Marko Rogge: Kleiner Forensik-Leitfaden

Heute ein kleiner Tipp in Sachen Sicherheit und Aufbereitung eines Hacks/Datenklaus. Marko Rogge hat einen kleinen Forensik-Leitfaden mit Hinweisen zum Finden von gesendeten, kopierten und gelöschten Daten erstellt. Das Ganze bezieht sich auf eine Windows-Umgebung und der Leitfaden ist als Waschzettel zu verstehen, was man tun kann und beachten sollte.

Ich bin vor einiger Zeit über eine Folge von Tweets auf den Forensik-Leitfaden aufmerksam geworden und dachte: Stelle es mal kurz im Blog zur Information ein. Vielleicht kann das jemand brauchen. Hier ein kleiner Auszug der Tweets.

Wer sich für das Ganze interessiert, der Forensik Guide – Digitale Ermittlungen – "Finden von kopierten, gesendeten und gelöschten Daten" ist auf Google-Doc in Deutsch abrufbar. Hier das Inhaltsverzeichnis des Guides zur Übersicht.

Inhaltsverzeichnis

1 Einleitung, Allgemeine Hinweise zur Vorgehensweise 4

2 Zeitstempel und deren Bedeutung 5

3 Relevante Registry Hives zur Auswertung 5

4 Vorgehensweise mit EnCase um Hives zu betrachten 6

4.1 Export der Registry Hives 8

5 Angeschlossene USB-Devices und Storages 10

5.1 Identifizieren von USB Devices 10

5.2 Identifizieren von eingebundenen Storage 13

5.3 Welche Devices wurden gemountet 14

5.4 Eingebundene Laufwerke und Devices 15

6 JumpLists überprüfen – Windows 7 und Windows 8 15

7 E-Mail Anhänge über Outlook versendet 17

8 CD- oder DVD-Brenner 18

8.1 Hinweis zu CD´s oder DVD´s: 19

9 Windows Event Logs 19

10 ShellBags 20

11 Eingegebene URL´s und Downloads 23

12 Browser Artefakte 24

12.1 Browser Forensic Tool 24

12.2 Internet Explorer 25

12.3 Mozilla Firefox 25

12.4 Google Chrome 25

13 Letzte Zugriffe 26

14 E-Mail Applikation Windows 10 27

15 Cloud-Dienste 27

15.1 Dropbox 27

15.2 Google Drive 28

15.3 Microsoft SkyDrive 28

16 Zuletzt geöffnete Programme 29

17 Mobile Devices 30

18 Ergänzungen 31

18.1 Hinweise im RAM 31

18.2 Live-Response: Undelete360 31

18.3 Filesignaturen 31

19 Ermittlungsansatz Timeline 32

20 Besonderheiten beim Schreiben von Daten auf USB Devices 33

20.1 Einleitung 33

20.2 Beispielszenario 33

20.3 Ergebnisse 34

Zuletzt geöffnete Programme 29

17 Mobile Devices 30

18 Ergänzungen 31

18.1 Hinweise im RAM 31

18.2 Live-Response: Undelete360 31

18.3 Filesignaturen 31

19 Ermittlungsansatz Timeline 32

20 Besonderheiten beim Schreiben von Daten auf USB Devices 33

20.1 Einleitung 33

20.2 Beispielszenario 33

20.3 Ergebnisse

Marko erwähnt am Anfang die Tools von Nirsoft, mit denen sich Daten aus Windows herausziehen lassen. Forensik heißt aber auch, dass ein untersuchtes System möglicherweise kompromittiert ist. Daher stelle ich einfach mal meinen Artikel Die Nirsoft-Tools und die DLL-Hijacking-Schwachstellen zur Lektüre hier ein.

Ergänzung: Die Datei wird immer mal sporadisch auf Google Drive gelöscht. Marko Rogge hat mir erlaubt, eine Kopie hier im Blog zu hosten (danke dafür). Ich stelle die PDF-Fassung auf Basis As-is hier zum Download bereit (Stand 2019 im Dokument, hat gegenüber der Fassung Feb. 2021 keine Änderungen).