Basishandbuch für Computeruntersuchungen für Windows
Anhang: Ressourcen
Veröffentlicht: 11. Jan 2007
Dieser Anhang enthält Informationen zu verschiedenen Ressourcen für das Durchführen einer Computeruntersuchung.
Auf dieser Seite
Vorbereiten einer Computeruntersuchung in Ihrem Unternehmen Organisation
Arbeitsblätter und Beispieldokumente
Anzeigen von Computerkriminalität
Schulung
Tools
Vorbereiten einer Computeruntersuchung in Ihrem Unternehmen Organisation
Zum Vorbereiten einer Computeruntersuchung in Ihrem Unternehmen sollten Sie ein gängiges Toolkit für Computeruntersuchungen einsetzen. Es umfasst in der Regel Software und Geräte zur Ermittlung von Beweisen. Ein solches Toolkit enthält möglicherweise einen Laptopcomputer mit entsprechenden Softwaretools, verschiedene Betriebssysteme und Patches, Anwendungsmedien, Datensicherungsgeräte, unbeschriebene Medien, grundlegende Netzwerkkomponenten und Kabel. Das Toolkit muss u. U. im Laufe der Untersuchung um verschiedene Tools und Ressourcen erweitert werden, die Sie für Ihre Untersuchung benötigen.
Beachten Sie beim Aufbau und Einsatz eines Toolkits für Computeruntersuchungen die folgenden Richtlinien:
Entscheiden Sie vor Beginn der Untersuchung, welche Tools Sie einsetzen möchten. Zusätzlich zu Microsoft® Windows® Sysinternals und anderen in diesem Dokument erörterten Windows-Tools enthält das Toolkit in der Regel spezifische Software für Computerforensik, wie z. B. Encase von Guidance Software, das Forensic Toolkit (FTK) von AccessData oder ProDiscover von Technology Pathways.
Speichern und archivieren Sie die Tools. Sie benötigen möglicherweise eine Kopie der in der Untersuchung eingesetzten Tools und Software zur Computeruntersuchung, um zu beweisen, wie die Daten gesammelt und analysiert wurden.
Listen Sie alle zu untersuchenden Betriebssysteme auf und stellen Sie sicher, dass Sie über alle erforderlichen Tools zur Untersuchung verfügen. Sie können beispielsweise die weiter unten in diesem Anhang beschriebenen Windows Sysinternals-Tools wie PsInfo, PsLogList und ProcessExplorer einsetzen, um Computer mit Windows XP und Windows Server® 2003 zu untersuchen.
Stellen Sie ein Tool zum Sammeln und Analysieren von Metadaten bereit.
Stellen Sie ein Tool zum Erstellen von Bit-für-Bit- und logischen Kopien bereit.
Stellen Sie Tools zum Sammeln und Untersuchen flüchtiger Daten wie z. B. Systemstatusdaten bereit. Einige Versionen von Windows Sysinternals enthalten ListDLLs, LogonSessions, PendMoves, Autoruns und ProcessExplorer. Windows-Tools umfassen Systeminfo, Ipconfig, Netstat und Arp.
Nehmen Sie ein Tool zum Erstellen von Prüfsummen und digitalen Signaturen für Dateien und andere Daten in Ihre Toolliste auf, wie z. B. File Checksum Integrity Validator (FCIV). Dieses Tool ist über den Microsoft Knowledge-Base-Artikel 841290, Verfügbarkeit und Beschreibung des Programms "File Checksum Integrity Verifier", verfügbar.
Wenn Sie physische Beweise benötigen, sollte Ihr Toolkit eine Digitalkamera enthalten.
Außerdem sollte das Toolkit die folgenden Kriterien erfüllen:
Die Tools für die Datenbeschaffung müssen korrekt arbeiten. Eine genaue Datenerhebung ist in der Regel eher gegeben, wenn allgemein bekannte Forensiksoftware eingesetzt wird.
Der Zeitpunkt des letzten Zugriffs auf eine Datei darf durch die Tools nicht geändert werden.
Das Speichergerät für die Untersuchung muss forensisch steril sein, d. h., das Laufwerk darf vor dem Einsatz keine Daten enthalten. Ein Speichergerät kann durch Ausführen einer Prüfsumme auf forensische Sterilität überprüft werden. Wenn die Prüfsumme ausschließlich Nullen zurückgibt, enthält das Laufwerk keine Daten.
Hardware und Tools für die Untersuchung dürfen nur für den Computeruntersuchungsvorgang eingesetzt werden, nicht für andere Aufgaben.
Arbeitsblätter und Beispieldokumente
Die folgende Tabelle enthält eine Liste von Arbeitsblättern und Beispieldokumenten für eine Computeruntersuchung. Einige dieser Ressourcen sind als separate Word-Dokumente verfügbar und in der Datei des Microsoft Download Center enthalten, aus der Sie dieses Handbuch extrahiert haben. Andere können über einen Link zur Website des National Institute of Justice heruntergeladen werden.
Tabelle A.1: Arbeitsblätter und Beispieldokumente
Name des Dokuments |
Speicherort |
---|---|
Arbeitsblatt: Chain of Custody Log Documentation.doc Arbeitsblatt: Impact Analysis.doc Beispieldokument: Internal Investigation Report.doc |
Link zum Basishandbuch für Computeruntersuchungen für Windows im Microsoft Download Center. |
Computer Evidence Hard Drive Evidence Removable Media |
Anhang C. Beispielarbeitsblätter unter Forensic Examination of Digital Evidence: A Guide for Law Enforcement vom National Institute of Justice, einer Abteilung des US-amerikanischen Justizministeriums. |
Anzeigen von Computerkriminalität
Hinweis:
Ein Großteil der Informationen in diesem Abschnitt stammen von der Seite Reporting Computer, Internet-Related, or Intellectual Property Crime im Bereich „Computer Crime & Intellectual Property Section“ auf der Website des US-amerikanischen Justizministeriums.
Konsultieren Sie zunächst Ihren Rechtsberater, welche Vergehen im Bereich Computerkriminalität den entsprechenden Behörden auf kommunaler, Bundes-, Landes- oder internationaler Ebene gemeldet werden müssen, abhängig von der Schwere des Vergehens. Am wahrscheinlichsten ist es, dass Sie ein Vergehen zunächst auf kommunaler oder Landesebene melden. Wenn es sich um Computerkriminalität auf Bundesebene handelt, muss das Vergehen u. U. der lokalen Vertretung der entsprechenden Bundesagentur gemeldet werden. Diese Anweisungen beziehen sich nur auf die USA.
Die folgenden Behörden in den USA befassen sich mit der Untersuchung von Computerkriminalität:
Diese Behörden sind in den ganzen USA über lokale Büros vertreten. Kontaktinformationen finden Sie in Telefonbüchern und im Internet. Computerkriminalität auf Bundesebene kann per Telefon an das lokale Büro der entsprechenden Behörde gemeldet werden. Wenn Ihr Unternehmen Mitglied der Electronic Crimes Task Force (ECTF), InfraGard oder International High Technology Crime Investigation Association (HTCIA) ist, ist die Kontaktperson bei der Behörde wahrscheinlich bereits bekannt. Der Meldeprozess wird vereinfacht, wenn eine bereits bekannte Kontaktperson, die wiederum Ihr Unternehmen kennt, angesprochen wird.
Viele Behörden habe besonders ausgebildetes Personal, das sich auf Computerkriminalität spezialisiert.
Lokale Vollzugsbehörden
In manchen Situationen ist die Kontaktaufnahme mit einer lokalen Vollzugsbehörde die beste Lösung. Diese Stellen verfügen oft über ein spezielles, im Bereich Computerkriminalität geschultes Team zur Untersuchung eines Vorfalls. Zu diesen Stellen gehören die REACT Task Force in San Francisco, das CATCH Team in San Diego sowie andere Polizeibehörden.
Die folgende Tabelle soll Ihnen dabei behilflich sein, zu bestimmen, welche Behörde für welche Arten von Vergehen zu kontaktieren ist.
Tabelle A.2: Vollzugsbehörden für unterschiedliche Vergehensarten
Vergehen |
Zuständige Behörde |
---|---|
Kindesmisshandlung und Internetbetrug auf postalischer Basis |
|
Kinderpornografie und Kindesmisshandlung |
Lokale Polizeistelle Bei Importvergehen U.S. Immigration and Customs Enforcement |
Hacking (Eindringen in Computer) |
Internet Crime Complaint Center Lokales Team für Computerkriminalität oder Polizeistelle |
Vergehen im Bereich Copyright (Software, Filme, Tonaufnahmen) |
Bei Importvergehen U.S. Immigration and Customs Enforcement Internet Crime Complaint Center Lokales Team für Computerkriminalität oder Polizeistelle |
Banknoten- und Münzfälschung |
|
Identitätsdiebstahl oder Diebstahl von Kundendaten |
United States Secret Service (Financial Crimes Division) Internet Crime Complaint Center Lokales Team für Computerkriminalität oder Polizeistelle |
Bombendrohungen per Internet |
Lokales Büro des ATF-Außendienstes Lokales Team für Computerkriminalität oder Polizeistelle |
Internetbetrug und SPAM |
United States Secret Service (Financial Crimes Division) SPAM-E-Mail zu Wertpapier- oder Investment-Betrug – SEC Center for Complaints and Informant Tips Internet Crime Complaint Center Lokales Team für Computerkriminalität oder Polizeistelle |
Belästigung per Internet |
Lokales Team für Computerkriminalität oder Polizeistelle |
Kennwortbetrug |
Internet Crime Complaint Center Lokales Team für Computerkriminalität oder Polizeistelle |
Diebstahl von Firmengeheimnissen |
Lokales Team für Computerkriminalität oder Polizeistelle |
Markenbetrug und Produktfälschung |
Bei Importvergehen U.S. Immigration and Customs Enforcement Internet Crime Complaint Center Lokales Team für Computerkriminalität oder Polizeistelle |
Handel mit Sprengstoff, Brandsätzen oder Waffen über das Internet |
Lokales Büro des ATF-Außendienstes |
Schulung
Zumindest einige der Teammitglieder, die einen Vorfall untersuchen, sollten sich einer Schulung zu Computeruntersuchungen unterziehen. Ohne entsprechende Schulung wird sich die Untersuchung wahrscheinlich nicht effektiv gestalten. Nicht geschultes Personal könnte sich sogar negativ auf eine Untersuchung auswirken, wenn z. B. versehentlich wichtige Beweise vernichtet werden.
Eine Liste gemeinnütziger Agenturen, Organisationen, Behörden und akademischer Einrichtungen, die Schulungen im Bereich Computerforensik anbieten, finden Sie unter „Appendix G. Training Resources List“ in Forensic Examination of Digital Evidence: A Guide for Law Enforcement vom National Institute of Justice, einer Abteilung des US-amerikanischen Justizministeriums.
Tools
Keine Computeruntersuchung ist mit einer anderen identisch. Die eingesetzten Tools sollten zum Sammeln der benötigten Informationen geeignet sein. Es ist aber immer eine gute Idee, mehr Informationen als notwendig zu erfassen.
Dieser Abschnitt bietet Informationen über das Windows Sysinternals-Tool und andere Windows-Tools, die Ihnen bei der Durchführung einer internen Computeruntersuchung behilflich sein können. Die Tooltypen werden in der ersten Spalte der folgenden Tabelle als Symbole dargestellt:
Tabelle A.3: Tooltypen
Symbol |
Beschreibung |
---|---|
Dieses Symbol steht für ein Befehlszeilentool. |
|
Dieses Symbol steht für ein Tool mit grafischer Benutzeroberfläche, das installiert werden muss und Änderungen am Ziellaufwerk vornimmt. |
In den folgenden Tabellen finden Sie Informationen zu verschiedenen Tools, die für Computeruntersuchungen eingesetzt werden können.
Windows Sysinternals-Tools
Tabelle A.4: Informationen zu Windows Sysinternals-Tools
Tooltyp |
Name |
Beschreibung |
---|---|---|
Anzeige von Dateizugriff, Registrierungsschlüssel oder Windows-Diensten je nach angegebener Benutzergruppe. |
||
Anzeige, welche Benutzer auf welche Verzeichnisse, Dateien und Registrierungsschlüssel eines Computers Zugriff haben. Mithilfe dieses Tools können Sie feststellen, in welchen Bereichen Berechtigungen nicht korrekt eingerichtet wurden. |
||
Anzeige von Programmen, die beim Start eines Computers und bei Anmeldung des Benutzers automatisch gestartet werden (zeigt außerdem eine komplette Liste von Registrierungs- und Dateispeicherorten an, in denen die Einstellungen für das automatische Starten von Anwendungen konfiguriert werden können). |
||
Die Befehlszeilenversion des Autoruns-Programms (im vorherigen Eintrag beschrieben). |
||
Anzeige aller Festplattenaktivitäten. Fungiert in der Taskleiste wie eine Lichtanzeige für Softwareaktivitäten. |
||
Dienstprogramm für Grafikdatenträger, Datenträger-Viewer. |
||
Anzeigen der Datenträgerverwendung nach Verzeichnis. |
||
Anzeige aller Aktivitäten im Dateisystem in Echtzeit. |
||
Anzeige geöffneter Dateien und der entsprechenden Öffnungsprozesse. |
||
Anzeige aller zurzeit geladenen DLLs, einschließlich Ladeort und Versionsnummern (Ausdruck des vollen Pfadnamens geladener Module). |
||
Liste aktiver Anmeldesitzungen. |
||
Anzeige von Datei-Umbenennungen und Löschbefehlen, die beim nächsten Start des Computers vorgenommen werden. |
||
Anzeige der Aktivitäten bei seriellen und parallelen Ports (zeigt auch einen Teil der gesendeten und empfangenen Daten an). |
||
Anzeige von Dateien, Registrierungsschlüsseln und anderen Objekten, die in Prozessen geöffnet sind, sowie von DLLs, die diese Objekte geladen haben, Besitzern der Prozesse usw. |
||
Remoteausführung von Prozessen. |
||
Anzeige geöffneter Dateien. |
||
Anzeige von Informationen über einen Computer. |
||
Anzeige von Informationen über Prozesse und Threads. |
||
Anzeige von auf einem Computer angemeldeten Benutzern. |
||
Einträge in Ereignisprotokollen. |
||
Anzeige- und Steuerdienste. |
||
Anzeige aller Registrierungsaktivitäten in Echtzeit. |
||
Suche nach Rootkit-Malware. |
||
Scannen von Dateifreigaben und deren Sicherheitseinstellungen in einem Netzwerk, um falsch eingerichtete Berechtigungen auszuschließen. |
||
Anzeige alternativer NTFS-Datenströme. |
||
Suche nach ANSI- und UNICODE-Zeichenfolgen in Binärabbildern. |
||
Anzeige aktiver Sockets. |
||
Anzeige aller offenen TCP- und UDP-Endpunkte sowie des Prozessnamens, der die einzelnen Endpunkt besitzt. |
||
Anzeige von TCP-/IP-Informationen. |
||
Anzeige sicherheitsbezogener Aktivitäten wie Anmeldung, Abmeldung, Verwendung von Berechtigungen und Identitätswechsel. |
Windows-Tools
Tabelle A.5: Informationen zu Windows-Tools
Tooltyp |
Name |
Beschreibung |
---|---|---|
Arp |
Anzeige von ARP-Tabellen (Address Resolution Protocol). |
|
Date |
Anzeige der aktuellen Datumseinstellung. |
|
Dir |
Anzeige einer Liste von Dateien und Unterverzeichnissen. |
|
Doskey |
Anzeige des Befehlsverlaufs für eine offene CMD.EXE-Shell. |
|
Ipconfig |
Anzeige der Konfiguration des lokalen Computers. |
|
Net |
Aktualisierung, Reparatur oder Anzeige des Netzwerks bzw. der Netzwerkeinstellungen. |
|
Netstat |
Anzeige von Protokollstatistik und aktuellen Verbindungsinformationen. |
|
Time |
Anzeige der aktuellen Zeiteinstellung. |
|
Find |
Durchsuchen von Dateien nach einer Zeichenfolge. |
|
Schtasks |
Anzeige geplanter Aufgaben. |
|
Systeminfo |
Anzeige allgemeiner Informationen über den Computer. |
|
Vol |
Anzeige der Bezeichnung und Seriennummer des Datenträgervolumes, falls vorhanden. |
|
Hostname |
Anzeige des Hostnamensteils des vollen Computernamens. |
|
Openfiles |
Abfrage, Anzeige oder Trennung der Verbindung von offenen Dateien oder von Netzwerkbenutzern geöffneten Dateien. |
|
File Checksum Integrity Verifier. Zur Erstellung eines kryptografischen Hashs MD5 oder SHA1 für den Inhalt einer Datei. |
||
Notepad |
Zur Untersuchung von mit einer Datei verbundenen Metadaten. |
|
Reg |
Zum Anzeigen, Ändern, Exportieren, Speichern oder Löschen von Registrierungsschlüsseln, -werten und -strukturen. |
|
Sammeln von Netzwerkverfolgungsdaten aus der Befehlszeile. |
||
Sc |
Zur Kommunikation mit dem Dienstcontroller und den Diensten. (Eine Sc-Abfrage eignet sich zum Abrufen aller Dienste und deren Statusangabe.) |
|
Assoc |
Anzeige oder Änderung zugeordneter Dateinamenerweiterungen. |
|
Ftype |
Anzeige oder Änderung Dateitypen, die bei der Zuordnung von Dateinamenerweiterungen verwendet werden. |
|
Gpresult |
Festlegen des resultierenden Richtliniensatzes. |
|
Tasklist |
Liste laufender Prozesse und geladener Module. |
|
Anzeige des Status von Sicherheitspatches und anderer bekannter Sicherheitsschwachstellen. |
||
Rsop.msc |
Anzeige des resultierenden Richtliniensatzes. |
|
Sammeln von Diagnoseinformationen über Remotedienste und Speichern dieser Informationen in einer Datei. |
In diesem Beitrag
- Übersicht
- Kapitel 1: Bewerten der Situation
- Kapitel 2: Sammeln der Daten
- Kapitel 3: Analysieren der Daten
- Kapitel 4: Erstellen eines Untersuchungsberichts
- Kapitel 5: Angewandtes Szenariobeispiel
- Anhang: Ressourcen
- Danksagung
Download (engl.)
Laden Sie das Basishandbuch für Computeruntersuchungen für Windows herunter.
Update Notification (engl.)
Melden Sie sich an, um Informationen über Aktualisierungen und neue Veröffentlichungen zu erhalten.
Feedback (engl.)
Senden Sie uns Ihre Kommentare oder Vorschläge.
7 von 8 |