jeden neuen Fall ein neues Skript erstellen muss, sollen gewisse Zufallselemente erlaubt sein, um aus einem Skript viele Abbilder erstellen zu können. Um dem Dozenten möglichst viele Freiheiten zu lassen, kann das Skript zu vorher denierten Zeitpunkten unterbrochen werden und der Dozent kann manuell Veränderungen am laufenden System vornehmen. Die Skriptsprache soll weitestgehend vollständig deniert sein, unabhängig ob alle Denitionen tatsächlich umgesetzt werden können. 1.5 Ergebnisse Die im Rahmen dieser Diplomarbeit erstellte Software Forensig 2 ist ein Werkzeug, mit dem automatisiert Festplattenabbilder erstellt werden können. Die Software in der aktuellen Version ist als proof-of-concept zu verstehen. Die grundlegenden Funktionen sind implementiert, allerdings ist die Skriptsprache für einen komfortablen Betrieb noch ausbaubedürftig. Die Eingabe der Software ist ein Skript das auf Python aufbaut; es stützt sich auf die Forensig 2 API Anhang A. Um es dem Anwender zu ersparen, in jedem Skript zunächst die Forensig 2 Umgebung zu initialisieren, wird das Skript in der ersten Stufe in ein lauähiges Pythonprogramm umgeschrieben. Dieses Pythonprogramm enthält die Forensig 2 Umgebung und das vorgegebene Skript. Bei Ausführung dieses Programmes wird das Abbild gemäÿ den Anweisungen im Skript erstellt. Mit der Skriptsprache ist es möglich, ein komplettes System zu simulieren. Das System enthält einzelne Objekte wie Speicher, Netzwerkkarten, Festplatten usw.; es ist also an einem realen Rechneraufbau nachempfunden. Die Festplattenobjekte werden in Systemfestplatte (SystemDisk) und Datenfestplatte (DataDisk) unterschieden. Auf einer Systemfestplatte kann ein Betriebssystem installiert werden. In der jetzigen Version ist die Auswahl der Betriebssysteme auf 3 Ubuntu Varianten beschränkt. Das System kann, wenn alle nötigen Objekte wie Hauptspeicher, Netzwerkkarte und Systemfestplatte vorhanden sind, gebootet werden. Das System wird dabei virtualisiert und übernimmt soweit wie möglich die Angaben aus den Hardwareobjekten. Auf dem laufenden System können Prozesse gestartet werden, die Ausgabe der Prozesse sind über die Skriptsprache auslesbar. Dadurch können die meisten Konsolenanwendungen unter Linux gesteuert und damit eine Vielzahl von 19
20 forensischen Spuren hinterlegt werden. Die Systemfestplatte führt Datenmanipulationen - wie Kopieroperationen - direkt über das Betriebssystem aus. Im Gegensatz dazu werden Datenmanipulationen auf einer Datenfestplatte, unter Verwendung des Systems auf dem Forensig 2 installiert ist (Hostsystem), durchgeführt. Die Datenfestplatte ermöglicht andere Operationen als eine Systemfestplatte; vor allem hinsichtlich der Partitionierung hat der Anwender auf einer Datenfestplatte mehr Möglichkeiten. Es können beliebig viele Partitionen erstellt und mit diversen Dateisystemen formatiert werden. Das Verstecken von Daten innerhalb der Partitionstabelle, sowie das Löschen einzelner Partitionstabellen ist über die Skriptsprache möglich. Die Zeitlinie startet in jedem Skript zunächst zu Beginn der Unixepoche ( ) und läuft konstant. Eine Sekunde in realer Zeit enspricht einer Sekunde innerhalb der Zeitlinie. Die Zeitlinie kann durch Skriptbefehle jederzeit auf eine neue Zeit festgesetzt werden, allerdings kann der Fluss der Zeit nie gestoppt werden. Sobald die neue Zeit gesetzt wurde, läuft die Zeit ab dem neuen Zeitpunkt real weiter. 1.6 Aufbau der Arbeit Diese Arbeit befasst sich zunächst mit den Anforderungen und der Konzeption der geplanten Software. Dabei wird erläutert, was das Programm im Einzelnen leisten soll und welchem Schema die Umsetzung folgen sollte. Im darauf folgendem Kapitel werde ich auf die Entwurfsphase des Programmes eingehen. Dabei erläutere ich die Techniken und Programme die Verwendung nden könnten. Welche Alternative in Forensig 2 Einzug erhalten hat, wird im Einzelnen begründet. Im vierten Kapitel gehe ich auf die Skriptsprache selbst ein. Ich werde dabei darstellen, welche Module die Anforderungen implementieren und wie diese Module kooperieren. Das darauf folgende Kapitel geht im Detail auf die Implementierung der einzelnen Module ein. Das vorletzte Kapitel ist sehr praxisorientiert. Es beschreibt die Verwendung der Skriptsprache, beginnend von der Installation, über die Nutzung des zweistugen Generators, bis hin zur Programmierung in der Skriptsprache. Dabei werden einige Beispielskripte, mit unterschiedlicher Komplexität genauer analysiert. Im abschliessenden Kapitel werde ich die Arbeit nochmals Revue passieren lassen. Dabei gehe ich auf verwandte Arbeiten ein und zeige auf, wie diese Arbeit fortgeführt werden könnte. Die einzelnen Kapitel sind jeweils von einer kurzen Zusammenfassung des aktullen Kapitels und einem Ausblick auf das nächste Kapitel umrahmt. 20
Datensicherung. Beschreibung der Datensicherung
Datensicherung Mit dem Datensicherungsprogramm können Sie Ihre persönlichen Daten problemlos Sichern. Es ist möglich eine komplette Datensicherung durchzuführen, aber auch nur die neuen und geänderten
MehrAnleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung
Anleitung zur Daten zur Datensicherung und Datenrücksicherung Datensicherung Es gibt drei Möglichkeiten der Datensicherung. Zwei davon sind in Ges eingebaut, die dritte ist eine manuelle Möglichkeit. In
MehrFachbericht zum Thema: Anforderungen an ein Datenbanksystem
Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank
MehrWichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge
Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge Ab der Version forma 5.5 handelt es sich bei den Orientierungshilfen der Architekten-/Objektplanerverträge nicht
MehrGFAhnen Datensicherung und Datenaustausch
GFAhnen Datensicherung und Datenaustausch In dieser Anleitung wird das Daten Sicheren, das Daten Wiederherstellen und der Datenaustausch zwischen 2 Rechner beschrieben. Eine regelmäßige Datensicherung
MehrEinrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me
Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me Bevor Sie die Platte zum ersten Mal benutzen können, muss sie noch partitioniert und formatiert werden! Vorher zeigt sich die Festplatte
MehrInkrementelles Backup
Inkrementelles Backup Im Gegensatz zu einer kompletten Sicherung aller Daten werden bei einer inkrementellen Sicherung immer nur die Dateien gesichert, die seit der letzten inkrementellen Sicherung neu
MehrIn 12 Schritten zum mobilen PC mit Paragon Drive Copy 11 und Microsoft Windows Virtual PC
PARAGON Technologie GmbH, Systemprogrammierung Heinrich-von-Stephan-Str. 5c 79100 Freiburg, Germany Tel. +49 (0) 761 59018201 Fax +49 (0) 761 59018130 Internet www.paragon-software.com Email sales@paragon-software.com
MehrIn 15 einfachen Schritten zum mobilen PC mit Paragon Drive Copy 10 und Microsoft Windows Virtual PC
PARAGON Technologie GmbH, Systemprogrammierung Heinrich-von-Stephan-Str. 5c 79100 Freiburg, Germany Tel. +49 (0) 761 59018201 Fax +49 (0) 761 59018130 Internet www.paragon-software.com Email sales@paragon-software.com
MehrInhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER
AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER Inhalt 1 Einleitung... 1 2 Einrichtung der Aufgabe für die automatische Sicherung... 2 2.1 Die Aufgabenplanung... 2 2.2 Der erste Testlauf... 9 3 Problembehebung...
MehrHandbuch Fischertechnik-Einzelteiltabelle V3.7.3
Handbuch Fischertechnik-Einzelteiltabelle V3.7.3 von Markus Mack Stand: Samstag, 17. April 2004 Inhaltsverzeichnis 1. Systemvorraussetzungen...3 2. Installation und Start...3 3. Anpassen der Tabelle...3
MehrLeitfaden zur Installation von Bitbyters.WinShutdown
Leitfaden zur Installation von Bitbyters.WinShutdown für Windows 32 Bit 98/NT/2000/XP/2003/2008 Der BitByters.WinShutDown ist ein Tool mit dem Sie Programme beim Herunterfahren Ihres Systems ausführen
MehrINFOBLATT FÜR DAS NEU AUFSETZEN IHRES COMPUTERS
INFOBLATT FÜR DAS NEU AUFSETZEN IHRES COMPUTERS Sehr geehrter Kunde! Vielen Dank für Ihr Interesse an unseren Dienstleistungen! Sie möchten das Betriebssystem Ihres Computers von Widtmann IT & EDV Dienstleistungen
MehrWorkshop: Eigenes Image ohne VMware-Programme erstellen
Workshop: Eigenes Image ohne VMware-Programme erstellen Normalerweise sind zum Erstellen neuer, kompatibler Images VMware-Programme wie die Workstation, der ESX-Server oder VMware ACE notwendig. Die Community
MehrNetzwerk einrichten unter Windows
Netzwerk einrichten unter Windows Schnell und einfach ein Netzwerk einrichten unter Windows. Kaum ein Rechner kommt heute mehr ohne Netzwerkverbindungen aus. In jedem Rechner den man heute kauft ist eine
MehrEigene Dokumente, Fotos, Bilder etc. sichern
Eigene Dokumente, Fotos, Bilder etc. sichern Solange alles am PC rund läuft, macht man sich keine Gedanken darüber, dass bei einem Computer auch mal ein technischer Defekt auftreten könnte. Aber Grundsätzliches
MehrEasyWk DAS Schwimmwettkampfprogramm
EasyWk DAS Schwimmwettkampfprogramm Arbeiten mit OMEGA ARES 21 EasyWk - DAS Schwimmwettkampfprogramm 1 Einleitung Diese Präsentation dient zur Darstellung der Zusammenarbeit zwischen EasyWk und der Zeitmessanlage
MehrVerschlüsseln Sie Ihre Dateien lückenlos Verwenden Sie TrueCrypt, um Ihre Daten zu schützen.
HACK #39 Hack Verschlüsseln Sie Ihre Dateien lückenlos Verwenden Sie TrueCrypt, um Ihre Daten zu schützen.»verschlüsseln Sie Ihren Temp-Ordner«[Hack #33] hat Ihnen gezeigt, wie Sie Ihre Dateien mithilfe
MehrInstallation SQL- Server 2012 Single Node
Installation SQL- Server 2012 Single Node Dies ist eine Installationsanleitung für den neuen SQL Server 2012. Es beschreibt eine Single Node Installation auf einem virtuellen Windows Server 2008 R2 mit
MehrHandbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken
Handbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken Dateiname: ecdl5_01_00_documentation_standard.doc Speicherdatum: 14.02.2005 ECDL 2003 Basic Modul 5 Datenbank - Grundlagen
MehrEr musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt
Inhaltsverzeichnis Aufgabe... 1 Allgemein... 1 Active Directory... 1 Konfiguration... 2 Benutzer erstellen... 3 Eigenes Verzeichnis erstellen... 3 Benutzerkonto erstellen... 3 Profil einrichten... 5 Berechtigungen
MehrCollax E-Mail-Archivierung
Collax E-Mail-Archivierung Howto Diese Howto beschreibt wie die E-Mail-Archivierung auf einem Collax Server installiert und auf die Daten im Archiv zugegriffen wird. Voraussetzungen Collax Business Server
MehrModul 113 - Windows XP Professional
Inhalt Vorbereitung...2 Von CD-Rom starten...2 Das Setup im DOS...2 Kopieren der Dateien...4 Von CD-Rom starten...4 Regions- und Sprachenoptionen...5 Benutzerinformationen...5 Computername und Administatorkennwort...5
MehrMemeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein
Einleitung Memeo Instant Backup ist eine einfache Backup-Lösung für eine komplexe digitale Welt. Durch automatisch und fortlaufende Sicherung Ihrer wertvollen Dateien auf Ihrem Laufwerk C:, schützt Memeo
MehrSafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen
SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen Um die maximale Sicherheit für das Betriebssystem und Ihre persönlichen Daten zu gewährleisten, können Sie Programme von Drittherstellern
MehrDokumentenverwaltung. Copyright 2012 cobra computer s brainware GmbH
Dokumentenverwaltung Copyright 2012 cobra computer s brainware GmbH cobra Adress PLUS ist eingetragenes Warenzeichen der cobra computer s brainware GmbH. Andere Begriffe können Warenzeichen oder anderweitig
MehrMein eigener Homeserver mit Ubuntu 10.04 LTS
In diesem Tutorial zeige ich ihnen wie sie mittels einer Ubuntu Linux Installation einen eigenen Homeserver für Windows Freigaben aufsetzen (SMB/CIFS). Zunächst zur der von mir verwendeten Software- /Hardwarekombination:
MehrGDI-Knoppix 4.0.2 auf Festplatte installieren. Werner Siedenburg werner.siedenburg@student.fh-nuernberg.de Stand: 03.05.2006
GDI-Knoppix 4.0.2 auf Festplatte installieren Werner Siedenburg werner.siedenburg@student.fh-nuernberg.de Stand: 03.05.2006 Diese Anleitung beschreibt anschaulich, wie Sie die beigelegte Knoppix-CD auf
MehrÜber die Internetseite www.cadwork.de Hier werden unter Download/aktuelle Versionen die verschiedenen Module als zip-dateien bereitgestellt.
Internet, Codes und Update ab Version 13 Um Ihnen einen möglichst schnellen Zugang zu den aktuellsten Programmversionen zu ermöglichen liegen Update-Dateien für Sie im Internet bereit. Es gibt drei Möglichkeiten
MehrHandbuch USB Treiber-Installation
Handbuch USB Treiber-Installation W&T Release 1.0 02/2003 by Wiesemann & Theis GmbH Microsoft und Windows sind eingetragene Warenzeichen der Microsoft Corporation Irrtum und Änderung vorbehalten: Da wir
MehrSchritt-für-Schritt Anleitung: Windows 7 per USB-Stick installieren
Schritt-für-Schritt Anleitung: Windows 7 per USB-Stick installieren Sie würden gerne Windows 7 installieren, aber Ihr PC besitzt weder ein internes noch externes DVD- Laufwerk? In dieser Anleitung zeigen
MehrSANDBOXIE konfigurieren
SANDBOXIE konfigurieren für Webbrowser und E-Mail-Programme Dies ist eine kurze Anleitung für die grundlegenden folgender Programme: Webbrowser: Internet Explorer, Mozilla Firefox und Opera E-Mail-Programme:
MehrZunächst empfehlen wir Ihnen die bestehenden Daten Ihres Gerätes auf USB oder im internen Speicher des Gerätes zu sichern.
Anleitung zum Softwareupdate Eycos S 75.15 HD+ Eine falsche Vorgehensweise während des Updates kann schwere Folgen haben. Sie sollten auf jeden Fall vermeiden, während des laufenden Updates die Stromversorgung
MehrIn 15 Schritten zum mobilen PC mit Paragon Drive Copy 11 und VMware Player
PARAGON Technologie GmbH, Systemprogrammierung Heinrich-von-Schritthan-Str. 5c 79100 Freiburg, Germany Tel. +49 (0) 761 59018201 Fax +49 (0) 761 59018130 Internet www.paragon-software.com Email sales@paragon-software.com
MehrHandbuch B4000+ Preset Manager
Handbuch B4000+ Preset Manager B4000+ authentic organ modeller Version 0.6 FERROFISH advanced audio applications Einleitung Mit der Software B4000+ Preset Manager können Sie Ihre in der B4000+ erstellten
MehrSchritt-Schritt-Anleitung zum mobilen PC mit Paragon Drive Copy 10 und VMware Player
PARAGON Technologie GmbH, Systemprogrammierung Heinrich-von-Stephan-Str. 5c 79100 Freiburg, Germany Tel. +49 (0) 761 59018201 Fax +49 (0) 761 59018130 Internet www.paragon-software.com Email sales@paragon-software.com
MehrHinweise zum Ausfüllen der Zeiterfassung
Hinweise zum Ausfüllen der Zeiterfassung Generelle Hinweise zu Excel Ab Version VSA 4.50 wird die dezimale Schreibweise für Zeiteingaben verwendet. Die Zeiterfassung, die Sie erhalten haben wurde für Excel
MehrOP-LOG www.op-log.de
Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server
MehrRobot Karol für Delphi
Robot Karol für Delphi Reinhard Nitzsche, OSZ Handel I Version 0.1 vom 24. Januar 2003 Zusammenfassung Nach der Einführung in die (variablenfreie) Programmierung mit Robot Karol von Freiberger und Krško
MehrPowerMover. Eine Zusatz-Anwendung für Outlook-PowerUser. Damit können eingehende E-Mails schneller verwaltet werden. Vasquez Systemlösungen
PowerMover Eine Zusatz-Anwendung für Outlook-PowerUser. Damit können eingehende E-Mails schneller verwaltet werden. PowerMover Seite 1/7 Inhaltsverzeichnis: 1 Beschreibung... 3 2 Funktionalität... 4 2.1
MehrInstallation von Updates
Installation von Updates In unregelmässigen Abständen erscheinen Aktualisierungen zu WinCard Pro, entweder weil kleinere Verbesserungen realisiert bzw. Fehler der bestehenden Version behoben wurden (neues
MehrIn 15 Schritten zum mobilen PC mit Paragon Drive Copy 14 und VMware Player
PARAGON Technologie GmbH, Systemprogrammierung Heinrich-von-Stephan-Str. 5c 79100 Freiburg, Germany Tel. +49 (0)761 59018-201 Fax +49 (0)761 59018-130 Internet www.paragon-software.com E-Mail sales@paragon-software.com
MehrPC-Umzug: So ziehen Sie Ihre Daten von Windows XP nach Windows 8 um
PC-Umzug: So ziehen Sie Ihre Daten von Windows XP nach Windows 8 um Wenn ein neuer Rechner angeschafft wird, dann will man seine Daten weiterhin nutzen können. Wir zeigen Schritt für Schritt wie's geht.
MehrQUALIFIZIERUNG VON SYSTEMBETREUERINNEN UND SYSTEMBETREUERN. BartPE-BUILDER AKADEMIE FÜR LEHRERFORTBILDUNG UND PERSONALFÜHRUNG DILLINGEN
QUALIFIZIERUNG VON SYSTEMBETREUERINNEN UND SYSTEMBETREUERN BartPE-BUILDER AKADEMIE FÜR LEHRERFORTBILDUNG UND PERSONALFÜHRUNG DILLINGEN Inhalt Anleitung zum Erstellen eines Windows-Live-Systems von CD bzw.
Mehr.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage
.htaccess HOWTO zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage Stand: 21.06.2015 Inhaltsverzeichnis 1. Vorwort...3 2. Verwendung...4 2.1 Allgemeines...4 2.1 Das Aussehen der.htaccess
MehrDokumentation IBIS Monitor
Dokumentation IBIS Monitor Seite 1 von 16 11.01.06 Inhaltsverzeichnis 1. Allgemein 2. Installation und Programm starten 3. Programmkonfiguration 4. Aufzeichnung 4.1 Aufzeichnung mitschneiden 4.1.1 Inhalt
MehrCollax E-Mail Archive Howto
Collax E-Mail Archive Howto Howto Dieses Howto beschreibt wie ein Collax Server innerhalb weniger Schritte als E-Mail Archive eingerichtet werden kann, um Mitarbeitern Zugriff auf das eigene E-Mail Archiv
MehrUpdate und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten
Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten Der Konfigurations-Assistent wurde entwickelt, um die unterschiedlichen ANTLOG-Anwendungen auf den verschiedensten Umgebungen automatisiert
Mehr- Zweimal Wöchentlich - Windows Update ausführen - Live Update im Norton Antivirusprogramm ausführen
walker radio tv + pc GmbH Flüelerstr. 42 6460 Altdorf Tel 041 870 55 77 Fax 041 870 55 83 E-Mail info@walkerpc.ch Wichtige Informationen Hier erhalten sie einige wichtige Informationen wie sie ihren Computer
MehrTask: Nmap Skripte ausführen
Task: Nmap Skripte ausführen Inhalt Einfache Netzwerkscans mit NSE Ausführen des Scans Anpassung der Parameter Einleitung Copyright 2009-2015 Greenbone Networks GmbH Herkunft und aktuellste Version dieses
MehrAnleitung zum Extranet-Portal des BBZ Solothurn-Grenchen
Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen Inhalt Anleitung zum Extranet-Portal des BBZ Solothurn-Grenchen 2.2 Installation von Office 2013 auf Ihrem privaten PC 2.3 Arbeiten mit den Microsoft
MehrAUF LETZTER SEITE DIESER ANLEITUNG!!!
BELEG DATENABGLEICH: Der Beleg-Datenabgleich wird innerhalb des geöffneten Steuerfalls über ELSTER-Belegdaten abgleichen gestartet. Es werden Ihnen alle verfügbaren Belege zum Steuerfall im ersten Bildschirm
Mehr3 ORDNER UND DATEIEN. 3.1 Ordner
Ordner und Dateien PC-EINSTEIGER 3 ORDNER UND DATEIEN Themen in diesem Kapitel: Erstellung von Ordnern bzw Dateien Umbenennen von Datei- und Ordnernamen Speicherung von Daten 3.1 Ordner Ordner sind wie
MehrNetStream Helpdesk-Online. Verwalten und erstellen Sie Ihre eigenen Tickets
Verwalten und erstellen Sie Ihre eigenen Tickets NetStream GmbH 2014 Was ist NetStream Helpdesk-Online? NetStream Helpdesk-Online ist ein professionelles Support-Tool, mit dem Sie alle Ihre Support-Anfragen
MehrOntrack EasyRecovery 11 Neue Funktionen. S.M.A.R.T.-Analysefunktion Wiederherstellung von VMware VMDK-Images Datenlöschfunktion
Ontrack EasyRecovery 11 Neue Funktionen S.M.A.R.T.-Analysefunktion Wiederherstellung von VMware VMDK-Images Datenlöschfunktion S.M.A.R.T.-Analysefunktion S.M.A.R.T. Scan identifiziert die Menge und den
MehrDOKUMENTATION VOGELZUCHT 2015 PLUS
DOKUMENTATION VOGELZUCHT 2015 PLUS Vogelzucht2015 App für Geräte mit Android Betriebssystemen Läuft nur in Zusammenhang mit einer Vollversion vogelzucht2015 auf einem PC. Zusammenfassung: a. Mit der APP
MehrWin 7 optimieren. Unser Thema heute: Meine erstellten Daten in eine andere Partition verschieben.
Win 7 optimieren Unser Thema heute: Meine erstellten Daten in eine andere Partition verschieben. Gliederung Standardmäßige Vorgaben von MS Win7. Warum Daten verschieben? Welche Vorteile bringt die Datenverschiebung?
Mehrdisk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2
disk2vhd Wie sichere ich meine Daten von Windows XP? Inhalt Thema Seite Vorwort 1 Sichern der Festplatte 2 Einbinden der Sicherung als Laufwerk für Windows Vista & Windows 7 3 Einbinden der Sicherung als
MehrKommunikations-Management
Tutorial: Wie importiere und exportiere ich Daten zwischen myfactory und Outlook? Im vorliegenden Tutorial lernen Sie, wie Sie in myfactory Daten aus Outlook importieren Daten aus myfactory nach Outlook
MehrUm dies zu tun, öffnen Sie in den Systemeinstellungen das Kontrollfeld "Sharing". Auf dem Bildschirm sollte folgendes Fenster erscheinen:
Einleitung Unter MacOS X hat Apple die Freigabe standardmäßig auf den "Public" Ordner eines Benutzers beschränkt. Mit SharePoints wird diese Beschränkung beseitigt. SharePoints erlaubt auch die Kontrolle
MehrProfessionelle Seminare im Bereich MS-Office
Der Name BEREICH.VERSCHIEBEN() ist etwas unglücklich gewählt. Man kann mit der Funktion Bereiche zwar verschieben, man kann Bereiche aber auch verkleinern oder vergrößern. Besser wäre es, die Funktion
MehrSie werden sehen, dass Sie für uns nur noch den direkten PDF-Export benötigen. Warum?
Leitfaden zur Druckdatenerstellung Inhalt: 1. Download und Installation der ECI-Profile 2. Farbeinstellungen der Adobe Creative Suite Bitte beachten! In diesem kleinen Leitfaden möchten wir auf die Druckdatenerstellung
MehrBackup Premium Kurzleitfaden
Info Memeo Backup Premium bietet viele fortschrittliche automatische Backup-Funktionen und ist großartig für Benutzer von Digitalkameras und für Anwender, die bis zu 50.000 Dateien mit Backups sichern
MehrUpgrade auf die Standalone Editionen von Acronis Backup & Recovery 10. Technische Informationen (White Paper)
Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10 Technische Informationen (White Paper) Inhaltsverzeichnis 1. Über dieses Dokument... 3 2. Überblick... 3 3. Upgrade Verfahren... 4
MehrAdobe Photoshop. Lightroom 5 für Einsteiger Bilder verwalten und entwickeln. Sam Jost
Adobe Photoshop Lightroom 5 für Einsteiger Bilder verwalten und entwickeln Sam Jost Kapitel 2 Der erste Start 2.1 Mitmachen beim Lesen....................... 22 2.2 Für Apple-Anwender.........................
MehrBedienungsanleitung für BackupMotion
Bedienungsanleitung für BackupMotion In den folgenden Punkten wird die Bedienung von BackupMotion Schritt für Schritt erklärt. (gilt für Home und Pro Version des Produktes) 1 S e i t e Inhaltsverzeichnis
MehrÜbung: Verwendung von Java-Threads
Übung: Verwendung von Java-Threads Ziel der Übung: Diese Übung dient dazu, den Umgang mit Threads in der Programmiersprache Java kennenzulernen. Ein einfaches Java-Programm, das Threads nutzt, soll zum
MehrMatrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version 1.0.0. 23. September 2015 - 1 -
Matrix42 Use Case - Sicherung und Rücksicherung persönlicher Version 1.0.0 23. September 2015-1 - Inhaltsverzeichnis 1 Einleitung 3 1.1 Beschreibung 3 1.2 Vorbereitung 3 1.3 Ziel 3 2 Use Case 4-2 - 1 Einleitung
MehrIBM Software Demos Tivoli Provisioning Manager for OS Deployment
Für viele Unternehmen steht ein Wechsel zu Microsoft Windows Vista an. Doch auch für gut vorbereitete Unternehmen ist der Übergang zu einem neuen Betriebssystem stets ein Wagnis. ist eine benutzerfreundliche,
MehrOPERATIONEN AUF EINER DATENBANK
Einführung 1 OPERATIONEN AUF EINER DATENBANK Ein Benutzer stellt eine Anfrage: Die Benutzer einer Datenbank können meist sowohl interaktiv als auch über Anwendungen Anfragen an eine Datenbank stellen:
MehrTapps mit XP-Mode unter Windows 7 64 bit (V2.0)
Tapps mit XP-Mode unter Windows 7 64 bit (V2.0) 1 Einleitung... 2 2 Download und Installation... 3 2.1 Installation von WindowsXPMode_de-de.exe... 4 2.2 Installation von Windows6.1-KB958559-x64.msu...
MehrWie halte ich Ordnung auf meiner Festplatte?
Wie halte ich Ordnung auf meiner Festplatte? Was hältst du von folgender Ordnung? Du hast zu Hause einen Schrank. Alles was dir im Wege ist, Zeitungen, Briefe, schmutzige Wäsche, Essensreste, Küchenabfälle,
MehrDatensicherung und Wiederherstellung
Dokumentation Datensicherung und Wiederherstellung Windwows Live Mail Versionsverzeichnis Version: Datum: Revisionsgrund: Version 1.0 Januar 2011 Erste Ausgabe www.babe-informatik.ch 1/11 Datensicherung
MehrBackup der Progress Datenbank
Backup der Progress Datenbank Zeitplandienst (AT): Beachten Sie bitte: Die folgenden Aktionen können nur direkt am Server, vollzogen werden. Mit Progress 9.1 gibt es keine Möglichkeit über die Clients,
MehrAblaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole
Lavid-F.I.S. Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der Lavid Software GmbH Dauner Straße 12, D-41236 Mönchengladbach http://www.lavid-software.net Support:
MehrFormular»Fragenkatalog BIM-Server«
Formular»Fragenkatalog BIM-Server«Um Ihnen so schnell wie möglich zu helfen, benötigen wir Ihre Mithilfe. Nur Sie vor Ort kennen Ihr Problem, und Ihre Installationsumgebung. Bitte füllen Sie dieses Dokument
MehrEASYINSTALLER Ⅲ SuSE Linux Installation
EASYINSTALLER Ⅲ SuSE Linux Installation Seite 1/17 Neuinstallation/Update von Meytonsystemen!!! Die Neuinstallation von MEYTON Software ist relativ einfach durchzuführen. Anhand dieser Beschreibung werden
MehrWindows Vista Security
Marcel Zehner Windows Vista Security ISBN-10: 3-446-41356-1 ISBN-13: 978-3-446-41356-6 Leseprobe Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-41356-6 sowie im Buchhandel
MehrInstallationsanleitung für pcvisit Server (pcvisit 15.0)
Installationsanleitung für pcvisit Server (pcvisit 15.0) Seite 1 version: 11.02.2015 Inhalt 1. Einleitung... 3 2. Download und Installation... 3 3. Starten der Verbindungssoftware....5 3.1 Starten der
Mehr! " # $ " % & Nicki Wruck worldwidewruck 08.02.2006
!"# $ " %& Nicki Wruck worldwidewruck 08.02.2006 Wer kennt die Problematik nicht? Die.pst Datei von Outlook wird unübersichtlich groß, das Starten und Beenden dauert immer länger. Hat man dann noch die.pst
MehrS/W mit PhotoLine. Inhaltsverzeichnis. PhotoLine
PhotoLine S/W mit PhotoLine Erstellt mit Version 16.11 Ich liebe Schwarzweiß-Bilder und schaue mir neidisch die Meisterwerke an, die andere Fotografen zustande bringen. Schon lange versuche ich, auch so
MehrNovell Client. Anleitung. zur Verfügung gestellt durch: ZID Dezentrale Systeme. Februar 2015. ZID Dezentrale Systeme
Novell Client Anleitung zur Verfügung gestellt durch: ZID Dezentrale Systeme Februar 2015 Seite 2 von 8 Mit der Einführung von Windows 7 hat sich die Novell-Anmeldung sehr stark verändert. Der Novell Client
MehrInstallationsanleitung VIO Copy 2.x
Installationsanleitung VIO Copy 2.x Mit dieser Software ist es möglich, Programme und Setup-Einstellungen eines VIO-Gerätes der Version 2.x.x zu archivieren und auf ein anderes VIO-Gerät der Version 2.x.x
MehrAnlegen eines DLRG Accounts
Anlegen eines DLRG Accounts Seite 1 von 6 Auf der Startseite des Internet Service Centers (https:\\dlrg.de) führt der Link DLRG-Account anlegen zu einer Eingabemaske, mit der sich jedes DLRG-Mitglied genau
MehrVirtueller Seminarordner Anleitung für die Dozentinnen und Dozenten
Virtueller Seminarordner Anleitung für die Dozentinnen und Dozenten In dem Virtuellen Seminarordner werden für die Teilnehmerinnen und Teilnehmer des Seminars alle für das Seminar wichtigen Informationen,
MehrGesetzliche Aufbewahrungspflicht für E-Mails
Gesetzliche Aufbewahrungspflicht für E-Mails sind Sie vorbereitet? Vortragsveranstaltung TOP AKTUELL Meins und Vogel GmbH, Plochingen Dipl.-Inf. Klaus Meins Dipl.-Inf. Oliver Vogel Meins & Vogel GmbH,
Mehrbackupmyfilestousb ==> Datensicherung auf USB Festplatte
Diese Präsentation zeigt Ihnen den Vergleich von mit anderen Datensicherungsverfahren. Backupmyfilestousb ist eine Software für Datensicherung, mit der Sie Ihre Daten täglich oder mehrmals täglich auf
MehrSoftwaretests in Visual Studio 2010 Ultimate Vergleich mit Java-Testwerkzeugen. Alexander Schunk Marcel Teuber Henry Trobisch
Softwaretests in Visual Studio 2010 Ultimate Vergleich mit Java-Testwerkzeugen Alexander Schunk Henry Trobisch Inhalt 1. Vergleich der Unit-Tests... 2 2. Vergleich der Codeabdeckungs-Tests... 2 3. Vergleich
MehrDatenübernahme easyjob 3.0 zu easyjob 4.0
Datenübernahme easyjob 3.0 zu easyjob 4.0 Einführung...3 Systemanforderung easyjob 4.0...3 Vorgehensweise zur Umstellung zu easyjob 4.0...4 Installation easyjob 4.0 auf dem Server und Arbeitsstationen...4
MehrVerschlüsseln von USB-Sticks durch Installation und Einrichtung von TrueCrypt
Verschlüsseln von USB-Sticks durch Installation und Einrichtung von TrueCrypt 1. Die Dateien truecrypt-4.3a.zip (http://www.truecrypt.org/downloads.php)und langpack-de- 1.0.0-for-truecrypt-4.3a.zip (http://www.truecrypt.org/localizations.php)
MehrDatensicherung und Wiederherstellung
Dokumentation Datensicherung und Wiederherstellung Versionsverzeichnis Version: Datum: Revisionsgrund: Version 1.0 Januar 2011 Erste Ausgabe www.babe-informatik.ch 1/7 Datensicherung von Voraussetzung
MehrIdimager ein Bildverwaltungsprogramm-DAM Software
Idimager ein Bildverwaltungsprogramm-DAM Software Nachdem hie im Forum zu Bildverwaltung anscheinend noch nichts steht, will ich mal eine kurze Beschreibung meines Bildverwaltungsprogramms zeigen. Idimager
MehrArtikel Schnittstelle über CSV
Artikel Schnittstelle über CSV Sie können Artikeldaten aus Ihrem EDV System in das NCFOX importieren, dies geschieht durch eine CSV Schnittstelle. Dies hat mehrere Vorteile: Zeitersparnis, die Karteikarte
Mehrlññáåé=iáåé===pìééçêíáåñçêã~íáçå=
lññáåé=iáåé===pìééçêíáåñçêã~íáçå= Wie kann das LiveUpdate durchgeführt werden? Um das LiveUpdate durchzuführen, müssen alle Anwender die Office Line verlassen. Nur so ist gewährleistet, dass die Office
MehrStundenerfassung Version 1.8 Anleitung Arbeiten mit Replikaten
Stundenerfassung Version 1.8 Anleitung Arbeiten mit Replikaten 2008 netcadservice GmbH netcadservice GmbH Augustinerstraße 3 D-83395 Freilassing Dieses Programm ist urheberrechtlich geschützt. Eine Weitergabe
MehrInstallationshinweise BEFU 2014
Installationshinweise BEFU 2014 Allgemeines BEFU 2014 läuft unter dem Betriebssystem Windows XP, Vista, 7, 8. Für BEFU 2014 wird als Entwicklungsumgebung Access (32-Bit) verwendet. Es werden zum Download
MehrKonfiguration VLAN's. Konfiguration VLAN's IACBOX.COM. Version 2.0.1 Deutsch 01.07.2014
Konfiguration VLAN's Version 2.0.1 Deutsch 01.07.2014 In diesem HOWTO wird die Konfiguration der VLAN's für das Surf-LAN der IAC-BOX beschrieben. Konfiguration VLAN's TITEL Inhaltsverzeichnis Inhaltsverzeichnis...
MehrStandard Daten-Backup-Script
Inhaltsverzeichnis 1. Installations-Anleitung... 2 2. Ausführen manuelle Backups... 5 3. Backup-Script beim Abmelden ausführen... 6 4. Backup-Script zum Task-Planer hinzufügen... 8 2010 web-net.ch, Seite
Mehr