Systemvirtualisierungen in der IT-Forensik

Ähnliche Dokumente
Isolierte Umgebungen für Python Anwendungen Teil 2. Christine Koppelt, Jürgen Schackmann, Stefan Seelmann

Virtuelle Maschinen. von Markus Köbele

Auswertung von Mobiltelefonen

Virtualisierter Terminalserver

CLIQ Manager Installation im Netzwerk

Wine - Windows unter Linux

Lösung von Übungsblatt 11. (Virtualisierung und Emulation)

Virtualisierung in der Automatisierungstechnik

Modul C: Konversion von physischen PC in VM

IT-Sachverständigen-Gemeinschaft. Virtualisierungstechnologien aus forensischer Sicht in Kempten,

Cape Pack installieren

Vorlesung: Virtualisierung und Rechenzentrumsinfrastrukturen. Lars Göbel & Christian Müller VL02: Einführung in die Virtualisierung

Windows 10 Upgrade ja oder nein?

IT-Forensische Analysen von Festplatten und Handys

Migration Physischer Linux-Server auf VMware ESX 3.0

Update von XBRL Publisher 1.11 auf XBRL Publisher

Checkliste für Supportanfragen. Teil I: Kundendaten

Virtualisierung unter GNU/Linux für Einsteiger

Meine Datenbank läuft auf Vmware Was sagt der Enterprise Manager dazu?

4. Optional: zusätzliche externe Speicherung der Daten in unserem Rechenzentrum

Container als Immutable Infrastructure. John M. Hutchison

Applikationsvirtualisierung in der Praxis. Vortrag an der IHK Südlicher Oberrhein, Freiburg Thomas Stöcklin / 2007 thomas.stoecklin@gmx.

Servervirtualisierung bei der GWDG GWDG IK,

INSTALLATIONSANLEITUNG WISO MEIN BÜRO

Die DeskCenter Management Suite veröffentlicht neue Version 8.1

VMware als virtuelle Plattform

ZAPP-Installation unter Windows-7. Lösung Smart Metering

Desktopvirtualisierung. mit Vmware View 4

Virtualisierung am Beispiel des LRZ Stefan Berner

Beispiele für kostenlose PDF Programme

2.3 - Das Verwaltungsmodul moveon installieren - SQL-Version

3.3 USB TREIBER INSTALLATION

Systemvoraussetzungen

TOPIX8 Backup ab 9.2

Projektmanagement. Vorlesung von Thomas Patzelt 9. Vorlesung

JavaSpaces. Markus Helbig, Christian Holder, Marco Jilg, Dominik Krautmann, Richard Waschhauser

AUER ProjektCenter. Allgemein. Systemanforderungen. Hardware

Kurzanleitung für die Einrichtung der Outlook- Anbindung

USB/ esata auf SATA Festplatten Kopierstation - HDD Klon Dockingstation/ Duplikator

Migration und Emulation Angewandte Magie?

Präsentation der Projektphase. Praktikanten der HEDV

Installation der Konfigurationsdateien für alle Windows-Versionen bis einschließlich Microsoft Windows 8

Virtualisierungslösungen für IT-Dienste verschiedene Ebenen und Konzepte

Deep Security. Die optimale Sicherheitsplattform für VMware Umgebungen. Thomas Enns -Westcon

Grundlagen Rechnerarchitektur und Betriebssysteme

Einrichtung zusätzlicher Arbeitsplätze

Installationsanleitung für Haufe Advolux Kanzleisoftware ab Version 2.5 (Windows)

Paragon System Upgrade Utilities Leitfaden: System aus einem zuvor erstellten Sicherungsarchiv virtualisieren

Quick Start Guide OwnCloud Demoumgebung

Brownbag Session Grundlagen Virtualisierung Von VM s und Containern

Update / Inbetriebnahme domovea Server. Update/Inbetriebnahme domovea Server Technische Änderungen vorbehalten

Systemanforderungen und unterstützte Software

Installationsanleitung ab-agenta

Schlank in die Zukunft - Virtualisierte Leitsysteme. Stefan Messerschmidt Key Account Manager

Migration von Ontap 7-Mode zu Clustered ONTAP

Mit Clustertechnik zu mehr Verfügbarkeit:

i-net HelpDesk Erste Schritte

Technische Basis für den Betrieb von ONTRAM

JetFlash Benutzerhandbuch

Dieses Dokument beantwortet die häufigsten Fragen zum VDI- Angebot der Hochschule Luzern. hslu.ch/helpdesk Andere

Tapps mit XP-Mode unter Windows 7 64 bit (V2.0)

Inhaltsverzeichnis. ZPG-Mitteilungen für gewerbliche Schulen - Nr Dezember

Effizient zur Virtualisierungslösung siemens.de/sivaas

NEVARIS Build Systemvoraussetzungen

Virtuelle Desktop Infrastruktur

Einrichten der C.A.T.S. Netzwerk-Lizenzverwaltung

Die externe USB-Festplatte speichert Ihre Daten und hilft bei Datenverlust

Virtualisierung im Rechenzentrum

euronas Enterprise Virtualization OS

Virtualisierung. Virtualisierung im Heimgebrauch - Sinn oder Unsinn? Markus Anton & Martin Beier

AVG Free 201X Installation Die Screenshots sind von der Version 2014, gelten aber sinngemäß auch für neuere Versionen.

Bedienungshinweise zum. Hörmann-Architektenprogramm

Stundenplan IT-Forensics für Ermittler 7 und CAS CyberCop 9

Eine kurze Einführung Academy-Day 2012, Lingen 12/ Wolfram Seidel, CCIE #15942

ISi. ISi Technologie GmbH. MET -Schnittstelle zu Davis WeatherLink Version 5.7

Intrexx Hochverfügbarkeit

Version Handbuch RAMSyncDrive V 1.0

Ghostscript Installation unter Windows 7

M5000 einfach ablösen durch T4/T5 LDoms und Solaris Zonen

Kapitel 1 I NSTALLATION

Sicherung und Wiederherstellung Benutzerhandbuch

Veeam V10 & DSGVO. Pascal SETHALER. Partner Manager

Microsoft.NET Framework installieren. nlite installieren. Ordner vorbereiten

Systeme 1. Kapitel 10. Virtualisierung

ZAPP-Installation unter Windows-7

Installation von Inventor 11 samt ADMS unter Vista Ultimate 64-Bit

Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen

CURRICULUM FÜR (POSTGYMNASIALE) FACHSCHULEN

Konfiguration und Installation eines Datenbank Cluster-Systems in virtuellen Systemumgebungen

USB-Stick für die Wiederherstellung von Windows 10 für die One Xcellent Box

Die Dienstleistung Servermanagement umfasst die Bereitstellung und den Betrieb von Servern an der ETH.

Oracle und Hochverfügbarkeit Verschiedene Ansätze im Vergleich. Dierk Lenz Herrmann & Lenz Services GmbH DOAG Regio München/Südbayern 14.

Transkript:

Systemvirtualisierungen in der IT-Forensik Maurizio Tuccillo IWI Institut für Wirtschaftsinformatik Seite 1

Agenda IT-Forensik-Team der HSW Offline-Datenanalyse mittels Forensik-Software Motivation für Online-Datenanalyse Technik der Systemvirtualisierung Demo Fragen und Antworten Seite 2

Forensik-Team der HSW 3 Personen Hauptsächlich in der Ausbildung tätig: CyberCop (4 x 5 Tage) IT-Ermittler (3 x 2 Tage) Forensik für ECI, FI, IS, usw. Individuelle Schulungen von Untersuchungsorganen Anwendung und Entwicklung: Unterstützung von Untersuchungsorganen bei personellen Engpässen Unterstützung von Untersuchungsorganen bei speziellen Fragestellungen Seite 3

Offline-Datenanalyse mittels Forensik-Software (1) Konservieren des Systemzustands durch Datenspiegelung Gewährleisten der Datenintegrität durch geeignete Massnahmen (durch Verwendung eines softwareoder hardwarebasierten Schreibschutzes) Überprüfung der Datenintegrität durch Hashwertvergleich (Initial Acquisition Verify) Durchführung der Datenanalyse ausschliesslich anhand der Datenspiegelung Seite 4

Offline-Datenanalyse mittels Forensik-Software (2) Verwendung von spezialisierter Forensik-Software (z.b. EnCase) zur Bearbeitung des gespiegelten Datenmaterials: Wiederherstellung von gelöschten Daten Aufbereitung des Datenmaterials (Archive öffnen, Verschlüsselungen knacken, usw.) Analyse und Sichtung der Daten Interpretation der gefundenen Spuren Seite 5

Motivation für Online-Datenanalyse (1) Nach dem Motto: Ein System ist mehr als die Summe seiner Einzelteile! Durch die Offline-Datenanalyse werden wesentliche Informationsquellen nicht ausgeschöpft: Wie präsentiert sich der Desktop des sichergestellten Systems? Look&Feel des Systems! Welche Software ist installiert, wie ist diese gepflegt und verwendet worden? Welche Zusatzinformationen lassen sich aus Konfigurationsdateien und der Registrierung gewinnen? Welche Datenbereiche sind verschlüsselt worden und was ist darin zu finden? Gibt es automatisierte Abläufe (Prozeduren)? Seite 6

Motivation für Online-Datenanalyse (2) Bei Serversystemen: Wie präsentiert sich das System nach aussen (z.b. Aufbau einer Website, Inhalt von Datenbanken, usw.) Bei Mehrsystem-Umgebungen: Wie erfolgt die Kommunikation zwischen den einzelnen Komponenten? Welche Daten sind wo abgelegt? Wer hat wie, wann auf welche Daten zugegriffen? Antworten durch Untersuchung am laufenden System eventuell leicht(er) zu finden! Seite 7

Technik der Systemvirtualisierung (1) Verschiedene Techniken und Zwecke: Hardwarevirtualisierungen (von Hardware) Softwarevirtualisierungen (von Hardware) Emulationen (für Betriebssysteme oder Applikationen) Softwarevirtualisierung einer Hardware Läuft unter einem Wirtsbetriebssytem Abstrahiert (virtualisiert) die zur Verfügung stehenden HW- Ressourcen (Prozessorleistung, Hauptspeicher, Schnittstellen) Stellt eine vollwertige HW-Umgebung (z.b. x86- Architektur) zur Verfügung Seite 8

Technik der Systemvirtualisierung (2) Ziel: Inbetriebnahme des sichergestellten Systems ohne Rückgriff auf die Original-Hardware und unter Wahrung der Datenintegrität der Originaldatenträger Zur Verfügung stehende Datenquelle: Datenspiegelung aus Sicherstellung (Evidence- Dateien) Virtualisierung der Original-Hardware durch (frei erhältliche) Software Analyse am laufenden System unter Nutzung der Umgebungsinformationen Seite 9

Technik der Systemvirtualisierung (3) Vorteile der Systemvirtualisierung: Schnelle Inbetriebnahme einer exakten Kopie des Originalsystems Keine Kompromittierung der Datenintegrität Erlaubt Untersuchung am Live-System Erlaubt Aufbau einer Mehrsystemumgebung auf einem einzigen Gerät Kann mit freier Software erzielt werden Seite 10

Technik der Systemvirtualisierung (4) Nachteile der Systemvirtualisierung: Funktioniert nicht für beliebige Systeme Erfordert leistungsfähige Wirtsumgebungen (Ressourcenteilung) HW-spezifische Einstellungen und Treiber der Installation müssen an Wirtsumgebung angepasst werden Seite 11

Technik der Systemvirtualisierung (5) Vorgehen: Emulation der physischen Festplatte ab der Datenspiegelungsdatei mittels Forensik-Software (in unserem Beispiel Modul PDE von EnCase) (Falls nötig) Bereinigung der emulierten Festplatte von HW-spezifischen Einstellungen und Erstellen eines virtuellen Images (in unserem Beispiel mittels VMware Converter) Starten des virtuellen Images in einer Virtualisierungssoftware (in unserem Fall VMware Player) Seite 12

Demo Seite 13

Fragen und Antworten Seite 14

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback