معرفی کتاب «جرمشناسی کامپیوتری: شناسایی، تحقیق و روشنسازی جرایم کامپیوتری» (با عنوان لاتین Computer-Forensik: Computerstraftaten erkennen, ermitteln, aufklären) نوشتهٔ Alexander Geschonneck، منتشرشده توسط نشر "dpunkt.verlag GmbH" در سال 2011. این کتاب در 4 صفحه، فرمت pdf، زبان آلمانی ارائه شده است.
Unternehmen und Behörden schützen ihre IT-Systeme mit umfangreichen Sicherheitsmaßnahmen. Trotzdem werden diese Systeme immer wieder für kriminelle Zwecke missbraucht bzw. von böswilligen Hackern angegriffen. Nach solchen Vorfällen will man erfahren, wie es dazu kam, wie folgenreich der Einbruch ist, wer der Übeltäter war und wie man ihn zur Verantwortung ziehen kann. Dafür bedient man sich der Computer-Forensik. Ähnlich der klassischen Strafverfolgung stehen auch für den Computer-Forensiker folgende Informationen im Vordergrund: Wer, Was, Wo, Wann, Womit, Wie und Weshalb. Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im »Fall der Fälle« als auch bei den Vorbereitungen auf mögliche Angriffe bzw. Computerstraftaten. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah, • wo man nach Beweisspuren suchen sollte, • wie man sie erkennen kann, • wie sie zu bewerten sind, • wie sie gerichtsverwendbar gesichert werden. Ein eigenes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland. In der 5. Auflage wurden aktuelle Fragestellungen hinzugenommen. So finden sich im Buch nun alle mit Windows 7 eingeführten computerforensischen Neuerungen ebenso wie die Analyse von Hauptspeicherinhalten. Alle statistischen Argumentationshilfen wurden an die aktuelle Bedrohungslage angepasst. Außerdem wurde der Tool-Bereich komplett aktualisiert und erweitert. Inhaltsverzeichnis......Page 6 Einleitung......Page 10 1.1 Bedrohung und Wahrscheinlichkeit......Page 20 1.2 Risikoverteilung......Page 21 1.3 Motivation der Täter......Page 25 1.4 Innentäter vs. Außentäter......Page 30 1.5 Bestätigung durch die Statistik?......Page 33 1.6 Computerkriminalität......Page 34 2.1.1 Footprinting......Page 42 2.1.3 Enumeration......Page 43 2.1.5 Hintertüren einrichten......Page 44 2.2 Beispiel eines Angriffs......Page 45 3.1 Der Incident-Response-Prozess......Page 54 3.2 Organisatorische Vorbereitungen......Page 55 3.3 Zusammensetzung des Response-Teams......Page 56 3.4.1 Vom Verdacht zum Beweis......Page 58 3.4.2 Netzseitige Hinweise......Page 59 3.4.3 Serverseitige Hinweise......Page 60 3.4.5 Externe Hinweise......Page 61 3.5 Incident Detection: Ein Vorfall wird gemeldet......Page 63 3.6 Sicherheitsvorfall oder Betriebsstörung?......Page 66 3.7 Wahl der Response-Strategie......Page 69 3.8 Reporting und Manöverkritik......Page 70 4.1 Ziele einer Ermittlung......Page 74 4.2 Anforderungen an den Ermittlungsprozess......Page 75 4.3 Phasen der Ermittlung......Page 76 4.4 Das S-A-P-Modell......Page 77 4.5 Welche Erkenntnisse kann man gewinnen?......Page 79 4.6 Wie geht man korrekt mit Beweismitteln um?......Page 86 4.6.1 Juristische Bewertung der Beweissituation......Page 87 4.6.2 Datenschutz......Page 88 4.6.4 Bewertung der Beweisspuren......Page 91 4.6.5 Durchgeführte Aktionen dokumentieren......Page 92 4.6.6 Beweise dokumentieren......Page 93 4.6.7 Mögliche Fehler bei der Beweissammlung......Page 95 4.7 Flüchtige Daten sichern: Sofort speichern......Page 97 4.8 Speichermedien sichern: Forensische Duplikation......Page 100 4.8.1 Wann ist eine forensische Duplikation sinnvoll?......Page 101 4.8.2 Geeignete Verfahren......Page 102 4.9 Was sollte alles sichergestellt werden?......Page 103 4.10.1 System läuft nicht (ist ausgeschaltet)......Page 105 4.11 Untersuchungsergebnisse zusammenführen......Page 106 4.12 Häufige Fehler......Page 108 4.13 Anti-Forensik......Page 110 5.1 Was kann alles analysiert werden?......Page 114 5.2 Analyse des File Slack......Page 116 5.3 Timeline-Analysen......Page 120 5.4 NTFS-Streams......Page 126 5.5 NTFS TxF......Page 127 5.6 NTFS-Volumen-Schattenkopien......Page 129 5.7 Windows-Registry......Page 133 5.8 Windows UserAssist Keys......Page 137 5.9 Windows Prefetch-Dateien......Page 138 5.10 Auslagerungsdateien......Page 141 5.11 Versteckte Dateien......Page 142 5.12 Dateien oder Fragmente wiederherstellen......Page 146 5.13 Unbekannte Binärdateien analysieren......Page 147 5.14 Systemprotokolle......Page 160 5.15 Analyse von Netzwerkmitschnitten......Page 162 6.1 Grundsätzliches zum Tooleinsatz......Page 164 6.2 Sichere Untersuchungsumgebung......Page 166 6.3 F.I.R.E.......Page 168 6.4 Knoppix Security Tools Distribution......Page 172 6.5 Helix......Page 173 6.6 ForensiX-CD......Page 178 6.7 C.A.I.N.E. und WinTaylor......Page 180 6.8 DEFT und DEFT-Extra......Page 183 6.9 EnCase......Page 184 6.10 dd......Page 189 6.11 Forensic Acquisition Utilities......Page 193 6.12 AccessData Forensic Toolkit......Page 194 6.13 The Coroner’s Toolkit und TCTUtils......Page 198 6.14 The Sleuth Kit......Page 199 6.15 Autopsy Forensic Browser......Page 204 6.16 Eigene Toolkits für Unix und Windows erstellen......Page 208 6.16.2 Incident Response Collection Report (IRCR)......Page 209 6.16.3 Windows Forensic Toolchest (WFT)......Page 211 6.16.4 Live View......Page 212 7.1.1 Die flüchtigen Daten speichern......Page 214 7.1.2 Forensische Duplikation......Page 220 7.1.3 Manuelle P.m.-Analyse der Images......Page 228 7.1.4 P.m.-Analyse der Images mit Autopsy......Page 235 7.1.5 Dateiwiederherstellung mit unrm und lazarus......Page 241 7.1.6 Weitere hilfreiche Tools......Page 242 7.2 Forensische Analyse unter Windows......Page 245 7.2.1 Die flüchtigen Daten speichern......Page 246 7.2.2 Analyse des Hauptspeichers......Page 249 7.2.3 Forensische Duplikation......Page 255 7.2.4 Manuelle P.m.-Analyse der Images......Page 260 7.2.5 P.m.-Analyse der Images mit dem AccessData FTK......Page 261 7.2.6 P.m.-Analyse der Images mit EnCase......Page 266 7.2.7 P.m.-Analyse der Images mit X-Ways Forensics......Page 269 7.2.8 Weitere hilfreiche Tools......Page 273 7.3 Forensische Analyse von mobilen Geräten......Page 288 7.3.1 Was ist von Interesse bei mobilen Geräten?......Page 289 7.3.3 Grundsätzlicher Ablauf der Sicherung von mobilen Geräten......Page 291 7.3.4 Software für die forensische Analyse von mobilen Geräten im Überblick......Page 293 7.4 Forensische Analyse von Routern......Page 304 8.1 Logbuch......Page 308 8.2 Den Einbruch erkennen......Page 310 8.3 Tätigkeiten nach festgestelltem Einbruch......Page 311 8.4 Nächste Schritte......Page 315 9.1.1 Ursprüngliche Quelle......Page 316 9.1.3 Private Adressen......Page 317 9.1.4 Weitere IANA-Adressen......Page 318 9.2.1 Traceroute Hopcount......Page 319 9.3 Routen validieren......Page 322 9.4 Nslookup......Page 326 9.5 Whois......Page 327 9.6 E-Mail-Header......Page 329 10.1 Organisatorische Vorarbeit......Page 332 10.2.2 Möglichkeiten der Anzeigenerstattung......Page 334 10.3 Zivilrechtliches Vorgehen......Page 337 10.4 Darstellung in der Öffentlichkeit......Page 339 10.5 Die Beweissituation bei der privaten Ermittlung......Page 340 10.6 Fazit......Page 344 Anhang......Page 346 A Tool-Überblick......Page 348 B C.A.I.N.E.-Tools......Page 356 C DEFT-Tools......Page 364 Literaturempfehlungen......Page 368 Index......Page 370
Unternehmen und Behörden schützen ihre IT-Systeme mit umfangreichen Sicherheitsmaßnahmen. Trotzdem werden diese Systeme immer wieder für kriminelle Zwecke missbraucht bzw. von böswilligen Hackern angegriffen.Nach solchen Vorfällen will man erfahren, wie es dazu kam, wie folgenreich der Einbruch ist, wer der Übeltäter war und wie man ihn zur Verantwortung ziehen kann. Dafür bedient man sich der Computer-Forensik. Ähnlich der klassischen Strafverfolgung stehen auch für den Computer-Forensiker folgende Informationen im Vordergrund: Wer, Was, Wo, Wann, Womit, Wie und Weshalb.Dieses Buch gibt einen Überblick darüber, wie man bei der computerforensischen Arbeit vorgeht - sowohl im 'Fall der Fälle' als auch bei den Vorbereitungen auf mögliche Angriffe bzw. Computerstraftaten. Ausführlich und anhand zahlreicher Beispiele wird gezeigt, welche Werkzeuge und Methoden zur Verfügung stehen und wie man sie effizient einsetzt. Der Leser lernt dadurch praxisnah,- wo man nach Beweisspuren suchen sollte,- wie man sie erkennen kann,- wie sie zu bewerten sind,- wie sie gerichtsverwendbar gesichert werden.Ein eigenes Kapitel befasst sich mit der Rolle des privaten Ermittlers, beschreibt die Zusammenarbeit mit den Ermittlungsbehörden und erläutert die Möglichkeiten der zivil- und strafrechtlichen Verfolgung in Deutschland.In der 5. Auflage wurden aktuelle Fragestellungen hinzugenommen. So finden sich im Buch nun alle mit Windows 7 eingeführten computerforensischen Neuerungen ebenso wie die Analyse von Hauptspeicherinhalten. Alle statistischen Argumentationshilfen wurden an die aktuelle Bedrohungslage angepasst. Außerdem wurde der Tool-Bereich komplett aktualisiert und erweitert.Stimmen zu den Vorauflagen:'.das Standardwerk zur Computer-Forensik.' c't'Eine Pflichtlektüre für IT-Verantwortliche, Geschäftsführer und Administratoren.' pcwelt.de'. uneingeschränkt empfehlenswert - nicht nur zur Aufklärung von Sicherheitsvorfällen, sondern auch zur effektiven Vor- und Nachbearbeitung.' DuD, Datenschutz und Datensicherheit
Hauptbeschreibung Dieses Buch zeigt, wie sich Unternehmen auf die Analyse von Computerstraftaten vorbereiten können, welche Maßnahmen ""im Fall der Fälle"" (und danach) zu ergreifen sind und wie man bei Bedarf Behörden einbezieht. Ausführlich beschreibt es Post-mortem-Analyse, Forensik- und Incident-Response-Toolkits, forensische Analyse unter Unix und Windows sowie bei PDAs und Routern. Für die 5. Auflage wurden fast alle Kapitel überarbeitet und erweitert, so wurden z.B. die Artefakte von Windows 7 sowie erweiterte Analysetechniken hinzugefügt und alle Toolbeschreibungen aktua