Die forensische Analyse ermittelt, was passiert ist, wie es passiert ist und wer dahintersteckt. Entscheidend ist die Wahrung der Beweisintegrität.

Chain of Custody¶

1. Fund dokumentieren (Zeit, Ort, wer)
2. Beweise vor der Analyse hashen (SHA-256)
3. Immer an einer Kopie arbeiten, nie am Original
4. Jeden Schritt protokollieren
5. Beweise sicher aufbewahren

Wichtige Werkzeuge¶

Disk image¶

dd if=/dev/sda of=disk.img bs=4M status=progress sha256sum disk.img > disk.img.sha256

Memory dump¶

sudo avml memory.dmp

Volatility — Memory-Analyse¶

vol3 -f memory.dmp windows.pslist vol3 -f memory.dmp windows.netscan

Log-Analyse¶

grep -r “Failed password” /var/log/auth.log | sort | uniq -c | sort -rn

Linux-Forensik¶

Timeline¶

find / -newer /tmp/reference_time -print 2>/dev/null

Persistenz¶

crontab -l ls -la /etc/cron.d/ systemctl list-unit-files –state=enabled

Netzwerk¶

ss -tulpn iptables -L -n

Wichtigste Erkenntnis¶

Beweise hashen, an Kopien arbeiten, dokumentieren. Volatility für Arbeitsspeicher, dd für Festplatten.