KursinhalteGrundlagen der digitalen Forensik und Linux-Basics
Einführung in die digitale Forensik (Rückblick)
- Grundbegriffe und Prinzipien der digitalen Forensik
- Unterschiede zwischen Windows- und Linux-Forensik
- Rechtliche Aspekte und Chain of Custody
Linux-Architektur und Dateisysteme
- Linux-Dateisysteme: ext4, btrfs, XFS
- Kurzer Überblick zfs on linux
- Wichtige Verzeichnisse und Systemdateien (z.B. /var/log, /var/log/journal, /etc), systemd-journal
- Journaling und Inodes im Dateisystem
Linux-Kommandozeilenwerkzeuge für die Forensik
- Überblick Linux-Tools (z.B. grep, dd, df, lsof)
- Dateien und Prozesse identifizieren und analysieren
- Praktische Übung: Sammeln und Analysieren von Systeminformationen
Erstellung forensischer Abbilder
- Tools für Disk-Imaging: dd, dcfldd …
- Erstellung eines forensischen Images und Prüfsummen
- Praktische Übung: Disk-Imaging und Verifizierung der Datenintegrität
Artefaktanalyse und Speicherforensik
Linux-Speicher- und RAM-Forensik
- Einführung in die RAM-Analyse
- Tools: LiME (Linux Memory Extractor), Volatility, Rekall
- Praktische Übung: RAM-Dumps erstellen und analysieren
Logfile-Analyse auf Linux-Systemen
- Bedeutung von Logs: /var/log/messages, auth.log, syslog
- systemd-journald und journalctl
- Tools zur Log-Analyse: grep, Log2timeline (plaso) etc.
- Praktische Übung: Analyse von Linux Log-Dateien für forensische Untersuchungen
Dateisystem-Analyse und Wiederherstellung
- Analyse von gelöschten Dateien und Verzeichnissen
- Tools: Sleuth Kit (TSK), Autopsy
- Praktische Übung: Wiederherstellung und Analyse gelöschter Dateien
Timeline-Analyse
- Erstellung und Analyse von Zeitlinien
- Konsolidierung von Artefakten (Logs, Dateisystem, RAM)
- Praktische Übung: Erstellung einer forensischen Zeitachse mit Timesketch
Fortgeschrittene Techniken und Fallstudien
Malware-Forensik auf Linux-Systemen
- Erkennung und Analyse von Rootkits, Trojanern und anderen Malware-Arten
- Tools: chkrootkit, rkhunter, Yara…
Netzwerkforensik auf Linux
- Netzwerkaktivitäten und Verbindungen analysieren
- Tools: tcpdump, Wireshark, NetworkMiner…
Erstellung eines forensischen Abschlussberichts
- Struktur und Aufbau eines forensischen Berichts
- Dokumentation der Beweismittel und Untersuchungsergebnisse
- Praktische Übung: Verfassen eines Berichts basierend auf einem Fallbeispiel
Fallstudien und praktische Anwendung
- Bearbeitung eines realistischen Fallbeispiels
- Sammeln und Analysieren von Beweismitteln aus Logs, RAM und Netzwerk
Am Ende dieses Kurses haben die Teilnehmer umfassende praktische Kenntnisse in der Analyse von Linux-Systemen und die Fähigkeit, Open-Source-Tools wie Volatility, TSK, Autopsy, und Wireshark zu nutzen. Sie erlernen die forensische Analyse von RAM, Festplatten und Netzwerken, um auf Vorfälle schnell und fundiert zu reagieren.
