Du befindest dich hier: FSI Informatik » Prüfungsfragen und Altklausuren » Hauptstudiumsprüfungen » Lehrstuhl 1 » Vorbereitung   (Übersicht)

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Nächste Überarbeitung		Vorherige Überarbeitung
Letzte ÜberarbeitungBeide Seiten, nächste Überarbeitung
pruefungen:hauptstudium:ls1:forensik2_2019-03-15 [15.03.2019 13:37] – Prüfungsprotokoll angelegt nakamipruefungen:hauptstudium:ls1:forensik2_2019-03-15 [15.03.2019 14:36] nakami
Zeile 1: Zeile 1:
 ==== Vorbereitung ==== ==== Vorbereitung ====
  
-Ich war fast immer in der Vorlesung und hab die Übungen gemacht. +Ich war fast immer in der Vorlesung und hab die Übungen gemacht. Habe mir zur Vorbereitung die Aufzeichnung angeschaut und nebenbei eine kleine Zusammenfassung geschrieben. Danach habe ich die Zusammenfassung immer mal wieder angeschaut während ich unterwegs war. Fragenkatalog und Prüfungsprotokolle zweimal durchgegangen.
-Habe mir zur Vorbereitung die Aufzeichnung angeschaut und nebenbei eine kleine Zusammenfassung geschrieben. +
-Danach habe ich die Zusammenfassung immer mal wieder angeschaut während ich unterwegs war. +
-Fragenkatalog und Prüfungsprotokolle zweimal durchgegangen.+
  
 ==== Prüfung ==== ==== Prüfung ====
  
-Was ist der Unterschied zwischen Live und Tot-Analyse? +**Q**: Was ist der Unterschied zwischen Live und Tot-Analyse? 
-Live ist vor Ort und man erstellt Abbild.+ 
 +**A**: Live ist vor Ort und man erstellt Abbild.
 Es gibt ja diese Flüchtigkeitshierachie (hab alles aufgezählt). Es gibt ja diese Flüchtigkeitshierachie (hab alles aufgezählt).
 Deshalb versucht man live die flüchtigen Spuren zu sichern, so weit möglich (Register wird schwierig) Deshalb versucht man live die flüchtigen Spuren zu sichern, so weit möglich (Register wird schwierig)
Zeile 16: Zeile 14:
 Hier macht man während der Liveanalyse eine Sicherung die man als Asservat verwenden kann. Hier macht man während der Liveanalyse eine Sicherung die man als Asservat verwenden kann.
  
-Aber das ist dann ja nur eine Kopie, ist das gut? +**Q**: Aber das ist dann ja nur eine Kopie, ist das gut? 
-Es gibt verschiedene Kriterien nach denen man eine Hauptspeichersicherung beurteilen kann.+ 
 +**A**: Es gibt verschiedene Kriterien nach denen man eine Hauptspeichersicherung beurteilen kann.
 Atomarität, Korrektheit und Integrität. Atomarität, Korrektheit und Integrität.
 Alle drei kurz erklärt. Alle drei kurz erklärt.
Zeile 25: Zeile 24:
 Am besten wählt man ihn so, dass man von der Entscheidung zu sichern bis zum Sicherungsende misst. Am besten wählt man ihn so, dass man von der Entscheidung zu sichern bis zum Sicherungsende misst.
  
-Da sie sich ja Gedanken über die Integrität gemacht haben, kann man das irgendwie messen? +**Q**: Da Sie sich ja Gedanken über die Integrität gemacht haben, kann man das irgendwie messen? 
-Puh, ja, da hatten wir uns Forschung angeschaut. Gab es da nicht dieses Muster das pro Tick in den Hauptspeicher geschrieben wurde?+ 
 +**A**: Puh, ja, da hatten wir uns Forschung angeschaut. Gab es da nicht dieses Muster das pro Tick in den Hauptspeicher geschrieben wurde?
 Davon erzählt an was ich mich erinnern konnte. Davon erzählt an was ich mich erinnern konnte.
  
-Stellen Sie sich vor, sie haben ein Sicherungsprogramm welches Speicherzellen irgendwo zwischen speichert, dann die eigenen Bibliotheken in diese Zellen lädt und vor dem Sicher dieser Zellen die zwischen gespeicherten Daten wieder zurückschreibt. Wäre das ihrer Meinung nach integer (Unabhängig von der Definition)? +**Q**: Stellen Sie sich vor, sie haben ein Sicherungsprogramm welches Speicherzellen irgendwo zwischen speichert, dann die eigenen Bibliotheken in diese Zellen lädt und vor dem Sichern dieser Zellen die zwischen gespeicherten Daten wieder zurückschreibt. Wäre das ihrer Meinung nach integer (Unabhängig von der Definition)? 
-Die Definition sagt ja, dass Veränderung die Integrität zerstört. + 
 +**A**: Die Definition sagt ja, dass Veränderung die Integrität zerstört. 
 Meiner Meinung nach ist es aber so, dass, wenn am Ende in der Zelle das steht was zum Zeitpunkt vor unserem Eingriff drinnen stand, dann ist es integer. Meiner Meinung nach ist es aber so, dass, wenn am Ende in der Zelle das steht was zum Zeitpunkt vor unserem Eingriff drinnen stand, dann ist es integer.
 Da meinte er, das sieht er auch genau so, aber nach Definition ist das eben nicht der Fall, sehr gut. Da meinte er, das sieht er auch genau so, aber nach Definition ist das eben nicht der Fall, sehr gut.
  
-In der Wirtschaft sagen Forensiker oft, ein komplett atomares Abbild ist nicht möglich. Was denken sie+**Q**: In der Wirtschaft sagen Forensiker oft, ein komplett atomares Abbild ist nicht möglich. Was denken Sie
-Wenn man den Speicher kühlt und dann mit Hardware kopiert ändert sich fast nichts.+ 
 +**A**: Wenn man den Speicher kühlt und dann mit Hardware kopiert ändert sich fast nichts.
  
 Ich wollte jetzt mehr auf diese Grafik raus die wir hatten. Ich wollte jetzt mehr auf diese Grafik raus die wir hatten.
Zeile 42: Zeile 44:
 Die mit Automarität und Integrität Seite 114 Liveanalyse 2) Die mit Automarität und Integrität Seite 114 Liveanalyse 2)
  
-Ja, wie sieht es denn da mit DMA aus und was ist besser? +**Q**: Ja, wie sieht es denn da mit DMA aus und was ist besser? 
-Naja, DMA ist schon sehr atomar, aber unterstützt nicht jeder Rechner.+ 
 +**A**: Naja, DMA ist schon sehr atomar, aber unterstützt nicht jeder Rechner.
 VM ist auch sehr atomar, aber muss halt ne VM sein. VM ist auch sehr atomar, aber muss halt ne VM sein.
 Cold Boot ist top. Cold Boot ist top.
 Haben dann noch ein bisschen darüber geredet. Haben dann noch ein bisschen darüber geredet.
  
-Haben sei Übung drei gemacht? +**Q**: Haben sei Übung drei gemacht?
-Ja+
  
-Was war für sie die größte Schwierigkeit? +**A**: Ja
-Die Struktur zu verstehen, da ich keine Ahnung von Arbeitsspeicher hatte.+
  
-Wie kann man HDD vergleichen mit Arbeitsspeicher Dump? +**Q**: Was war für Sie die größte Schwierigkeit?
-Hat beides eine Struktur. Auf der Festplatte gibt es ein Filesystem, im Arbeitsspeicher gibt es auch Struktur.+
  
-Wenn sie es der Polizei schwer machen wollen, was für ein System nehmen sie dann? Windows oder Linux? +**A**: Die Struktur zu verstehen, da ich keine Ahnung von Arbeitsspeicher hatte. 
-Ich dachte zuerst, er will auf Bluescreen Sicherung bei Windows hinaus, dachte mir aber, bei Linux ist Speicherzugriff eigeentlich noch einfacher. + 
-Er fragte dann wie es denn mit Kernel ausschaut. +**Q**: Wie kann man HDD vergleichen mit Arbeitsspeicher Dump? 
-Hab dann richtig geantwortet, dass man ja seinen eigenen Kernel compilern kann und dort die Offsets des Arbeitsspeichers beliebig setzen kann.+ 
 +**A**: Hat beides eine Struktur. Auf der Festplatte gibt es ein Filesystem, im Arbeitsspeicher gibt es auch Struktur. 
 + 
 +**Q**: Wenn Sie es der Polizei schwer machen wollen, was für ein System nehmen Sie dann? Windows oder Linux? 
 + 
 +**A**: Ich dachte zuerst, er will auf Bluescreen Sicherung bei Windows hinaus, dachte mir aber, bei Linux ist Speicherzugriff eigentlich noch einfacher. 
 + 
 +**Q**: Er fragte dann wie es denn mit Kernel ausschaut. 
 + 
 +**A**: Hab dann richtig geantwortet, dass man ja seinen eigenen Kernel compilern kann und dort die Offsets des Arbeitsspeichers beliebig setzen kann.
 Dadurch bekommt die Polizei kein Standard Profil und muss sich erstmal zurechtfinden. Dadurch bekommt die Polizei kein Standard Profil und muss sich erstmal zurechtfinden.
  
-Kommen wir zum Jura-Teil, in der aktuellen Fassung gibt es ja § 100a und § 100b im StPO. +**Q**: Kommen wir zum Jura-Teil, in der aktuellen Fassung gibt es ja § 100a und § 100b im StPO. Es werden ja für beide Trojaner genutzt. Wieso macht man die nicht beide in einen Paragraf und nutzt den gleichen Trojaner? 
-Es werden ja für beide Trojaner genutzt. Wieso macht man die nicht beide in einen Paragraf und nutzt den gleichen Trojaner? + 
-Online-Durchsuchung dringt weiter in die Privatsphäre der Person ein als Quellen-TKÜ.+**A**: Online-Durchsuchung dringt weiter in die Privatsphäre der Person ein als Quellen-TKÜ.
 Deshalb auch 100a bei schwerer Straftat, 100b bei sehr schwerer Straftat. Deshalb auch 100a bei schwerer Straftat, 100b bei sehr schwerer Straftat.
  
-Juristen sehen ja den großen Lauschangriff schlimmer an als Online-Durchsuchung?+**Q**: Juristen sehen ja den großen Lauschangriff schlimmer an als Online-Durchsuchung?
 Wie würden sie das persönlich sehen? Hier gibt es kein richtig oder falsch! Wie würden sie das persönlich sehen? Hier gibt es kein richtig oder falsch!
-Online-Durchsuchung macht auch Mikro und Webcam zugänglich -> Schlimmer+ 
 +**A**: Online-Durchsuchung macht auch Mikro und Webcam zugänglich -> Schlimmer
  
 ==== Fazit ==== ==== Fazit ====