Forensische Informatik

Studiengang: M.Sc. Informatik
Dauer: 20 Minuten
Prüfer: Dr.-Ing. Andreas Dewald
Beisitzer: Prof. Dr.-Ing. Felix Freiling
Themen: Forensische Informatik

1. Bericht

In einem Rollenspiel (Gerichtsverhandlung) musste ich als Sachverstaendiger die Ergebnisse kurz zusammenfassen und wie ich vorgegangen bin (ca 3min). Erwähnenswert wäre noch, dass man den Bericht mitbringen/nutzen darf.

Dazu wurden dann Fragen gestellt (Wireshark-Mitschnitt, wget (bash-History), Dateizeitpunkte, Mögliche Manipulation)

Tipps: Wget übernimmt Zeitstempel vom Server. Get-Anfragen im Wireshark-Mitschnitt bedeuten, dass beim Anzeigen einer Seite die Bilder vom Browser automatisch nachgeladen werden, nicht unbedingt, dass der Nutzer sie speichert.

2. Forensische Vorgehensmodelle Incident Response und Investigation Process. Grundliegend erklären und wie sich die beiden unterschieden: (Schnelle Reaktionsmöglichkeit in einer Organisation vs gerichtsfestes wissenschaftliches forensisches Vorgehen)

Order of volatility erklären → Flüchtiges zuerst sichern. Frage ob man nach dieser Order vorgegangen ist → Image ist keine flüchtige Spur. Was für eine Art von Spur ist das Image? → Persistent

3. Dos-Partitionssystem

Man bekam einen Hex-Dump einer Partition und die Blätter aus der 2. Übung (Partitions-Parser)

Fragen: Was ist der Partitionstyp der dritten Partition? Wie groß ist die zweite Parition (Tipp: Hex Code umdrehen, da little endian vs. big endian) Hexcode war ca 00013800, Frage ob das die Anzahl der Sektoren ist? Nein, das muss man erst in dezimal umrechnen

Das Attrbiute „notwendig“ erklären → Felder, die notwendig auf ja haben, stellen das Layout/Strukut des Dateisystems dar und richtige Werte sind dort notwendig, um korrekt auf dieses zuzugreifen/lesen/schreiben. (nicht sicher, ob das die richtige Antwort war)

Benotung sehr fair :)