Wann

17/06/2024 - 19/06/2024    
Ganztägig

Wo

ETC-Partner
ETC-Partner, ETC-Partner

Veranstaltungstyp

  • Diese Forensik Schulung richtet sich an alle Teilnehmer*innen mit guten Administrationserfahrungen im Linux Bereich. Zumindestens sollten die Teilnehmer zuvor den Kurs „Linux 2 System Administration“ besucht haben um den Kursübungen folgen zu können.

Unternehmen schützen ihre IT-Systeme mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker oder Mitarbeiter erfolgreich einbrechen und Schaden anrichten. Darum ist es wichtig dass jede*r Administrator*inn forensische Analysen auf seinen Computer Systemen durchführen kann. Solche Analysen sind nicht nur für die Strafverfolgung interessant, sondern auch eine wichtige Tätigkeit, die Pentester, Security Spezialisten und Linux Troubleshooter durchführen müssen um feststellen zu können ob Systeme manipuliert wurden.

In dieser Schulung erlernen Sie die Grundlagen der Linux Computer Forensik und erhalten einen Einblick in die zahlreichen kostenlosen Forensik Werkzeuge. Die durchgeführten Analysen vertiefen darüber hinaus das Verständnis über die Linux Architektur. Dieser Kurs ist somit jedem fortgeschritten SUSE, Red Hat, und Debian Admin hilfreich.

Nach Abschluss dieses Seminars haben die Teilnehmer*innen Wissen zu folgenden Themen:

lagen der Computer Forensik
Source Forensik Werkzeuge
ard Linux Werkzeuge für Forensiker
Disk
system Layout
sische Daten Dumps mit dd, dcfldd und dc3dd erstellen
rherstellen von gelöschten Dateien
ime Analysen
h Kit
sische Dateisystem Analyse mit Sleuth Kit (ext2/3/4 und NTFS Dateisysteme)
y Dump
ility Framework
rten eines Linux Memory Dumps

Linux Administrator*innen

  1. Grundlagen der Computer Forensik
    1. Ziele der Emittlung
    2. Phasen der Ermittlung
    3. Sichern der Beweiskette
    4. Flüchtige Daten und Speichermedien sichern
  2. Open Source Forensik Werkzeuge
    1. Kali Linux im Forensik Modus
    2. Sleuthkit und Autopsy Forensik Browser
    3. Volatility Framework
  3. Standard Linux Werkzeuge für Forensiker
    1. cat-Varianten, grep-Varianten, split, lsof, …
    2. hexdump, xxd, od
    3. Erstellen von Hashes
    4. Dateitypen analysieren mit strings und Magic Number
    5. Log Dateien auswerten
  4. Hard Disk
    1. Geometry und Aufbau
    2. Blöcke, Sektoren und Cluster
    3. Partitionsschemas
    4. Aufbau des Master Boot Record
    5. Sektorgröße (512b, 512e, 4Kn)
    6. fdisk Varianten und ihre Darstellung im Detail
  5. Dateisystem Layout
    1. File System Abstraction Model
    2. Bootblock, Superblock, Inode Bitmap, Inode Table, Group Descriptor
    3. Inodes im Detail
    4. Slack Space
    5. Dateisystem Journal
  6. Forensische Daten Dumps mit dd, dcfldd und dc3dd erstellen
    1. Unterschiede zwischen den dd-Varianten
    2. if= und of= Varianten im Detail
    3. dd und die Blockgrößen
    4. dd Fortschrittsanzeigen
    5. fortgeschrittenes Imagen mit bs=, count= und seek=
    6. Output Konvertierung mit conv=
    7. Splitten und Komprimieren von RAW Images
    8. Imagen über das Netzwerk mit netcat bzw. ssh
    9. Behandeln von defekten Blöcken während des Image Vorganges
    10. Erstellen von Hashes zur Beweissicherung
    11. Image Formate im Vergleich (RAW, EWF, FTK Smart, AFF)
    12. Sicheres Löschen von Hard Disks, Partitionen und einzelnen Dateien
  7. Wiederherstellen von gelöschten Dateien
    1. Partitionen und Images mit strings analysieren
    2. File Descriptor und laufende Prozesse
    3. extundelete und ext3/4 Dateisysteme
    4. Linux Dateisytem Journal
  8. MAC Time Analysen
    1. Modification Time
    2. Access Time
    3. Change Time
    4. Create und Birth Time
    5. Analyse mit istat, debugfs und xfs_io
  9. Sleuth Kit
    1. Sleuth Kit Werkzeuge im Detail (fsstat, mmls, jls, jcat, ils, …)
  10. Forensische Dateisystem Analyse mit Sleuth Kit (ext2/3/4 und NTFS Dateisysteme)
    1. Deleted File Identification and Recovery
    2. Physical String Search & Allocation Status
    3. Unallocated Extraction & Examination
    4. NTFS Examination File Analysis
    5. NTFS und Alternate Data Streams (ADS)
    6. NTFS Examination and Sorting Files
    7. Signature Search in Unallocated Space
  11. Memory Dump
    1. Aufbau des Physical Memory
    2. Vorgehensweise beim erstellen eines Memory Dumps
    3. Software und Hardware Werkzeuge
    4. Virtuelle Maschinen, Bare Metal, Hibernation File, Snapshots, …
    5. Linux Memory Dump mit LiME erstellen
  12. Volatility Framework
    1. Architektur, Plugins, OS Profile
    2. Linux Profile für Volatility Framework erstellen
  13. Auswerten eines Linux Memory Dumps
    1. Prozess Informationen auswerten
    2. Memory Dump von Prozessen erstellen
    3. Suchen von Passwörtern
    4. Offene Dateien, Netzwerk Ports, Sockets
    5. Spurensuche über die Bash History
    6. Suchen nach Keyboard Loggern
    7. Suchen nach Malware
    8. und vieles mehr

https://www.etc.at/seminare/LIFK