FSI-Zimmer: geschlossen
Du befindest dich hier: FSI Informatik » Prüfungsfragen und Altklausuren » Hauptstudiumsprüfungen » Lehrstuhl 1 » Vorbereitung (Übersicht)
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
| Beide Seiten, vorherige ÜberarbeitungVorherige ÜberarbeitungNächste Überarbeitung | Vorherige Überarbeitung | ||
| pruefungen:hauptstudium:ls1:forensik2_2019-03-15 [15.03.2019 14:35] – nakami | pruefungen:hauptstudium:ls1:forensik2_2019-03-15 [02.04.2019 23:28] (aktuell) – nakami | ||
|---|---|---|---|
| Zeile 6: | Zeile 6: | ||
| **Q**: Was ist der Unterschied zwischen Live und Tot-Analyse? | **Q**: Was ist der Unterschied zwischen Live und Tot-Analyse? | ||
| + | |||
| **A**: Live ist vor Ort und man erstellt Abbild. | **A**: Live ist vor Ort und man erstellt Abbild. | ||
| Es gibt ja diese Flüchtigkeitshierachie (hab alles aufgezählt). | Es gibt ja diese Flüchtigkeitshierachie (hab alles aufgezählt). | ||
| Deshalb versucht man live die flüchtigen Spuren zu sichern, so weit möglich (Register wird schwierig) | Deshalb versucht man live die flüchtigen Spuren zu sichern, so weit möglich (Register wird schwierig) | ||
| - | Bei der Totanalyse hat man dann ja sein Asservat das man analysiert, eine Festplatte zum Beispiel. Wie ist das denn bei der Liveanalyse, | + | **Q**: |
| - | Hier macht man während der Liveanalyse eine Sicherung die man als Asservat verwenden kann. | + | |
| + | **A**: | ||
| **Q**: Aber das ist dann ja nur eine Kopie, ist das gut? | **Q**: Aber das ist dann ja nur eine Kopie, ist das gut? | ||
| + | |||
| **A**: Es gibt verschiedene Kriterien nach denen man eine Hauptspeichersicherung beurteilen kann. | **A**: Es gibt verschiedene Kriterien nach denen man eine Hauptspeichersicherung beurteilen kann. | ||
| Atomarität, | Atomarität, | ||
| Zeile 23: | Zeile 26: | ||
| **Q**: Da Sie sich ja Gedanken über die Integrität gemacht haben, kann man das irgendwie messen? | **Q**: Da Sie sich ja Gedanken über die Integrität gemacht haben, kann man das irgendwie messen? | ||
| + | |||
| **A**: Puh, ja, da hatten wir uns Forschung angeschaut. Gab es da nicht dieses Muster das pro Tick in den Hauptspeicher geschrieben wurde? | **A**: Puh, ja, da hatten wir uns Forschung angeschaut. Gab es da nicht dieses Muster das pro Tick in den Hauptspeicher geschrieben wurde? | ||
| Davon erzählt an was ich mich erinnern konnte. | Davon erzählt an was ich mich erinnern konnte. | ||
| **Q**: Stellen Sie sich vor, sie haben ein Sicherungsprogramm welches Speicherzellen irgendwo zwischen speichert, dann die eigenen Bibliotheken in diese Zellen lädt und vor dem Sichern dieser Zellen die zwischen gespeicherten Daten wieder zurückschreibt. Wäre das ihrer Meinung nach integer (Unabhängig von der Definition)? | **Q**: Stellen Sie sich vor, sie haben ein Sicherungsprogramm welches Speicherzellen irgendwo zwischen speichert, dann die eigenen Bibliotheken in diese Zellen lädt und vor dem Sichern dieser Zellen die zwischen gespeicherten Daten wieder zurückschreibt. Wäre das ihrer Meinung nach integer (Unabhängig von der Definition)? | ||
| + | |||
| **A**: Die Definition sagt ja, dass Veränderung die Integrität zerstört. | **A**: Die Definition sagt ja, dass Veränderung die Integrität zerstört. | ||
| Meiner Meinung nach ist es aber so, dass, wenn am Ende in der Zelle das steht was zum Zeitpunkt vor unserem Eingriff drinnen stand, dann ist es integer. | Meiner Meinung nach ist es aber so, dass, wenn am Ende in der Zelle das steht was zum Zeitpunkt vor unserem Eingriff drinnen stand, dann ist es integer. | ||
| Zeile 32: | Zeile 37: | ||
| **Q**: In der Wirtschaft sagen Forensiker oft, ein komplett atomares Abbild ist nicht möglich. Was denken Sie? | **Q**: In der Wirtschaft sagen Forensiker oft, ein komplett atomares Abbild ist nicht möglich. Was denken Sie? | ||
| + | |||
| **A**: Wenn man den Speicher kühlt und dann mit Hardware kopiert ändert sich fast nichts. | **A**: Wenn man den Speicher kühlt und dann mit Hardware kopiert ändert sich fast nichts. | ||
| Zeile 40: | Zeile 46: | ||
| **Q**: Ja, wie sieht es denn da mit DMA aus und was ist besser? | **Q**: Ja, wie sieht es denn da mit DMA aus und was ist besser? | ||
| + | |||
| **A**: Naja, DMA ist schon sehr atomar, aber unterstützt nicht jeder Rechner. | **A**: Naja, DMA ist schon sehr atomar, aber unterstützt nicht jeder Rechner. | ||
| VM ist auch sehr atomar, aber muss halt ne VM sein. | VM ist auch sehr atomar, aber muss halt ne VM sein. | ||
| Zeile 46: | Zeile 53: | ||
| **Q**: Haben sei Übung drei gemacht? | **Q**: Haben sei Übung drei gemacht? | ||
| + | |||
| **A**: Ja | **A**: Ja | ||
| **Q**: Was war für Sie die größte Schwierigkeit? | **Q**: Was war für Sie die größte Schwierigkeit? | ||
| + | |||
| **A**: Die Struktur zu verstehen, da ich keine Ahnung von Arbeitsspeicher hatte. | **A**: Die Struktur zu verstehen, da ich keine Ahnung von Arbeitsspeicher hatte. | ||
| **Q**: Wie kann man HDD vergleichen mit Arbeitsspeicher Dump? | **Q**: Wie kann man HDD vergleichen mit Arbeitsspeicher Dump? | ||
| + | |||
| **A**: Hat beides eine Struktur. Auf der Festplatte gibt es ein Filesystem, im Arbeitsspeicher gibt es auch Struktur. | **A**: Hat beides eine Struktur. Auf der Festplatte gibt es ein Filesystem, im Arbeitsspeicher gibt es auch Struktur. | ||
| **Q**: Wenn Sie es der Polizei schwer machen wollen, was für ein System nehmen Sie dann? Windows oder Linux? | **Q**: Wenn Sie es der Polizei schwer machen wollen, was für ein System nehmen Sie dann? Windows oder Linux? | ||
| + | |||
| **A**: Ich dachte zuerst, er will auf Bluescreen Sicherung bei Windows hinaus, dachte mir aber, bei Linux ist Speicherzugriff eigentlich noch einfacher. | **A**: Ich dachte zuerst, er will auf Bluescreen Sicherung bei Windows hinaus, dachte mir aber, bei Linux ist Speicherzugriff eigentlich noch einfacher. | ||
| **Q**: Er fragte dann wie es denn mit Kernel ausschaut. | **Q**: Er fragte dann wie es denn mit Kernel ausschaut. | ||
| + | |||
| **A**: Hab dann richtig geantwortet, | **A**: Hab dann richtig geantwortet, | ||
| Dadurch bekommt die Polizei kein Standard Profil und muss sich erstmal zurechtfinden. | Dadurch bekommt die Polizei kein Standard Profil und muss sich erstmal zurechtfinden. | ||
| **Q**: Kommen wir zum Jura-Teil, in der aktuellen Fassung gibt es ja § 100a und § 100b im StPO. Es werden ja für beide Trojaner genutzt. Wieso macht man die nicht beide in einen Paragraf und nutzt den gleichen Trojaner? | **Q**: Kommen wir zum Jura-Teil, in der aktuellen Fassung gibt es ja § 100a und § 100b im StPO. Es werden ja für beide Trojaner genutzt. Wieso macht man die nicht beide in einen Paragraf und nutzt den gleichen Trojaner? | ||
| + | |||
| **A**: Online-Durchsuchung dringt weiter in die Privatsphäre der Person ein als Quellen-TKÜ. | **A**: Online-Durchsuchung dringt weiter in die Privatsphäre der Person ein als Quellen-TKÜ. | ||
| Deshalb auch 100a bei schwerer Straftat, 100b bei sehr schwerer Straftat. | Deshalb auch 100a bei schwerer Straftat, 100b bei sehr schwerer Straftat. | ||
| Zeile 67: | Zeile 80: | ||
| **Q**: Juristen sehen ja den großen Lauschangriff schlimmer an als Online-Durchsuchung? | **Q**: Juristen sehen ja den großen Lauschangriff schlimmer an als Online-Durchsuchung? | ||
| Wie würden sie das persönlich sehen? Hier gibt es kein richtig oder falsch! | Wie würden sie das persönlich sehen? Hier gibt es kein richtig oder falsch! | ||
| + | |||
| **A**: Online-Durchsuchung macht auch Mikro und Webcam zugänglich -> Schlimmer | **A**: Online-Durchsuchung macht auch Mikro und Webcam zugänglich -> Schlimmer | ||