Anti-Forensik
Was ist Anti-Forensik?
Anti-ForensikTechniken, mit denen Angreifer oder datenschutzbewusste Akteure digitale forensische Untersuchungen erschweren, verzögern oder vereiteln.
Anti-Forensik bezeichnet alle gezielten Maßnahmen, digitale Spuren zu verbergen, zu zerstören oder zu fälschen, damit Ermittler den Ablauf nicht rekonstruieren können. Übliche Methoden sind sicheres Löschen und Wipen von Datenträgern, vollständige Festplattenverschlüsselung, Log-Bereinigung (wevtutil cl, journalctl-Rotation), Timestomping (Manipulation der $MFT-MACB-Zeiten), Verschleierung (Process Hollowing, In-Memory-Ausführung), Fileless-Angriffe, Steganografie, Log-Injection und Wegwerf-VMs. LOLBins reduzieren Artefakte zusätzlich. Forensische Teams begegnen dem mit Speicherforensik, Erfassung flüchtiger Daten, redundanter SIEM-Anbindung, WORM-Speicher und quellenübergreifender Bestätigung gemäß NIST SP 800-86.
● Beispiele
- 01
Ein Eindringling löscht Windows-Ereignisprotokolle mit wevtutil, um Anmeldespuren zu beseitigen.
- 02
Timestomping eines abgelegten Tools, damit dessen $MFT-Zeitstempel zu legitimen Systemdateien passen.
● Häufige Fragen
Was ist Anti-Forensik?
Techniken, mit denen Angreifer oder datenschutzbewusste Akteure digitale forensische Untersuchungen erschweren, verzögern oder vereiteln. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Anti-Forensik?
Techniken, mit denen Angreifer oder datenschutzbewusste Akteure digitale forensische Untersuchungen erschweren, verzögern oder vereiteln.
Wie schützt man sich gegen Anti-Forensik?
Schutzmaßnahmen gegen Anti-Forensik kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Anti-Forensik?
Übliche alternative Bezeichnungen: Counter-Forensik, Beweismittelvernichtung.