Tag: Windows

Archiv

Linux Forensik – Unterschiede zu Windows und Besonderheiten

Linux wird vielfältig auf Arbeitsplatzrechner, Servern oder Multimedia-Endgeräten eingesetzt. Dabei ist es genauso anfällig für Cyberangriffe wie Windows und kann dementsprechend auch untersucht werden. Die Vorgehensweise unterscheiden sich dabei aber merklich voneinander. Wie genau man bei einer Linux-Analyse vorgeht und was alles zu beachten ist, verrät dieser Beitrag. Weiterlesen

Windows Eventlogs: Welche Ereignisse sie verraten

Eventlogs (dt. Ereignisprotokolle) sind forensisch gesehen eine wertvolle Quelle für Informationen darüber, was auf dem gesamten System vor sich geht. Wie eine Art zentrale Sammelstelle, werden verschiedenste Ereignisse in mehreren Protokollen unter spezifischen Nummern (Event-IDs) dokumentiert. Dies macht es möglich konkrete Ereignisse wie Anmeldungen, Fernzugriffe oder gestartete Dienste auszulesen, welche sonst aus mehreren Artefakten mühevoll rekonstruiert werden müssen. Somit können Hinweise aus anderen Artefakten ergänzt oder bestätigt werden. Weiterlesen

Daten verraten: Informationen zum System auslesen

Am Anfang einer jeden IT-forensischen Analyse wird zunächst untersucht, um was für ein System es sich genau handelt. Diese Informationen sind für die weitere Untersuchung essentiell, da hierüber Informationen gewonnenen werden können, welche das zu analysierende System eindeutig identifizieren. Unter Windows wird hierfür der SYSTEM-Registry-Hive ausgelesen werden. Dieser Artikel ist Teil unserer Reihe „Daten verraten“. Weiterlesen

Daten verraten: Wurden USB-Geräte vom Benutzer verwendet?

Ein Datendiebstahl wird häufig mittels externer Speichermedien durchgeführt. Eine IT-forensische Untersuchung kann solche Vorfälle aufklären, da analysiert werden kann, ob und welche USB-Geräte angeschlossen wurden. Ein Blick in die NTUSER.DAT gibt Aufschluss darüber, welche Geräte vom Benutzer verwendet wurden. Dieser Artikel ist Teil unserer Reihe „Daten verraten“. Weiterlesen

Daten verraten: Welche Dateien wurden geöffnet?

Liegt ein Arbeitszeitbetrug vor, gilt es nachzuweisen, dass ein Benutzer sich mit betriebsfremden Themen, wie z.B. einem Bewerbungsschreiben beschäftigt hat. Die NTUSER.DAT als Teil der Windows Registry protokolliert verschiedene Aktionen eines Benutzers und lässt sich gut für eine IT-forensische Analyse heranziehen. Sie verrät welche Daten, z.B. Dokumente oder Multimediadateien, geöffnet wurden und gibt Hinweise darauf, ob sich diese auf einem externen Laufwerk befanden. Dieser Artikel ist Teil unserer Reihe „Daten verraten“. Weiterlesen

Daten verraten: Einführung in die Windows Registry Forensik

Die Windows Registry speichert Informationen zu installierten Programmen und Aktivitäten der Benutzer. Genau aus diesem Grund spielt sie für IT-Forensiker eine wichtige Rolle. Denn in der Windows Registry können digitale Spuren ausgelesen werden, um Straftaten aufzuklären und gegebenenfalls den Täter zu benennen. In dieser Blog-Serie möchten wir Sie über die Möglichkeiten der Windows Registry für IT-Forensiker aufklären. Weiterlesen

Windows 10: Sicherer mit diesen Datenschutz-Einstellungen

Microsoft wird für sein Betriebssystem Windows 10 von Datenschützern stark kritisiert. Die französische Aufsichtsbehörde geht nunmehr einen Schritt weiter und hat eine offizielle Warnung mit Androhung von Bußgeldern gegenüber Microsoft ausgesprochen. Mit diesem Artikel möchten wir auf die datenschutzrechtlichen Problematiken und Lösungsmöglichkeiten eingehen. Weiterlesen

Active Directory und Domäne – einfach erklärt

Oft spricht ein IT-Administrator im Zusammenhang mit Berechtigungen und Zuweisung von Ressourcen von Active Directory oder einer Domäne. Mit dem heutigen Artikel möchten wir etwas Licht ins Dunkel bringen und erklären, welche Funktionalitäten Active Directory bzw. eine Domäne haben und wie diese die Sicherheit bzw. Rechtevergabe unterstützen können.  Weiterlesen