Du befindest dich hier: FSI Informatik » Prüfungsfragen und Altklausuren » Hauptstudiumsprüfungen » Lehrstuhl 1 » Forensische Informatik
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Beide Seiten, vorherige ÜberarbeitungVorherige ÜberarbeitungNächste Überarbeitung | Vorherige ÜberarbeitungNächste ÜberarbeitungBeide Seiten, nächste Überarbeitung | ||
pruefungen:hauptstudium:ls1:forensik_201308 [07.08.2013 14:56] – konsti4u | pruefungen:hauptstudium:ls1:forensik_201308 [07.08.2013 14:58] – konsti4u | ||
---|---|---|---|
Zeile 8: | Zeile 8: | ||
===== Inhalt der Prüfung ===== | ===== Inhalt der Prüfung ===== | ||
1. Bericht | 1. Bericht | ||
+ | |||
In einem Rollenspiel (Gerichtsverhandlung) musste ich als Sachverstaendiger die Ergebnisse kurz zusammenfassen und wie ich vorgegangen bin (ca 3min). Erwähnenswert wäre noch, dass man den Bericht mitbringen/ | In einem Rollenspiel (Gerichtsverhandlung) musste ich als Sachverstaendiger die Ergebnisse kurz zusammenfassen und wie ich vorgegangen bin (ca 3min). Erwähnenswert wäre noch, dass man den Bericht mitbringen/ | ||
Dazu wurden dann Fragen gestellt (Wireshark-Mitschnitt, | Dazu wurden dann Fragen gestellt (Wireshark-Mitschnitt, | ||
+ | |||
Tipps: | Tipps: | ||
- | Wget übernimmt Zeitstempel vom Server | + | Wget übernimmt Zeitstempel vom Server. |
- | Get-Anfragen im Wireshark-Mitschnitt bedeuten, dass beim Anzeigen einer Seite die Bilder automatisch nachgeladen werden, nicht unbedingt, dass der Nutzer sie speichert | + | Get-Anfragen im Wireshark-Mitschnitt bedeuten, dass beim Anzeigen einer Seite die Bilder automatisch nachgeladen werden, nicht unbedingt, dass der Nutzer sie speichert. |
2. Forensische Vorgehensmodelle | 2. Forensische Vorgehensmodelle | ||
+ | |||
- Incident Response | - Incident Response | ||
- Investigation Process | - Investigation Process | ||
Grundliegend erklären und wie sich die beiden unterschieden: | Grundliegend erklären und wie sich die beiden unterschieden: | ||
- | Order of volatility erklären -> Flüchtiges zuerst sichern | + | Order of volatility erklären -> Flüchtiges zuerst sichern. |
- | Frage ob man nach dieser Order vorgegangen ist -> Image ist keine flüchtige Spur | + | Frage ob man nach dieser Order vorgegangen ist -> Image ist keine flüchtige Spur. |
Was für eine Art von Spur ist das Image? -> Persistent | Was für eine Art von Spur ist das Image? -> Persistent | ||
3. Dos-Partitionssystem | 3. Dos-Partitionssystem | ||
+ | |||
Man bekam einen Hex-Dump einer Partition und die Blätter aus der 2. Übung (Partitions-Parser) | Man bekam einen Hex-Dump einer Partition und die Blätter aus der 2. Übung (Partitions-Parser) | ||
Zeile 32: | Zeile 36: | ||
Hexcode war ca 00013800, Frage ob das die Anzahl der Sektoren ist? Nein, das muss man erst in dezimal umrechnen | Hexcode war ca 00013800, Frage ob das die Anzahl der Sektoren ist? Nein, das muss man erst in dezimal umrechnen | ||
- | Das Attrbiute " | + | Das Attrbiute " |
Benotung sehr fair :) | Benotung sehr fair :) |