Ich war fast immer in der Vorlesung und hab die Übungen gemacht. Habe mir zur Vorbereitung die Aufzeichnung angeschaut und nebenbei eine kleine Zusammenfassung geschrieben. Danach habe ich die Zusammenfassung immer mal wieder angeschaut während ich unterwegs war. Fragenkatalog und Prüfungsprotokolle zweimal durchgegangen.

Q: Was ist der Unterschied zwischen Live und Tot-Analyse?

A: Live ist vor Ort und man erstellt Abbild. Es gibt ja diese Flüchtigkeitshierachie (hab alles aufgezählt). Deshalb versucht man live die flüchtigen Spuren zu sichern, so weit möglich (Register wird schwierig)

Q: Bei der Totanalyse hat man dann ja sein Asservat das man analysiert, eine Festplatte zum Beispiel. Wie ist das denn bei der Liveanalyse, da fliehen die Spuren ja anscheinend?

A: Hier macht man während der Liveanalyse eine Sicherung die man als Asservat verwenden kann.

Q: Aber das ist dann ja nur eine Kopie, ist das gut?

A: Es gibt verschiedene Kriterien nach denen man eine Hauptspeichersicherung beurteilen kann. Atomarität, Korrektheit und Integrität. Alle drei kurz erklärt. Hier hab ich gemeint, dass er bei dem Abbild in der Vorlesung die Integrität erst ab dem Zeitpunkt der Sicherung misst. Meiner Meinung nach sollte man das aber messen, sobald man an den Rechner geht. Er meinte dann, dass man da natürlich mit der Integrität schummel kann, je nachdem wann man den Startzeitpunkt wählt. Am besten wählt man ihn so, dass man von der Entscheidung zu sichern bis zum Sicherungsende misst.

Q: Da Sie sich ja Gedanken über die Integrität gemacht haben, kann man das irgendwie messen?

A: Puh, ja, da hatten wir uns Forschung angeschaut. Gab es da nicht dieses Muster das pro Tick in den Hauptspeicher geschrieben wurde? Davon erzählt an was ich mich erinnern konnte.

Q: Stellen Sie sich vor, sie haben ein Sicherungsprogramm welches Speicherzellen irgendwo zwischen speichert, dann die eigenen Bibliotheken in diese Zellen lädt und vor dem Sichern dieser Zellen die zwischen gespeicherten Daten wieder zurückschreibt. Wäre das ihrer Meinung nach integer (Unabhängig von der Definition)?

A: Die Definition sagt ja, dass Veränderung die Integrität zerstört. Meiner Meinung nach ist es aber so, dass, wenn am Ende in der Zelle das steht was zum Zeitpunkt vor unserem Eingriff drinnen stand, dann ist es integer. Da meinte er, das sieht er auch genau so, aber nach Definition ist das eben nicht der Fall, sehr gut.

Q: In der Wirtschaft sagen Forensiker oft, ein komplett atomares Abbild ist nicht möglich. Was denken Sie?

A: Wenn man den Speicher kühlt und dann mit Hardware kopiert ändert sich fast nichts.

Ich wollte jetzt mehr auf diese Grafik raus die wir hatten. Achso ja, das mit Atomarität und Verfügbarkeit? (Hier wollte er eigentlich auf eine andere Grafik anspielen meinte er nach der Prüfung. Die mit Automarität und Integrität Seite 114 Liveanalyse 2)

Q: Ja, wie sieht es denn da mit DMA aus und was ist besser?

A: Naja, DMA ist schon sehr atomar, aber unterstützt nicht jeder Rechner. VM ist auch sehr atomar, aber muss halt ne VM sein. Cold Boot ist top. Haben dann noch ein bisschen darüber geredet.

Q: Haben sei Übung drei gemacht?

A: Ja

Q: Was war für Sie die größte Schwierigkeit?

A: Die Struktur zu verstehen, da ich keine Ahnung von Arbeitsspeicher hatte.

Q: Wie kann man HDD vergleichen mit Arbeitsspeicher Dump?

A: Hat beides eine Struktur. Auf der Festplatte gibt es ein Filesystem, im Arbeitsspeicher gibt es auch Struktur.

Q: Wenn Sie es der Polizei schwer machen wollen, was für ein System nehmen Sie dann? Windows oder Linux?

A: Ich dachte zuerst, er will auf Bluescreen Sicherung bei Windows hinaus, dachte mir aber, bei Linux ist Speicherzugriff eigentlich noch einfacher.

Q: Er fragte dann wie es denn mit Kernel ausschaut.

A: Hab dann richtig geantwortet, dass man ja seinen eigenen Kernel compilern kann und dort die Offsets des Arbeitsspeichers beliebig setzen kann. Dadurch bekommt die Polizei kein Standard Profil und muss sich erstmal zurechtfinden.

Q: Kommen wir zum Jura-Teil, in der aktuellen Fassung gibt es ja § 100a und § 100b im StPO. Es werden ja für beide Trojaner genutzt. Wieso macht man die nicht beide in einen Paragraf und nutzt den gleichen Trojaner?

A: Online-Durchsuchung dringt weiter in die Privatsphäre der Person ein als Quellen-TKÜ. Deshalb auch 100a bei schwerer Straftat, 100b bei sehr schwerer Straftat.

Q: Juristen sehen ja den großen Lauschangriff schlimmer an als Online-Durchsuchung? Wie würden sie das persönlich sehen? Hier gibt es kein richtig oder falsch!

A: Online-Durchsuchung macht auch Mikro und Webcam zugänglich → Schlimmer

Es war eine sehr angenehme Atmosphäre, wie es bei Prof Freiling eben so ist. Nach der Prüfung habe ich ca eine Minute vor der Tür gewartet bevor ich wieder rein gebeten wurde. Mir wurde gleich gesagt, dass die Prüfung sehr gut war, ich zu allem etwas erzählen konnte (1.0). Danach ist er noch auf zwei Fragen eingegangen und hat seine Intention dahinter genannt.

Als Tipp würde ich sagen, sollte man bei Fragen immer etwas weiter ausholen und viel erzählen. Auch wenn es nicht genau das ist, was er hören will, sieht er doch, dass man Ahnung hat. Will er einen Aspekt dann doch genauer, dann fragt er nochmal nach.