Forensik

• Computer-Forensik bezeichnet die Analyse und Beweissicherung von Vorfällen oder Straftaten

• Bei der Reihenfolge der Beweissicherung die Flüchtigkeit der einzelnen Medien beachten

  • Beginnen mit CPU-Registern und Cache-Speicher
  • Dann Arbeitsspeicher (RAM), Routingtabelle, ARP Cache, Prozesslisten
  • Danach Temp-Dateien
  • Dann SSD, Flashspeicher
  • Am Ende Remote Monitoring Dateien (log-Dateien auf zentralem Logserver, Firewall-logs etc.)

• Toolgestützte forensische Analyse

  • Forensic Toolkit® (FTK®)

  • Kroll Artifact Parser and Extractor (KAPE)

  • Autopsy® und The Sleuth Kit®