● 50 entries

Forensik und Incident Response

$UsnJrnl ($J)Das NTFS-Update-Sequence-Number-Aenderungsjournal protokolliert jede Dateisystemoperation und liefert Forensikern eine hochaufloesende Timeline von Erstellung, Aenderung und Loeschung.
Amcache.hveWindows-Registry-Hive, die detaillierte Metadaten (inkl. SHA-1) zu jedem auf dem System gelaufenen oder vorhandenen Executable speichert und damit auf modernem Windows starken Nachweis fuer Programmausfuehrung liefert.
Analyse der Windows-RegistryForensische Untersuchung der Windows-Registry-Hives zur Wiederherstellung von Konfiguration, Benutzeraktivität und Hinweisen auf Programmausführung oder Persistenz.
Anti-ForensikTechniken, mit denen Angreifer oder datenschutzbewusste Akteure digitale forensische Untersuchungen erschweren, verzögern oder vereiteln.
ArtefaktanalyseUntersuchung digitaler Spuren, die Betriebssysteme und Anwendungen hinterlassen, um Benutzeraktionen, Programmausführung und Angreiferverhalten zu rekonstruieren.
AutopsyOpen-Source-Digital-Forensik-Plattform von Brian Carrier und Basis Technology, die eine grafische Oberflaeche fuer The Sleuth Kit bietet und zahlreiche Analysemodule mitbringt.
BeweismittelerfassungBelastbare Erhebung digitaler Beweise aus Systemen, Netzwerken und Cloud-Diensten mithilfe forensisch fundierter Werkzeuge und Verfahren.
BeweismittelketteLückenlose, dokumentierte Aufzeichnung jeder Person, jedes Orts und jeder Handlung in Bezug auf ein Beweismittel von der Sicherstellung bis zur Vernichtung.
BeweissicherungForensische Disziplin, digitale Beweise vor Veränderung, Verlust oder Verunreinigung zu schützen, damit sie während der Ermittlungen verwertbar und verlässlich bleiben.
Cellebrite UFEDEine Produktfamilie fuer Mobilforensik des israelischen Anbieters Cellebrite, die Daten von Smartphones, Drohnen, SIM-Karten und anderen Geraeten extrahiert, dekodiert und analysiert.
Cloud-ForensikForensische Untersuchung cloudgehosteter Infrastruktur, Anwendungen und SaaS-Dienste mittels Provider-APIs, Audit-Logs und ephemerer Ressourcen.
DatenträgerforensikUntersuchung nichtflüchtiger Speichermedien (HDD, SSD, USB), um Dateisystem-, Anwendungs- und Betriebssystemartefakte wiederherzustellen und auszuwerten.
dd (Raw-Disk-Image)Eine flache Bit-fuer-Bit-Kopie eines Speichergeraets, erzeugt mit dem Unix-Tool dd (oder kompatiblen Werkzeugen), ohne Kompression, Metadaten oder blockweise Hashes.
DFIR (Digitale Forensik und Incident Response)Kombinierte Disziplin, die digitale forensische Ermittlung und Incident Response zusammenführt, um Vorfälle zu erkennen, einzudämmen, zu bereinigen und auszuwerten.
Digitale ForensikWissenschaftliche Disziplin zur Identifikation, Sicherung, Analyse und gerichtsfesten Dokumentation digitaler Beweise aus Computern, Netzwerken und Geräten.
E01-Forensik-Image-Format (EnCase)Ein von Guidance Software fuer EnCase eingefuehrtes Forensik-Image-Format, das die Akquise in komprimierten, segmentierten Dateien mit Metadaten und Pruefsummen ablegt.
EnCaseEnCase ist eine kommerzielle Digital-Forensik-Produktfamilie von OpenText (urspruenglich Guidance Software), die seit den spaeten 1990er-Jahren von Strafverfolgungsbehoerden und Unternehmen genutzt wird.
EZ Tools von Eric ZimmermanEine kostenlose Sammlung von Windows-DFIR-Tools (CLI und GUI) von Eric Zimmerman zum Parsen gaengiger forensischer Artefakte und zum Erstellen von Zeitlinien.
File CarvingEine forensische Technik, die Dateien aus nicht zugewiesenem Speicher oder Rohdaten anhand von Dateisignaturen, Headern und Footern wiederherstellt, ohne Dateisystem-Metadaten zu nutzen.
Forensik-ToolkitAllgemeiner Begriff fuer eine validierte Sammlung von Hardware, Software und Verfahren, die ein digital-forensischer Sachverstaendiger zur Akquise, Sicherung und Analyse von Beweisen nutzt.
Forensische BereitschaftDie vorbereitete Fähigkeit einer Organisation, digitale Beweise bei Vorfällen oder rechtlichen Fragen mit minimaler Störung zu erfassen, zu sichern und zu analysieren.
Forensische Hash-VerifikationPraxis, kryptografische Hashes (typischerweise MD5 und SHA-256) von forensischen Images und Quellmedien zu berechnen und abzugleichen, um die Integritaet der Beweise nachzuweisen.
Forensische ImageerstellungBitgenaue Kopie eines Speichermediums, durch kryptografische Hashes verifiziert, zur Analyse und als gerichtsfestes Beweismittel.
FTKForensic Toolkit (FTK) ist eine kommerzielle Digital-Forensik-Suite, urspruenglich von AccessData entwickelt und heute im Besitz von Exterro, fuer Akquise, Indexierung und Analyse von Computer-Beweismitteln.
GrayKeyEine dedizierte Hardware-Software-Appliance von Grayshift (jetzt Magnet Forensics), die von Strafverfolgungsbehoerden zum Entsperren und Extrahieren von Daten aus gesperrten iOS- und Android-Geraeten genutzt wird.
hiberfil.sysKomprimierte Windows-Ruhezustandsdatei mit einem fast vollstaendigen Snapshot des physischen Speichers zum Zeitpunkt des Hibernate; ermoeglicht forensischen RAM-Zugriff auf einem ausgeschalteten System.
Incident ResponseStrukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
Incident-Response-PlanDokumentiertes, freigegebenes Playbook, das festlegt, wie eine Organisation Cybervorfälle vorbereitet, erkennt, eindämmt, bereinigt und auswertet.
Jump ListsAnwendungsbezogene Verlaufsdateien, indiziert ueber Windows-AppIDs, die die zuletzt genutzten Dateien und Aufgaben eines Nutzers festhalten und Dateizugriffe einem konkreten Programm zuordnen.
KAPE (Kroll Artifact Parser and Extractor)Ein Windows-Triage-Tool von Kroll, das forensische Artefakte von Live-Systemen oder Images einsammelt und mit Parser-Modulen direkt auswertbare Ergebnisse erzeugt.
Log-AnalyseSystematische Auswertung von System-, Anwendungs- und Sicherheits-Logs, um sicherheitsrelevante Ereignisse zu erkennen, zu untersuchen und zu rekonstruieren.
Magnet AXIOMKommerzielle DFIR-Plattform von Magnet Forensics, die Festplatten, Mobil- und Cloud-Quellen einliest, Artefakte parst und in einer einheitlichen Review-Oberflaeche bereitstellt.
Malware-AnalyseStrukturierte Untersuchung einer Schadsoftware-Probe, um Funktion, Herkunft, Indicators of Compromise und Auswirkungen auf betroffene Systeme zu verstehen.
Memory-ForensikDisziplin zur Sicherung und Analyse des flüchtigen Arbeitsspeichers, um Prozesse, Netzwerkverbindungen, injizierten Code und In-Memory-Artefakte aufzudecken.
MFT (Master File Table)Die zentrale Metadatenstruktur von NTFS, die fuer jede Datei und jedes Verzeichnis einen 1024-Byte-Eintrag speichert und fast jede Windows-Dateisystem-Forensik traegt.
MobilforensikForensische Sicherung und Auswertung von Smartphones, Tablets und Wearables, um Kommunikation, App-Daten, Standort und weitere Artefakte zu gewinnen.
NetzwerkforensikErfassung, Speicherung und Analyse von Netzwerkverkehr und Metadaten zur Untersuchung von Sicherheitsvorfällen und Rekonstruktion gegnerischer Aktivität.
Order of VolatilityIn RFC 3227 festgelegte Erfassungsreihenfolge, die Incident-Respondern vorschreibt, die fluechtigsten Beweise zuerst zu sichern, bevor sie ueberschrieben oder verloren gehen.
pagefile.sysDie Windows-Auslagerungsdatei fuer virtuellen Speicher auf dem Systemvolume; sie kann Fragmente von Prozessspeicher enthalten, etwa Credentials, Schluessel, Kommandozeilen und entschluesselte Payloads.
PlasoOpen-Source-Python-Tool von Kristinn Gudjonsson, das automatisch Zeitstempel aus vielen Quellen extrahiert, um eine 'Super-Timeline' fuer die forensische Analyse zu erstellen.
Prefetch-DateienWindows-.pf-Dateien in C:\Windows\Prefetch, die den Programmstart aufzeichnen und einen belastbaren forensischen Beweis liefern, dass eine ausfuehrbare Datei auf einem System lief.
Reverse EngineeringDas Disassemblieren und Analysieren kompilierter Software, Firmware oder Hardware, um Aufbau, Verhalten und Innenleben zu rekonstruieren.
ShellbagsRegistry-Schluessel, die benutzerbezogene Explorer-Ordneransichten speichern und als forensischer Nachweis dienen, dass ein bestimmter Nutzer einen bestimmten Ordner geoeffnet hat, auch auf Wechselmedien oder Netzpfaden.
Shimcache (AppCompatCache)Windows-Registry-Wert, der Metadaten zu Executables fuer Anwendungs-Kompatibilitaetspruefungen speichert; historisch als Ausfuehrungsnachweis genutzt, mit wichtigen Interpretationseinschraenkungen.
SteganalyseForensische Disziplin zur Erkennung — und wenn möglich Extraktion — verborgener Informationen, die per Steganografie in scheinbar unverdächtige Dateien eingebettet wurden.
Tabletop-ÜbungDiskussionsbasierte Simulation, in der Beteiligte einen hypothetischen Cybervorfall durchspielen, um Pläne, Rollen, Entscheidungen und Kommunikation zu prüfen.
The Sleuth KitOpen-Source-Bibliothek und Kommandozeilen-Toolkit zur Low-Level-Analyse von Disk-Images und Dateisystemen, gepflegt von Brian Carrier.
Timeline-AnalyseEine forensische Technik, die die chronologische Abfolge von Ereignissen auf einem System rekonstruiert, indem Zeitstempel aus Dateien, Logs und anderen Artefakten korreliert werden.
Volatility FrameworkOpen-Source-Framework fuer Memory-Forensik, urspruenglich von Aaron Walters und der Volatility Foundation entwickelt, das digitale Artefakte aus fluechtigen Speicherabbildern (RAM) extrahiert.
Write BlockerHardware- oder Softwarewerkzeug, das nur Lesezugriff auf ein Speichergerät erlaubt und jede beweisverändernde Schreiboperation verhindert.