Digitale Forensik für Microsoft Windows

Einführung in die digitale Forensik und Windows-Forensik

• Überblick über die digitale Forensik und ihre Grundprinzipien
• Wichtige Begriffe und Konzepte der digitalen Forensik
• Rechtliche Aspekte und Rahmenbedingungen der Forensik
• Die Rolle der Forensik im Incident Response und in der IT-Sicherheit
• Grundlegende Architektur von Windows und das Dateisystem

NTFS und Windows-spezifische Forensik

• Einführung in das NTFS-Dateisystem und dessen forensische Relevanz
• Die Windows-Registry: Struktur und wichtige Schlüsselbereiche
• Überblick über die Windows-Ereignisprotokolle und ihre Bedeutung in der Forensik

Forensische Werkzeuge

• Vorstellung klassischer Forensik-Tools wie EnCase, FTK Imager, Autopsy und X-Ways
• Unterschiede zwischen Open-Source und kommerziellen Tools
• Vorgehen bei der Erstellung von Disk-Images und Datensammlung (Disk-Imaging)
• Best Practices bei der Datensicherung und forensischen Image-Erstellung
• Sicherstellung der Integrität der Daten durch Prüfziffern und Integritätsprüfungen

Windows-spezifische Forensik und Artefakteanalyse

• Grundlagen der Speicheranalyse und RAM-Forensik
• Identifizierung wichtiger RAM-Artefakte wie Prozesse, Netzwerkverbindungen und offene Dateien
• Praktische Übung: Analyse eines RAM-Dumps mit Volatility
• Untersuchung der Windows-Registry und ihrer forensischen Bedeutung
• Analyse relevanter Registry-Schlüssel wie MRU, Autostart und zuletzt geöffnete Dateien
• Tools zur Registry-Analyse, z. B. Registry Explorer
• Praktische Übung: Durchführen einer Registry-Analyse
• Forensische Analyse von Windows-Ereignisprotokollen und Artefakten wie Prefetch, LNK-Dateien und Papierkorb
• Analyse von Ereignisprotokollen mit Tools wie Event Viewer und evtx-Dateien
• Praktische Übung: Untersuchung von Ereignisprotokollen und Artefakten
• Nutzung von Hayabusa zur Analyse großer Windows-Logs

Zeitlinienanalyse und forensische Zeitachsen

• Erstellung und Analyse von Zeitlinien mit Tools wie plaso/log2timeline
• Konsolidierung von forensischen Artefakten zu einer Zeitlinie
• Einsatz von Timesketch zur Visualisierung der forensischen Analyse
• Praktische Übung: Erstellen einer forensischen Zeitachse

Fortgeschrittene Forensik und Abschlussprojekte

• Malware-Forensik und Untersuchung von Persistenzmechanismen in Windows
• Identifikation von Malware und deren Persistenzmechanismen wie Autostart-Einträge und Dienste
• Praktische Übung: Analyse eines infizierten Binaries
• Netzwerkforensik: Analyse von Netzwerkaktivitäten und forensische Protokollanalyse (z. B. mit netstat und Wireshark)
• Praktische Übung: Durchführung einer Netzwerkforensik-Analyse
• Erstellung eines Abschlussberichts: Umgang mit Beweismitteln und Präsentation der Ergebnisse
• Praktische Übung: Verfassen eines forensischen Abschlussberichts

Abschlussprojekt und Fallstudie

• Bearbeitung einer umfassenden Fallstudie zur Anwendung der erlernten Techniken
• Diskussion und Feedback zur praktischen Umsetzung