Du befindest dich hier: FSI Informatik » Prüfungsfragen und Altklausuren » Hauptstudiumsprüfungen » Lehrstuhl 1 » Forensische Informatik   (Übersicht)

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige ÜberarbeitungVorherige Überarbeitung
Nächste Überarbeitung		Vorherige Überarbeitung
pruefungen:hauptstudium:ls1:forensik_201308 [07.08.2013 14:56] konsti4upruefungen:hauptstudium:ls1:forensik_201308 [07.08.2013 15:00] (aktuell) konsti4u
Zeile 8: Zeile 8:
 ===== Inhalt der Prüfung ===== ===== Inhalt der Prüfung =====
 1. Bericht 1. Bericht
 +
 In einem Rollenspiel (Gerichtsverhandlung) musste ich als Sachverstaendiger die Ergebnisse kurz zusammenfassen und wie ich vorgegangen bin (ca 3min). Erwähnenswert wäre noch, dass man den Bericht mitbringen/nutzen darf. In einem Rollenspiel (Gerichtsverhandlung) musste ich als Sachverstaendiger die Ergebnisse kurz zusammenfassen und wie ich vorgegangen bin (ca 3min). Erwähnenswert wäre noch, dass man den Bericht mitbringen/nutzen darf.
  
 Dazu wurden dann Fragen gestellt (Wireshark-Mitschnitt, wget (bash-History), Dateizeitpunkte, Mögliche Manipulation) Dazu wurden dann Fragen gestellt (Wireshark-Mitschnitt, wget (bash-History), Dateizeitpunkte, Mögliche Manipulation)
 +
 Tipps: Tipps:
-Wget übernimmt Zeitstempel vom Server +Wget übernimmt Zeitstempel vom Server. 
-Get-Anfragen im Wireshark-Mitschnitt bedeuten, dass beim Anzeigen einer Seite die Bilder automatisch nachgeladen werden, nicht unbedingt, dass der Nutzer sie speichert (kann aber auch sein)+Get-Anfragen im Wireshark-Mitschnitt bedeuten, dass beim Anzeigen einer Seite die Bilder vom Browser automatisch nachgeladen werden, nicht unbedingt, dass der Nutzer sie speichert.
  
 2. Forensische Vorgehensmodelle 2. Forensische Vorgehensmodelle
-Incident Response +Incident Response und Investigation Process.
-Investigation Process+
 Grundliegend erklären und wie sich die beiden unterschieden: (Schnelle Reaktionsmöglichkeit in einer Organisation vs gerichtsfestes wissenschaftliches forensisches Vorgehen) Grundliegend erklären und wie sich die beiden unterschieden: (Schnelle Reaktionsmöglichkeit in einer Organisation vs gerichtsfestes wissenschaftliches forensisches Vorgehen)
  
-Order of volatility erklären -> Flüchtiges zuerst sichern +Order of volatility erklären -> Flüchtiges zuerst sichern. 
-Frage ob man nach dieser Order vorgegangen ist -> Image ist keine flüchtige Spur+Frage ob man nach dieser Order vorgegangen ist -> Image ist keine flüchtige Spur.
 Was für eine Art von Spur ist das Image? -> Persistent Was für eine Art von Spur ist das Image? -> Persistent
  
 3. Dos-Partitionssystem 3. Dos-Partitionssystem
 +
 Man bekam einen Hex-Dump einer Partition und die Blätter aus der 2. Übung (Partitions-Parser) Man bekam einen Hex-Dump einer Partition und die Blätter aus der 2. Übung (Partitions-Parser)
  
Zeile 32: Zeile 34:
 Hexcode war ca 00013800, Frage ob das die Anzahl der Sektoren ist? Nein, das muss man erst in dezimal umrechnen Hexcode war ca 00013800, Frage ob das die Anzahl der Sektoren ist? Nein, das muss man erst in dezimal umrechnen
  
-Das Attrbiute "notwendig" erklären -> Felder, die notwendig auf ja haben, stellen das Layout/Strukut des Dateisystems dar und richtige Werte sind dort notwendig, um korrekt auf dieses zuzugreifen/lesen/schreiben.+Das Attrbiute "notwendig" erklären -> Felder, die notwendig auf ja haben, stellen das Layout/Strukut des Dateisystems dar und richtige Werte sind dort notwendig, um korrekt auf dieses zuzugreifen/lesen/schreiben. (nicht sicher, ob das die richtige Antwort war)
  
  
 Benotung sehr fair :) Benotung sehr fair :)