X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 

Computerforensik-Seminarangebot

Nächste allgemein zugängliche Schulungstermine für gemischte Teilnehmergruppen:

Wenn wir Sie über künftige Termine informieren dürfen, geben Sie bitte hier Ihre E-Mail-Adresse ein:

Unsere Seminare bieten wir Behörden und Unternehmen für größere Gruppen auch als Vor-Ort-Schulung an, in Deutsch und Englisch. Wenn Sie daran interessiert sind, nehmen Sie bitte per E-Mail Kontakt mit uns auf und geben Sie Ihre Adresse und eine ungefähre Anzahl möglicher Teilnehmer an, so daß wir Ihnen ein individuelles Angebot erstellen können. Vielen Dank.

Liste früherer Schulungen und Teilnehmerältere Liste (2005-2009)

X-Ways Forensics, 4 Tage

In diesem Seminar dreht sich alles um die systematische und effiziente Untersuchung von Datenträgern bei konkreter Anwendung unserer Software „X-Ways Forensics“. Die Teilnahme berechtigt Sie zum Ablegen der X-PERT-Prüfung (empfehlenswert wäre dafür zusätzlich die Teilnahme am Aufbaukurs X-Ways Forensics II, s. u.).

Wir vermitteln ausführlich und systematisch fast alle für die EDV-Beweismittelsicherung und -auswertung wichtigen Funktionen in WinHex und X-Ways Forensics. Praktische Übungen decken die meisten Aspekte forensischer Untersuchungen ab. Die Schulung ist so ausgelegt, daß die Teilnehmer praktisch alle Funktionen zeitgleich mit dem Dozenten anhand von Beispiel-Images auf dem eigenen Computer selbst nachvollziehen und ausprobieren und jederzeit Fragen stellen können. Diverse Themengebieten werden mit theoretischem Hintergrund erklärt (Schlupfspeicher, teilweise initialisierter Speicher, wie Hash-Datenbanken intern aufgebaut sind, wie gelöschte Partitionen automatisch gefunden werden, mit welchen Methoden X-Ways Forensics intern gelöschte Dateien findet usw. usf.). Andere Themen sind das forensisch einwandfreie Sichern von Datenträgern (Erstellung von Image-Dateien) und Klonen, Datenrettung, Suchfunktionen, dynamische Filter, u. v. a. m. bis zur Berichterstellung. Mit Schulungsunterlagen für die Nachbereitung. Grundlegende Kenntnisse der Computerforensik werden vorausgesetzt. 

Die Teilnehmer lernen beispielsweise, wie man die denkbar gründlichste Übersicht über alle existierenden und gelöschten Dateien auf Datenträgern gewinnt, wie man am effizientesten nach Kinderpornographie sucht usw. Am Ende des 4. Tages können Sie Ihr neu erworbenes Wissen über X-Ways Forensics bei einem umfangreichen praktischen Abschlußtest erproben. Den Test können Sie einfach als weitere Übung für sich selbst ansehen oder ernster nehmen und vom Dozenten bewerten lassen. Zum Schluß wird eine Musterlösung vorgeführt.

• Grundeinstellungen in der Software treffen
       • Wichtige Pfadeinstellungen
       • Schreibgeschützt / editierbar / In-Place-Modzs; Unterschiede WinHex / X-Ways Forensics
       • Programmstarteinstellungen
       • Alternative Plattenzugriffsmethoden
       • Viewer-Programme
• Elemente der Benutzeroberfläche kennenlernen
       • Menüs und Werkzeugleisten
       • Verzeichnis-Browser (Icons, Sortiermöglichkeiten, Navigation, ...)
       • Virtuelle Dateien und Verzeichnisse
       • Falldatenfenster und Verzeichnisbaum
       • Der Asservat-Überblick
       • Modi: Disk/Partition/Volume vs Datei
       • Informationsspalte
• In Datenträgern und Dateisystemen navigieren
       • Offsets und Sektoren verstehen
       • Absolute, relative und rückwärts Positionierung
       • Gezieltes Aufsuchen bestimmter Dateisystemstrukturen (z.B. FILE Records in NTFS, Inodes in ext*)
• Daten-Dolmetscher verstehen
       • Verfügbare Konvertierungsoptionen
       • Wie bekommt man den richtigen Wert?
• Datenträger-Sicherungen (Images) erstellen
       • Roh-Images vs Evidence-File
       • Schnelle, adaptive Komprimierung
       • Integrierte Verschlüsselung
• Fall erzeugen, Asservate hinzufügen
• Hash-Berechnung und -Prüfung
• Effiziente Benutzung der Galerie und Hautfarbanteilsberechnung
• Versteckte Daten entdecken in alternativen Datenströmen, Host-Protected Areas (HPA) und Dateien mit falscher Dateiendung
• Vorschauansicht
• Kalenderansicht und Ereignisliste (Timeline)
• Registry Viewer und Registry-Berichte, Registry-Berichtsdefinitionen
• Arbeiten mit dem Verzeichnis-Browser
       • Rekursive Auflistung von Verzeichnissen und ganzen Datenträgern
       • Spalten-Sichtbarkeit und -Arrangement
       • Zelleninhalte kopieren
       • Auswählen, Markieren, Unterdrücken, Einsehen und Öffnen von Dateien
       • Wiederherstellen/Kopieren von Dateien
       • Duplikate anhand ihres Hash-Wertes identifizieren
       • Effizientes Navigieren der Dateisystem-eigenen Datenstrukturen
• Filter-Funktionen
       • existierend, ehemals existierend
       • markiert, nicht markiert
       • eingesehen, nicht eingesehen
       • nicht unterdrückt, unterdrückt
       • Nach Namen, auch mehrere simultan: exakter Name, mit Jokerzeichen, Suche in Dateinamen, mit GREP
       • Nach Pfad, auch mehrere simultan
       • Nach Typ - exakter Typ, mehrere Typen, ganze Kategorie, mehrere Kategorien
       • Nach Dateigröße
       • Nach einem oder mehreren Zeitstempeln
       • Nach Attribut: ADS, Kompression, Verschlüsselung, E-Mail (ungelesen, mit Anhang), Video-Einzelbild, ...
• Berichtstabellen erzeugen und Berichtstabellen-Verknüpfungen erstellen
• Berichtstabellen zum Filtern und Klassifizieren verwenden
• Berichte erstellen: Hauptteil, Berichtstabellen und Protokoll
• Datei-Überblick erweitern:
       • Besonders intensive Dateisystem-Datenstruktur-Suche nach ehemals existierenden Daten
       • Datei-Header-Signatur-Suche nach ehemals existierenden Daten, die über Dateisystem-Metadaten nicht identifizierbar sind
       • Dateitypen mit Signaturen und Algorithmen überprüfen
       • Interne Metadaten aus diversen Dateitypen extrahieren
       • Browser-History für Internet Explorer, Firefox, Safari, Chrome analysieren
       • Windows Event Logs (evt und evtx) analysieren
       • Inhalt von ZIP-, RAR-, u.a. Archiven mit aufnehmen
       • E-Mails extrahieren aus PST, OST, Exchange EDB, DBX, mbox (Unix-Postfächer, benutzt u.a. in Mozilla Thunderbird), AOL PFC, etc.
       • In Dokumenten und anderen Dateien eingebettete Bilder finden
       • Einzelbilder aus Video-Dateien erzeugen
       • Hautfarbanteilsberechnung und Schwarz-Weiß-Bild-Erkennung
       • Dateiformatspezifische Verschlüsselung identifizieren, statistische Verschlüsselungstests
• Die Hash-Datenbank
       • Einzelne oder mehrere Hash-Sets importieren
       • Eigene Hash-Sets erzeugen
       • Dateien mit existierenden Hash-Sets beim Datei-Überblick Erweitern abgleichen
• Diverse Datenrettungsmethoden
• Dateisignatur-Datenbank ergänzen
• Effiziente Benutzung von Such-Funktionen
       • Praktisch unbegrenzte Anzahl an Stichworten simultan
       • Mehrere Text-Kodierungen (Windows-Codepages, Mac-Codierungen, Unicode: UTF-16, UTF-8) simultan
       • Die vielen Vorteile der logischen gegenüber der physischen Suche
       • Suchen in Archiven, E-Mail-Archiven, kodierten Daten (z.B. PDF-Dateien)
       • GREP Suche
       • Logische Kombination mehrere Suchbegriffe bei der Ergebnisauswertung
       • Suchtreffer filtern nach den Dateien, die sie enthalten
• Base64, Uuencode u. a. dekodieren

Ziel ist es, Erkenntnisse aus den auf Datenträgern gespeicherten oder scheinbar bereits gelöschten Daten und Metadaten zu gewinnen, die für die Beantwortung einer gegebenen Fragestellung hilfreich sind, und sie mit einer Präzision zu dokumentieren, die gerichtstauglich ist.

Z. B. "Welche Dokumente wurden am 21.03.2012 abends verändert?"
"Was für Bilder wurden von wem, wie und wo versteckt?"
"Wer hat welche Internetseiten an welchem Tag abgerufen?"
"Welche Excel-Dokumente des Benutzers Meier enthalten das Wort 'Rechnung'?"
"Welche USB-Sticks wurden wann an einen Computer angeschlossen?"

X-Ways Forensics II, 2 Tage

Aufbaukurs für Fortgeschrittene, also erfahrene Anwender, die bereits alle grundlegenden Funktionen kennen, sowie vorherige Teilnehmer des 1. Kurses. Themen z. B. (aufgrund der beschränkten Zeit und Dozentenverfügbarkeit und aus anderen Gründen nicht alle garantiert):

• .e01-Dateiformat
• Minimalsicherungen erzeugen
• Bereinigte Sicherungen erzeugen

• Sektor-Überlagerung
• Arbeiten mit Datei-Containern
       • Container erzeugen, die verfügbaren Optionen verstehen
       • Dateien aus verschiedenen Quellen zum Container hinzufügen
       • Container schließen, optional konvertieren
       • Container als Asservate verwenden
• Finden und Analysieren gelöschter Partitionen
• RAID-Systeme rekonstruieren
       • Praktische Beispiele für RAID 0 und RAID 5
       • Erläuterung der zugrunde liegenden Datenanordnung
       • Hinweise, wie man die richtigen Parameter findet
• Dynamische Datenträger
• LVM2
• Verständnis der Ebenen, auf denen Dateidaten während der Analyse gelesen werden
• Arbeitsweise von X-Tensions
• NTFS-komprimierte, gelöschte Dateien manuell wiederherstellen
• Blockweises Hashen und Abgleichen
• Datenprofile (Blockanalyse-Funktion)
• Indexierung
• Registry-Bericht-Definitionen anpassen
• Schablonen

Speicherforensik, 1 Tag

Grundsätzliche Erklärung der virtuellen Speicherverwaltung (Intel, AMD; 32 Bit, 64 Bit)
• Page Tables
• PFN Database
• Auslagerungsdatei

Windows-Objektverwaltung im Zusammenhang
• Prozesse, Threads, Sockets, Dateien, Token, ...
• geladene Treiber
• angemeldete Datenträger
• Verwaltung von Plug-and-Play-Geräten
• Verwendung von Schablonen in X-Ways Forensics beim Navigieren zu Kernel-Objekten (Schwerpunkt)
• Arten der Bezugnahme auf Objekte, Arbeiten mit Referenzen

Wie man sich in einem Prozess-Adressraum orientiert.
• Process Environment Block (PEB)
• offene Handles
• gemappte Speicherbereiche
• geladene Module
• Heaps, Stack

Erstellung von Hauptspeicherabbildern
• hiberfil.sys

Besonderheiten bei der Suche in Speicherbereichen
• Alignment
• Endianness
• Speicher-Pools

Malware-Analyse (versteckte Prozesse, verdeckte Verbindungen, DKOM, Rootkits)
• verdächtige Referenzen aufdecken mittels Adressbereichsabgleich

Netzwerkforensik (Vorfallsanalyse)
• Ethernet-Pakete über Signatursuche
• Spuren von Verbindungen im Hauptspeicher auswerten (Schwerpunkt)

Die Schulung geht im wesentlichen auf Windows-Rechner (speziell XP) ein.

Dateisystem-Schulungen

Variable Kombination von Dateisystem-Schulungen mit ausführlicher Einführung in Grundprinzipien (binäre Datenspeicherung, Datentypen, Datumsformate) und in ausgewählte Dateisysteme, z. B. FAT12, FAT16, FAT32 (1/2 Tag), NTFS (1 Tag) und Ext2/Ext3/Ext4 (1/2 Tag). Angeboten werden die unten aufgeführten Kurse.

Indem Sie das exakte Funktionieren der Dateisysteme verstehen, können Sie selbst bei schwererwiegendem Datenverlust oder Datenbeschädigung manuell versuchen, Dateien retten, auch wenn es automatisch mit einer Software nicht mehr geht, das korrekte Funktionieren von Computerforensik-Software in einem konkreten Fall überprüfen und über die automatisch berichteten Angaben hinaus Metainformationen sammeln, die für gegebene Fragestellungen Aufschluß geben. Generell wird das Verständnis der von Computerforensik-Software präsentierten Daten, der internen Funktionsweise und der Beschränkungen von Computerforensik-Software damit verbessert.

Sofortiges eigenes Nachvollziehen aller Datenstrukturen und Zusammenhänge direkt am praktischen Beispiel mit WinHex. Durch diese Übungen bleibt das Gelernte besser im Gedächtnis haften. Erklärung der Auswirkungen von Dateilöschungen und Potentiale zum Wiederherstellen. Ziel ist es, sich am Ende selbständig zurechtzufinden und Daten mit potentieller Relevanz für die Computerforensik identifizieren zu können. Mit Schulungsunterlagen und Dokumentationen für die Nachbereitung. Zur Teilnahme wird empfohlen, grundlegende Informatikkenntnisse (nicht nur Computerkenntnisse) bereits mitzubringen.

FAT12, FAT16, FAT32, 1/2 Tag

FAT:
• Aufbau der FAT-Dateisysteme
• Boot Record
• Dateizuordnungstabelle (FAT)
• Verzeichniseinträge
• Auswirkung von Datei-Löschungen und Möglichkeit zum Wiederherstellen
• ...

NTFS, 1 Tag

• Bootsektor
• Master File Table (MFT)
• Struktur von FILE-Records
• Attribute in FILE-Records
• Data-Runs
• Datenkompression
• Attributlisten
• Organisation von Verzeichnissen in NTFS
• INDX-Datenstruktur
• Systemdateien von NTFS
• Datenkonsistenz unter NTFS
• Alternative Datenströme
• Encrypting File System (EFS: NTFS-Verschlüsselung)
• ...

Ext2/Ext3/Ext4, 1/2 Tag

• Grundlagen des Dateisystems
       • Layout der Blockgruppen
       • Superblock- und Gruppen-Deskriptoren-Backups
• Datenstrukturen im Superblock
       • Feature-Flags
       • Ext2-Revisionen
• Layout und Funktion der Gruppen-Deskriptoren
• Block- und Inode-Bitmaps
• Inode-Strukturen
       • File Mode
       • Block-Adressierung
       • Reservierte Inodes
• Verzeichnisverwaltung
• Ext4-Extents
• Ext4-Ausdehnung der Dateisystembeschränkungen
• Ext4-Zeitstempel- und andere Verbesserungen
• ....

XFS, 1/2 Tag (Voraussetzung: Ext2/Ext3/Ext4)

• IRIX-Vergangenheit, Linux-Gegenwart
       • Big Endian
       • Aehnlichkeiten mit und Unterschiede zu ext*
• Layout der Allokationsgruppen
• Superblock-Struktur
• Info-Sektoren der Allocationsgruppen
• Free Space + Free List
• Inode Info
       • Free Space B+Bäume
       • XFS-spezifische Formate für Inode- und Blocknummern
• XFS Inodes
       • File Mode
       • Attribut-Fork
• Inode-Formate und ihre jeweiligen Strukturen und Verwendungen
       • Device
       • Lokal
       • Extents
       • B+Baum
• XFS-Verzeichnisstrukturen
       • kleine und große Einträge für lokale Verzeichnisse
       • Einzel- und Multi-Block-Verzeichnisse

ReiserFS, Reiser4, 1 Tag

ReiserFS:
• ReiserFS-Block-Formate
• Superblock-Struktur
• Der Reiser-Baum
       • Baumorganisation
       • Schlüssel
       • Interne Baumknoten-Struktur
       • Blattknoten-Struktur
• Stat-Objekte
• Verzeichnisstrukturen
• Direkte und Indirekte Objekte
• Dateisystemnavigation
• Hans Reisers eigene Kritik

Reiser4:
• Extents statt Blocknummern-Listen
• Vom ReiserFS- zum Reiser4-Baum
• Reiser4-Superblock
• Der Reiser4-Baum
       • Baumorganisation
       • Schlüssel
       • Baumknoten-Struktur: Äste, Zweige, Blätter
       • Plugin-IDs für Knoten-Objekte
• Stat-Objekte
• Verzeichnisstrukturen

exFAT, 1/2 Tag

• Partitions-Layout
• Boot-Sector
• Dateizuordnungstabelle
• Verzeichniseinträge
       • Root-only-Eintragstypen
       • Metadaten-Einträge
       • Stream-Erweiterungen
       • Dateinamen
• Zeitzonen-Offsets

NTFS+XWFS2, 1 Tag

NTFS: s. o.
XWFS2 ist das Dateisystem in Datei-Containern von X-Ways Forensics und X-Ways Investigator. In 45 Minuten erklärbar, wenn zuvor NTFS erklärt wurde.


Schulung Schulungen Beschulung Kurs Kurse Seminar Seminare Training Bildung Weiterbildung Lehrgang Computer Forensik Computerforensik forensisch DV EDV IuK IT Ermittlung Beweis Beweissicherung Beweissuche Daten Datenrettung Datenwiederherstellung elektronisch digital Datenverarbeitung Untersuchung Sicherheit Analyse Software Werkzeug Werkzeuge