Add section Anwendungsanalyse

FFI/ForensInf2_Zusammenfassung.tex

@@ -168,6 +168,53 @@
 			\item ein Programm schreibt f\"ur gewisse Zeitscheiben bestimmte Werte in den Speicher,
 			umso weniger verschiedene dieser Werte wir sehen umso Atomarer ist der Vorgang.
 		\end{itemize}
+
+	\section{Anwendungsanalyse}
+	Zwei generelle Methoden:
+	\begin{itemize}
+		\item Ereignismethode
+			\begin{itemize}
+				\item Anwendungen ausf\"uhren und Aktivit\"aten nachvollziehen
+				\item Pr\"azise, aber oft unvollst\"andig
+				\item H\"aufig erste Schritt um schnell interessante Dateien zu ermitteln
+				\item Tools: sysinternal-Tools wie filemon oder regmon
+			\end{itemize}
+		\item Zustandsmethode
+			\begin{itemize}
+				\item Schnappsch\"usse des Dateisystems vergleichen
+				\item Vollst\"andig, aber mit Rauschen
+				\item H\"aufig zweiter Schritt um identifizierte Dateien zu best\"atigen oder Dateiformate zu verstehen
+				\item Tools: fiwalk, idifference, SandboxTools (u.a. Cukoo)
+			\end{itemize}
+	\end{itemize}
+	\subsection{Browser-Analyse und -Spuren}
+	Spuren die beim Aufrufen einer Webseite im Browser entstehen:
+	\begin{itemize}
+		\item Eintrag der eingegebenen URL in der Browser-History Datei
+		\item Eintrag weiterer \enquote{nachgeladener} URLs in der Browser-History Datei
+		\item Gecachte Objekte wie html, javascript oder Bilder im Browser-Cache
+		\item Cookies
+		\item Potentiell auch gecachte DNS-Eintr\"age auf dem System oder im Netzwerk
+	\end{itemize}
+	Im \textit{private browsing}-Mode vieler Browser verhindern dass Cookies-, History- oder Cache-Eintr\"age w\"arend des Browsens enstehen.
+	Potentiell enstehen trotzdem folgende Spuren:
+	\begin{itemize}
+		\item Objekte aus Webseiten die noch im Hauptspeicher zu finden sind, mittels Live-Analyse
+		\item Passive DNS-Replikationen in der DNS-Route oder DNS-Cache auf dem System
+		\item Browser-Extensions die Informationen zur private-Mode Sessions leaken
+		\item Teilweise werden Informationen w\"arend der private-Mode Session gespeichert und erst beim Beenden der Session gel\"oscht, dies k\"onnte jedoch reversibel sein, oder bei Crashes erst gar nicht stattfinden
+	\end{itemize}
+	Um Webanwendungen zu Analysieren l\"asst sich wie bei der Anwendungsanalyse die Ereignis- oder Zustandsmethode f\"ur die Browser-Applikation verwenden.
+	Zus\"atzlich lassen sich mittels Tools wie der Burp-Suite gezielt das Verhalten der Webanwendungen mittels der Ereignismethode analysieren.
+	Hierf\"ur wird meist ein Proxy verwendet durch den die Analyseumgebung alle Requests und Responses und somit auch alle Objekte der Webanwendung mitschneidet.
+	\subsubsection{Browser Fingerprinting}
+	Browser Fingerprinting nach Panopticlick:
+	\begin{quote}
+	\enquote{Browser fingerprinting} is a method of tracking web browsers by the configuration and settings information they make visible to websites, rather than traditional tracking methods such as IP addresses and unique cookies.
+	The site you are visiting may choose to analyze your browser using JavaScript, Flash and other methods (just like Panopticlick does). It may look for what types of fonts you have installed, the language you’ve set, the add-ons you’ve installed, and other factors. The site may then create a type of profile of you, tied to this pattern of characteristics associated with your browser, rather than tied to a specific tracking cookie.
+	If your browser is unique, then it’s possible that an online tracker can identify you even without setting tracking cookies. While the tracker won’t know your name, they could collect a deeply personal dossier of websites you visit.
+	\end{quote}
+
 	\section{Versteckte Daten in Dokumenten}
 			\begin{itemize}
 				\item \"Anderungshistorie von (Word-)Dukumenten