![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Heute ein kleiner Tipp in Sachen Sicherheit und Aufbereitung eines Hacks\/Datenklaus. Marko Rogge hat einen kleinen Forensik-Leitfaden mit Hinweisen zum Finden von gesendeten, kopierten und gel\u00f6schten Daten erstellt. Das Ganze bezieht sich auf eine Windows-Umgebung und der Leitfaden ist als Waschzettel zu verstehen, was man tun kann und beachten sollte.<\/p>\n
<\/p>\n
Ich bin vor einiger Zeit \u00fcber eine Folge von Tweets auf den Forensik-Leitfaden aufmerksam geworden und dachte: Stelle es mal kurz im Blog zur Information ein. Vielleicht kann das jemand brauchen. Hier ein kleiner Auszug der Tweets.<\/p>\n
![\"Marco](\"https:\/\/i.imgur.com\/RIiLA8q.png\" "\\"Marco")
<\/p>\n
Wer sich f\u00fcr das Ganze interessiert, der Forensik Guide – Digitale Ermittlungen – \"Finden von kopierten, gesendeten und gel\u00f6schten Daten\" ist auf Google-Doc in Deutsch abrufbar<\/a>. Hier das Inhaltsverzeichnis des Guides zur \u00dcbersicht.<\/p>\n Inhaltsverzeichnis<\/strong><\/p>\n 1 Einleitung, Allgemeine Hinweise zur Vorgehensweise 4<\/p>\n 2 Zeitstempel und deren Bedeutung 5<\/p>\n 3 Relevante Registry Hives zur Auswertung 5<\/p>\n 4 Vorgehensweise mit EnCase um Hives zu betrachten 6<\/p>\n 4.1 Export der Registry Hives 8<\/p>\n 5 Angeschlossene USB-Devices und Storages 10<\/p>\n 5.1 Identifizieren von USB Devices 10<\/p>\n 5.2 Identifizieren von eingebundenen Storage 13<\/p>\n 5.3 Welche Devices wurden gemountet 14<\/p>\n 5.4 Eingebundene Laufwerke und Devices 15<\/p>\n 6 JumpLists \u00fcberpr\u00fcfen \u2013 Windows 7 und Windows 8 15<\/p>\n 7 E-Mail Anh\u00e4nge \u00fcber Outlook versendet 17<\/p>\n 8 CD- oder DVD-Brenner 18<\/p>\n 8.1 Hinweis zu CD\u00b4s oder DVD\u00b4s: 19<\/p>\n 9 Windows Event Logs 19<\/p>\n 10 ShellBags 20<\/p>\n 11 Eingegebene URL\u00b4s und Downloads 23<\/p>\n 12 Browser Artefakte 24<\/p>\n 12.1 Browser Forensic Tool 24<\/p>\n 12.2 Internet Explorer 25<\/p>\n 12.3 Mozilla Firefox 25<\/p>\n 12.4 Google Chrome 25<\/p>\n 13 Letzte Zugriffe 26<\/p>\n 14 E-Mail Applikation Windows 10 27<\/p>\n 15 Cloud-Dienste 27<\/p>\n 15.1 Dropbox 27<\/p>\n 15.2 Google Drive 28<\/p>\n 15.3 Microsoft SkyDrive 28<\/p>\n 16 Zuletzt ge\u00f6ffnete Programme 29<\/p>\n 17 Mobile Devices 30<\/p>\n 18 Erg\u00e4nzungen 31<\/p>\n 18.1 Hinweise im RAM 31<\/p>\n 18.2 Live-Response: Undelete360 31<\/p>\n 18.3 Filesignaturen 31<\/p>\n 19 Ermittlungsansatz Timeline 32<\/p>\n 20 Besonderheiten beim Schreiben von Daten auf USB Devices 33<\/p>\n 20.1 Einleitung 33<\/p>\n 20.2 Beispielszenario 33<\/p>\n 20.3 Ergebnisse 34<\/p>\n Zuletzt ge\u00f6ffnete Programme 29<\/p>\n 17 Mobile Devices 30<\/p>\n 18 Erg\u00e4nzungen 31<\/p>\n 18.1 Hinweise im RAM 31<\/p>\n 18.2 Live-Response: Undelete360 31<\/p>\n 18.3 Filesignaturen 31<\/p>\n 19 Ermittlungsansatz Timeline 32<\/p>\n 20 Besonderheiten beim Schreiben von Daten auf USB Devices 33<\/p>\n 20.1 Einleitung 33<\/p>\n 20.2 Beispielszenario 33<\/p>\n 20.3 Ergebnisse<\/p>\n Marko erw\u00e4hnt am Anfang die Tools von Nirsoft, mit denen sich Daten aus Windows herausziehen lassen. Forensik hei\u00dft aber auch, dass ein untersuchtes System m\u00f6glicherweise kompromittiert ist. Daher stelle ich einfach mal meinen Artikel Die Nirsoft-Tools und die DLL-Hijacking-Schwachstellen<\/a> zur Lekt\u00fcre hier ein.<\/p>\n Erg\u00e4nzung:<\/strong> Die Datei wird immer mal sporadisch auf Google Drive gel\u00f6scht. Marko Rogge hat mir erlaubt, eine Kopie hier im Blog zu hosten (danke daf\u00fcr). Ich stelle die PDF-Fassung<\/a> auf Basis As-is hier zum Download bereit (Stand 2019 im Dokument, hat gegen\u00fcber der Fassung Feb. 2021 keine \u00c4nderungen).<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":" Heute ein kleiner Tipp in Sachen Sicherheit und Aufbereitung eines Hacks\/Datenklaus. Marko Rogge hat einen kleinen Forensik-Leitfaden mit Hinweisen zum Finden von gesendeten, kopierten und gel\u00f6schten Daten erstellt. Das Ganze bezieht sich auf eine Windows-Umgebung und der Leitfaden ist als … Weiterlesen