FSI-Zimmer: geschlossen
Du befindest dich hier: FSI Informatik » Prüfungsfragen und Altklausuren » Hauptstudiumsprüfungen » Lehrstuhl 1 » Allgemeines
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
| Beide Seiten, vorherige ÜberarbeitungVorherige ÜberarbeitungNächste Überarbeitung | Vorherige ÜberarbeitungLetzte ÜberarbeitungBeide Seiten, nächste Überarbeitung | ||
| pruefungen:hauptstudium:ls1:forensik1_2016-10-07 [07.10.2016 11:10] – nakami | pruefungen:hauptstudium:ls1:forensik1_2016-10-07 [07.10.2016 11:14] – nakami | ||
|---|---|---|---|
| Zeile 7: | Zeile 7: | ||
| **Anklage: Wurde das System auf Malware durchsucht? | **Anklage: Wurde das System auf Malware durchsucht? | ||
| ** | ** | ||
| + | |||
| - Ja, es machte den Anschein, dass außer der durch die Binärdatei installierte Software und Änderungen es zuvor auf dem Computer keine weitere Malware gab. | - Ja, es machte den Anschein, dass außer der durch die Binärdatei installierte Software und Änderungen es zuvor auf dem Computer keine weitere Malware gab. | ||
| Zeile 12: | Zeile 13: | ||
| **Anklage: Woher wissen Sie, dass die Zeitstempel in Chronik des Webbrowsers (places.sqlite) zum untersuchenden Zeitraum gestimmt haben? | **Anklage: Woher wissen Sie, dass die Zeitstempel in Chronik des Webbrowsers (places.sqlite) zum untersuchenden Zeitraum gestimmt haben? | ||
| - | **- Zum einen wurde in den Unterlagen genannt, dass Datum und Uhrzeit des Systems bei der Hausdurchsuchung korrekt waren. Ferner kann man erkennen, wie der NTP-Dienst (Synchronisierung Zeit/Datum über Internet) gestoppt wurde, also kann man annehmen, dass der Dienst zuvor lief. Außerdem könnte man den letzten Zugriff auf das E-Mail-Postfach untersuchen und Prüfen, ob abgeschickte auf das Zeitfenster passen - jedoch müsste ich das nachprüfen. | + | ** |
| - | Daraufhin: | + | |
| - | Anklage: Zu diesem NTP-Dienst, sind sie sich sicher, dass der Dienst zuvor lief? Läuft der Dienst standardmäßig unter Ubuntu [welches ja auch auf dem PC des Angeklagten installiert war]? | + | - Zum einen wurde in den Unterlagen genannt, dass Datum und Uhrzeit des Systems bei der Hausdurchsuchung korrekt waren. Ferner kann man erkennen, wie der NTP-Dienst (Synchronisierung Zeit/Datum über Internet) gestoppt wurde, also kann man annehmen, dass der Dienst zuvor lief. Außerdem könnte man den letzten Zugriff auf das E-Mail-Postfach untersuchen und Prüfen, ob abgeschickte auf das Zeitfenster passen - jedoch müsste ich das nachprüfen. |
| + | |||
| + | **Daraufhin: Anklage: Zu diesem NTP-Dienst, sind sie sich sicher, dass der Dienst zuvor lief? Läuft der Dienst standardmäßig unter Ubuntu [welches ja auch auf dem PC des Angeklagten installiert war]? | ||
| + | ** | ||
| - Das weiß ich nicht, das müsste ich nachprüfen. | - Das weiß ich nicht, das müsste ich nachprüfen. | ||
| Zeile 23: | Zeile 27: | ||
| - Ich habe dieselben Log-Dateien untersucht, wie auch bei der Arbeitskopie des Asservats, also .bash_history (normaler User und root), auth.log, wtmp. Jedoch habe ich im Anhang nur die relevanten Ausschnitte aufgeführt. Wenn sie möchten reiche ich Ihnen die restlichen Nach. | - Ich habe dieselben Log-Dateien untersucht, wie auch bei der Arbeitskopie des Asservats, also .bash_history (normaler User und root), auth.log, wtmp. Jedoch habe ich im Anhang nur die relevanten Ausschnitte aufgeführt. Wenn sie möchten reiche ich Ihnen die restlichen Nach. | ||
| - | Fazit: Eigentlich hatte ich durch die relativ schwierigen Fragen und kleinere Aussetzer eher ein weniger gutes Gefühl. Ich hätte einige weitere Fragen recht gut beantworten können, etwa ob man die Log-Dateien manipuliert wurden bzw. wieso das eher unwahrscheinlich ist (Antwort: Konsistenz mehrerer Log-Dateien untereinander; | + | ==== Fazit ==== |
| + | Eigentlich hatte ich durch die relativ schwierigen Fragen und kleinere Aussetzer eher ein weniger gutes Gefühl. Ich hätte einige weitere Fragen recht gut beantworten können, etwa ob die Log-Dateien manipuliert wurden bzw. wieso das eher unwahrscheinlich ist (Antwort: Konsistenz mehrerer Log-Dateien untereinander; | ||
| Herr Prof. Freiling und Herr Protsenko empfanden meine Prüfung jedoch als sehr gelungen. Es wurde nochmal erwähnt, dass ich bei manchen Fragen nicht unbedingt nachgeben muss und es lediglich ausreichen kann, wenn man begründet warum man etwas eventuell ausgelassen hat bzw., dass man etwas in Anbetracht anderer Hinweise bewusst unterlassen hat. Zudem hätte ich bezüglich des Prüfens der Binärdatei ordentlicher Arbeiten können. Ich bin mit der Durchführung der Prüfung und meinem Ergebniss sehr zufrieden. | Herr Prof. Freiling und Herr Protsenko empfanden meine Prüfung jedoch als sehr gelungen. Es wurde nochmal erwähnt, dass ich bei manchen Fragen nicht unbedingt nachgeben muss und es lediglich ausreichen kann, wenn man begründet warum man etwas eventuell ausgelassen hat bzw., dass man etwas in Anbetracht anderer Hinweise bewusst unterlassen hat. Zudem hätte ich bezüglich des Prüfens der Binärdatei ordentlicher Arbeiten können. Ich bin mit der Durchführung der Prüfung und meinem Ergebniss sehr zufrieden. | ||