Hammer, S. (2004):

Klassifikation von Informationsquellen im Bereich der Computerforensik bei Linux


Zusammenfassung In dieser Diplomarbeit wird ein Kriterienkatalog für Informationsquellen bei Linux entworfen, der den Computerforensikern eine Hilfestellung bieten soll zu einem bestimmten Vorfall die Informationsquellen nach bestimmten Kriterien auszuwählen, die beispielsweise die kürzeste Lebensdauer haben, am Ergiebigsten sind etc., um den Vorfall auf einem zu untersuchenden System zu bestätigen. Informationsquellen sind dabei Daten bzw. Spuren, die ein Benutzer nach Ausführung eines Vorganges oder mehreren Vorgänge auf dem Rechner hinterlä"st. Ein Vorfall besteht dabei aus mehreren Vorgängen. Die Arbeit enthält eine Top Down Sicht, die zu einem Vorgang alle relevanten Informationsquellen angibt und eine Bottom Up Sicht, die umgekehrt anhand von ermittelten Informationsquellen eines Systems klärt, was auf dem System vorgefallen ist. Um einen konkreten Vorfall zu klären muss die Top Down Sicht mehrere Male angewendet werden, da sie nur einzelne Vorgänge enthält, aber ein Vorfall aus mehreren Vorgängen besteht. Der Forensiker hat bei der Bottom Up Analyse keinen konkreten Verdacht, möchte aber wissen was in einer bestimmten Zeitspanne auf einem System passiert ist. Auch hier muss der Forensiker die Bottom Up Sicht mehrere Male anwenden. Nach Anwendung der Top Down Sicht auf ein zu untersuchendes System erhält der Forensiker eine der folgenden Aussagen als Ergebnis: - Der Vorfall hat nicht stattgefunden - Der Vorfall hat mit einer Wahrscheinlichkeit von ... \% stattgefunden Nach Anwendung der Bottom Up Sicht auf ein zu untersuchendes System bekommt der Forensiker eine der drei Aussagen von der Bottom Sicht zurück. Vorgang X hat stattgefunden} Möglicherweise war es Vorgang X Mehrere Vorgänge kommen in Frage: Vorgang 1 bis m Unteranderem wird in der Arbeit die Vorgehensweise beschrieben, wie die Vorgänge ausgesucht, die Informationsquellen ermittelt, die Bewertungskriterien für den Kriterienkatalog festgelegt und zu letzt wie die verschiendenen Informationsquellen bewertet wurden. Es ist nicht möglich alle Vorgänge zu finden, aber zumindest die ausschlaggebenden d.h. die am häufigsten von Benutzern ausgeführt werden und die dazugehörigen Informationsquellen. Zuletzt wird in der Arbeit darauf eingegangen in wie fern die beiden Sichten automatisiert werden können, d.h. ein Programm wertet das zu untersuchende System aus und gibt dem Forensiker, die oben genannten Aussagen zurück.




Viewed on: Sun, 29 Dec 2024 18:53:16 +0100
Copyright © MNM-Team http://www.mnm-team.org - Impressum / Legal Info  - Datenschutz / Privacy