Digitale Forensik für Linux und Unix Systeme

Einführung in digitale Forensik und Grundlagen von Linux:

• Grundbegriffe und Prinzipien der digitalen Forensik
• Vergleich von Windows- und Linux-Forensik
• Rechtliche Aspekte der Forensik und Chain of Custody

Linux-Architektur und Dateisysteme:

• Überblick über Linux-Dateisysteme wie ext4, btrfs und XFS
• Kurze Einführung in zfs on Linux
• Wichtige Systemverzeichnisse und Dateien (z. B. /var/log, /etc) und deren Bedeutung
• Funktionsweise von Journaling und Inodes

Forensische Werkzeuge für Linux:

• Einführung in nützliche Linux-Tools (z. B. grep, dd, lsof, df)
• Analyse von Prozessen und Dateien
• Praktische Übung: Sammeln und Auswerten von Systemdaten

Erstellung von forensischen Abbildern:

• Disk-Imaging-Tools: dd, dcfldd und deren Anwendung
• Erstellung von forensischen Abbildungen und Prüfsummen zur Datenverifikation
• Praktische Übung: Durchführung von Disk-Imaging und Überprüfung der Integrität

Artefaktanalyse und Speicherforensik:

• Einführung in die Speicher- und RAM-Forensik für Linux
• Tools wie LiME, Volatility und Rekall für die RAM-Analyse
• Praktische Übung: Erstellen und Analysieren von RAM-Dumps

Logfile-Analyse in Linux-Systemen:

• Analyse von Logs: /var/log/messages, auth.log, syslog und systemd-journald
• Tools zur Log-Analyse: grep, Log2timeline, plaso
• Praktische Übung: Untersuchung von Log-Dateien zur forensischen Analyse

Analyse von Dateisystemen und Datenwiederherstellung:

• Wiederherstellung gelöschter Dateien und Verzeichnisse
• Nutzung von Sleuth Kit (TSK) und Autopsy zur Dateisystem-Analyse
• Praktische Übung: Wiederherstellung und Analyse von gelöschten Dateien

Erstellung und Analyse von Zeitlinien:

• Erstellung von Zeitlinien zur Verknüpfung von forensischen Artefakten
• Konsolidierung von Logs, Dateisystemdaten und RAM-Dumps
• Praktische Übung: Anfertigung einer forensischen Zeitachse mit Timesketch

Fortgeschrittene Techniken und Fallstudien:

• Analyse von Rootkits, Trojanern und anderer Malware auf Linux
• Netzwerkanalyse mit Tools wie tcpdump, Wireshark und NetworkMiner
• Erstellung eines forensischen Abschlussberichts zur Dokumentation der Ergebnisse
• Praktische Übung: Verfassen eines Berichts aus einem Fallbeispiel

Praktische Anwendung und Fallstudien:

• Bearbeitung eines realistischen Fallbeispiels
• Sammeln und Auswerten von Beweismitteln aus Logs, RAM und Netzwerkverkehr