Forensische Auswertung flüchtiger Daten
Die digitale Forensik nutzt traditionell primär Datenspuren auf nicht-flüchtigen Datenträgern, wie Festplatten oder Flash-Speicher. Dieser Kurs konzentriert sich auf das Sammeln und Auswerten flüchtiger Daten von Windows- und Linuxsystemen.
Wir stellen leistungsstarke Open-Source Tools zum Erstellen und Auswerten von Speicherabbildern (memory dump) vor. Sie lernen anhand von praktischen Beispielen diese Tools zu nutzen.
Trainer und Dozenten
Hans-Peter Merkel (Dipl. Ing.) bildet seit vielen Jahren Strafverfolgungsbehörden in Deutschland und im Ausland aus. Er unterstützt Strafverfolgungsbehörden bei Durchsuchungen und führt zusammen mit ihnen die anschließende forensische Auswertungen durch. Sein Schwerpunkt liegt dabei auf der Auswertung von Linux/BSD Internet Servern.
Voraussetzungen
Teilnehmer sollten am Kurs digitale Forensik teilgenommen haben oder seine Inhalte kennen.
Inhalt
Installation einer forensischen Auswertestation
- Volatility Framework zur Auswertung von Memory Dumps
- Lime zur Erstellung von Memory Dumps unter Linux
- Diverse Windows Tools zur Erstellung von Memory Dumps unter Windows (32bit, 64 bit)
Beispiele zur forensischen Auswertung von Memory Dumps
- Vergleich Windows XP Clean und Windows XP infiziert mit Ghostnet Trojaner
- Memory Dump Windows XP infiziert mit Stuxnet
- Memory Dump Windows XP infiziert mit Zeus
- Memory Dump Windows Vista /Win7
- Memory Dump CentOS Linux
- Memory Dump Debian Linux
Informationen aus dem Arbeitsspeicher rekonstruieren
- Betriebssystemversion und Service Pack / Patchlevel
- aktuelle Netzwerkverbindungen
- Prozessliste
- zu Prozess ID's gehörende DLL's / Libraries
- Registry Dump diverser Hives u.a. zur Rekonstruktion von Login Informationen
- Spurensuche in Beispielen mit Malware Dumps
Die Kursteilnehmer erhalten eine Live DVD um die erlernten Techniken auf einem eigenen PC nach dem Kurs im Büro erneut installieren zu können.
- Vergleich Windows XP Clean und Windows XP infiziert mit Ghostnet Trojaner
- Memory Dump Windows XP infiziert mit Stuxnet
- Memory Dump Windows XP infiziert mit Zeus
- Memory Dump Windows Vista /Win7
- Memory Dump CentOS Linux
- Memory Dump Debian Linux
Informationen aus dem Arbeitsspeicher rekonstruieren
- Betriebssystemversion und Service Pack / Patchlevel
- aktuelle Netzwerkverbindungen
- Prozessliste
- zu Prozess ID's gehörende DLL's / Libraries
- Registry Dump diverser Hives u.a. zur Rekonstruktion von Login Informationen
- Spurensuche in Beispielen mit Malware Dumps
Die Kursteilnehmer erhalten eine Live DVD um die erlernten Techniken auf einem eigenen PC nach dem Kurs im Büro erneut installieren zu können.
Kurszeiten
Wer möchte, reist bis 22 Uhr am Vortag an und nutzt den Abend bereits zum Fachsimpeln am Kamin oder im Park.
An Kurstagen gibt es bei uns ab 8 Uhr Frühstück.
Unsere Kurse beginnen um 9 Uhr und enden um 18 Uhr.
Neben den kleinen Pausen gibt es eine Stunde Mittagspause mit leckerem, frisch in unserer Küche zubereitetem Essen.
Nach der Schulung anschließend Abendessen und Angebote für Fachsimpeln, Ausflüge uvm. Wir schaffen eine Atmosphäre, in der Fachleute sich ungezwungen austauschen. Wer das nicht will, wird zu nichts gezwungen und findet auch jederzeit Ruhe.