Digitale Forensik für Microsoft Windows

Kursinhalte

Grundlagen der digitalen Forensik und Einführung in Windows Forensik

Einführung in die digitale Forensik (Rückblick)

• Grundbegriffe und Prinzipien
• Rechtliche Rahmenbedingungen (Überblick)
• Incident Response und der Stellenwert der Forensik in der IT-Sicherheit

Windows-Architektur und Dateisystem

• Grundlagen von NTFS
• Registry-Struktur und wichtige Bereiche
• Überblick über Windows-Logs

Forensische Werkzeuge

• Überblick über klassische Tools (EnCase, FTK Imager, Autopsy, X-Ways…)
• Unterschiede zwischen Open-Source und kommerziellen Tools

Disk-Imaging und Datensammlung

• Disk-Imaging: Vorgehen und Best Practices
• Erstellen eines forensischen Images (Hands-On)
• Prüfsummen und Integritätsprüfung

Windows-spezifische Forensik und Artefakteanalyse

Speicher- und RAM-Forensik

• Grundlagen der Speicheranalyse
• Wichtige RAM-Artefakte (Prozesse, Netzwerkverbindungen, offene Dateien)
• Praktische Übung: RAM-Dump mit Volatility analysieren

Analyse der Windows Registry

• Wichtige Registry-Schlüssel für die Forensik (MRU, Autostart, zuletzt geöffnete Dateien)
• Tools zur Analyse (Registry Explorer)
• Praktische Übung: Registry-Analyse

Event Logs und andere Windows-Artefakte

• Analyse von Windows-Ereignisprotokollen (Event Viewer, evtx-Dateien)
• Forensisch relevante Artefakte (Prefetch, LNK-Dateien, Recycle Bin)
• Praktische Übung: Analyse von Ereignisprotokollen und Artefakten
• Mit Hayabusa große Windows-Logs analysieren

Timeline-Analyse

• Erstellung und Analyse von Timelines (z.B. mit plaso/log2timeline)
• Konsolidierung von Artefakten zu einer Zeitlinie
• Timesketch im Einsatz
• Praktische Übung: Erstellung einer forensischen Zeitachse

Fortgeschrittene Forensik und Abschlussprojekte

Malware-Forensik und Persistenzmechanismen

• Erkennung von Malware auf Windows-Systemen
• Untersuchung von Persistenzmechanismen (Autostart-Einträge, Dienste)
• Praktische Übung: Analyse eines infizierten Binaries

Netzwerkforensik in Windows

• Analyse von Netzwerkaktivitäten
• Forensische Analyse von Protokollen (netstat, Wireshark etc.)
• Praktische Übung: Netzwerkforensik

Erstellung eines Abschlussberichts

• Umgang mit Beweismitteln und Präsentation der Ergebnisse
• Praktische Übung: Verfassen eines forensischen Abschlussberichts

Abschlussprojekt und Fallstudie

• Bearbeitung einer umfassenden Fallstudie
• Diskussion und Feedback

Am Ende des Kurses haben die Teilnehmer umfassende praktische Kenntnisse in Windows-Forensik sowie den Umgang mit den wichtigsten Tools erworben.