Digitale Forensik für Microsoft Windows

Einführung in die digitale Forensik und Windows-Forensik

• Überblick über die digitale Forensik und ihre Grundprinzipien

• Wichtige Begriffe und Konzepte der digitalen Forensik

• Rechtliche Aspekte und Rahmenbedingungen der Forensik

• Die Rolle der Forensik im Incident Response und in der IT-Sicherheit

• Grundlegende Architektur von Windows und das Dateisystem

NTFS und Windows-spezifische Forensik

• Einführung in das NTFS-Dateisystem und dessen forensische Relevanz

• Die Windows-Registry: Struktur und wichtige Schlüsselbereiche

• Überblick über die Windows-Ereignisprotokolle und ihre Bedeutung in der Forensik

Forensische Werkzeuge

• Vorstellung klassischer Forensik-Tools wie EnCase, FTK Imager, Autopsy und X-Ways

• Unterschiede zwischen Open-Source und kommerziellen Tools

• Vorgehen bei der Erstellung von Disk-Images und Datensammlung (Disk-Imaging)

• Best Practices bei der Datensicherung und forensischen Image-Erstellung

• Sicherstellung der Integrität der Daten durch Prüfziffern und Integritätsprüfungen

Windows-spezifische Forensik und Artefakteanalyse

• Grundlagen der Speicheranalyse und RAM-Forensik

• Identifizierung wichtiger RAM-Artefakte wie Prozesse, Netzwerkverbindungen und offene Dateien

• Praktische Übung: Analyse eines RAM-Dumps mit Volatility

• Untersuchung der Windows-Registry und ihrer forensischen Bedeutung

• Analyse relevanter Registry-Schlüssel wie MRU, Autostart und zuletzt geöffnete Dateien

• Tools zur Registry-Analyse, z. B. Registry Explorer

• Praktische Übung: Durchführen einer Registry-Analyse

• Forensische Analyse von Windows-Ereignisprotokollen und Artefakten wie Prefetch, LNK-Dateien und Papierkorb

• Analyse von Ereignisprotokollen mit Tools wie Event Viewer und evtx-Dateien

• Praktische Übung: Untersuchung von Ereignisprotokollen und Artefakten

• Nutzung von Hayabusa zur Analyse großer Windows-Logs

Zeitlinienanalyse und forensische Zeitachsen

• Erstellung und Analyse von Zeitlinien mit Tools wie plaso/log2timeline

• Konsolidierung von forensischen Artefakten zu einer Zeitlinie

• Einsatz von Timesketch zur Visualisierung der forensischen Analyse

• Praktische Übung: Erstellen einer forensischen Zeitachse

Fortgeschrittene Forensik und Abschlussprojekte

• Malware-Forensik und Untersuchung von Persistenzmechanismen in Windows

• Identifikation von Malware und deren Persistenzmechanismen wie Autostart-Einträge und Dienste

• Praktische Übung: Analyse eines infizierten Binaries

• Netzwerkforensik: Analyse von Netzwerkaktivitäten und forensische Protokollanalyse (z. B. mit netstat und Wireshark)

• Praktische Übung: Durchführung einer Netzwerkforensik-Analyse

• Erstellung eines Abschlussberichts: Umgang mit Beweismitteln und Präsentation der Ergebnisse

• Praktische Übung: Verfassen eines forensischen Abschlussberichts

Abschlussprojekt und Fallstudie

• Bearbeitung einer umfassenden Fallstudie zur Anwendung der erlernten Techniken

• Diskussion und Feedback zur praktischen Umsetzung