KursinhalteGrundlagen der digitalen Forensik und Einführung in Windows Forensik
Einführung in die digitale Forensik (Rückblick)
- Grundbegriffe und Prinzipien
- Rechtliche Rahmenbedingungen (Überblick)
- Incident Response und der Stellenwert der Forensik in der IT-Sicherheit
Windows-Architektur und Dateisystem
- Grundlagen von NTFS
- Registry-Struktur und wichtige Bereiche
- Überblick über Windows-Logs
Forensische Werkzeuge
- Überblick über klassische Tools (EnCase, FTK Imager, Autopsy, X-Ways…)
- Unterschiede zwischen Open-Source und kommerziellen Tools
Disk-Imaging und Datensammlung
- Disk-Imaging: Vorgehen und Best Practices
- Erstellen eines forensischen Images (Hands-On)
- Prüfsummen und Integritätsprüfung
Windows-spezifische Forensik und Artefakteanalyse
Speicher- und RAM-Forensik
- Grundlagen der Speicheranalyse
- Wichtige RAM-Artefakte (Prozesse, Netzwerkverbindungen, offene Dateien)
- Praktische Übung: RAM-Dump mit Volatility analysieren
Analyse der Windows Registry
- Wichtige Registry-Schlüssel für die Forensik (MRU, Autostart, zuletzt geöffnete Dateien)
- Tools zur Analyse (Registry Explorer)
- Praktische Übung: Registry-Analyse
Event Logs und andere Windows-Artefakte
- Analyse von Windows-Ereignisprotokollen (Event Viewer, evtx-Dateien)
- Forensisch relevante Artefakte (Prefetch, LNK-Dateien, Recycle Bin)
- Praktische Übung: Analyse von Ereignisprotokollen und Artefakten
- Mit Hayabusa große Windows-Logs analysieren
Timeline-Analyse
- Erstellung und Analyse von Timelines (z.B. mit plaso/log2timeline)
- Konsolidierung von Artefakten zu einer Zeitlinie
- Timesketch im Einsatz
- Praktische Übung: Erstellung einer forensischen Zeitachse
Fortgeschrittene Forensik und Abschlussprojekte
Malware-Forensik und Persistenzmechanismen
- Erkennung von Malware auf Windows-Systemen
- Untersuchung von Persistenzmechanismen (Autostart-Einträge, Dienste)
- Praktische Übung: Analyse eines infizierten Binaries
Netzwerkforensik in Windows
- Analyse von Netzwerkaktivitäten
- Forensische Analyse von Protokollen (netstat, Wireshark etc.)
- Praktische Übung: Netzwerkforensik
Erstellung eines Abschlussberichts
- Umgang mit Beweismitteln und Präsentation der Ergebnisse
- Praktische Übung: Verfassen eines forensischen Abschlussberichts
Abschlussprojekt und Fallstudie
- Bearbeitung einer umfassenden Fallstudie
- Diskussion und Feedback
Am Ende des Kurses haben die Teilnehmer umfassende praktische Kenntnisse in Windows-Forensik sowie den Umgang mit den wichtigsten Tools erworben.
