Mirror/latexandmore
1
0
Fork 0
mirror of https://gitlab.cs.fau.de/ik15ydit/latexandmore.git synced 2024-11-22 11:49:32 +01:00
Code Issues Projects Releases Wiki Activity

Fixed lots of typos and grammer in FFI

Browse Source
This commit is contained in:
Sheppy 2017-04-06 00:00:48 +02:00
parent 2755399ddd
commit 4c051f85b6
1 changed files with 71 additions and 63 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

134
FFI/ForensInf2_Zusammenfassung.tex
View File

@ -16,7 +16,7 @@
\begin{itemize} \begin{itemize}
\item Verbrechenstechnik (Wie wird das Verbrechen ausgef\"uhert?) \item Verbrechenstechnik (Wie wird das Verbrechen ausgef\"uhert?)
\item Kriminaltechnik (Einbringung von Sachbeweisen) \item Kriminaltechnik (Einbringung von Sachbeweisen)
\item Kriminaltaktik (Planm\"aßiges und Fallorientiertes Vorgehen, z.B. \item Kriminaltaktik (Planm\"a\ss iges und fallorientiertes Vorgehen, z.B.
Fahndung, Vernehmung, etc.) Fahndung, Vernehmung, etc.)
\item Organisation der Verbrechensbek\"ampfung \item Organisation der Verbrechensbek\"ampfung
\item Kriminalpsychologie (Schuldf\"ahigkeit, Motivforschung) \item Kriminalpsychologie (Schuldf\"ahigkeit, Motivforschung)
@ -37,7 +37,7 @@
\textbf{Wahrscheinlichkeit, dass die Vorbedingungen $H_{1,2}$ im Angesicht bestimmter Ergebnisse korrekt sind.} \textbf{Wahrscheinlichkeit, dass die Vorbedingungen $H_{1,2}$ im Angesicht bestimmter Ergebnisse korrekt sind.}
\[ Prob_1( E_1 | H_1 ) \hspace{2cm} Prob_2( E_1 | H_2 ) \] \[ Prob_1( E_1 | H_1 ) \hspace{2cm} Prob_2( E_1 | H_2 ) \]
\[ Prob_3( E_2 | H_1 ) \hspace{2cm} Prob_4( E_2 | H_2 ) \]\\ \[ Prob_3( E_2 | H_1 ) \hspace{2cm} Prob_4( E_2 | H_2 ) \]\\
\textit{Also wie wahrscheinlich sind die Kombinationen:}\\\\ \textit{Also wie wahrscheinlich sind also die Kombinationen:}\\\\
\begin{tabular}{|c|c|c|} \begin{tabular}{|c|c|c|}
Person A am Tatort & Beweise & Wahrscheinlichkeit \\\hline Person A am Tatort & Beweise & Wahrscheinlichkeit \\\hline
Ja & Ja & $Prob_1$ \\ Ja & Ja & $Prob_1$ \\
@ -54,17 +54,19 @@
das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist. das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist.
\section{Live-Analyse} \section{Live-Analyse}
\subsubsection*{Fl\"uchtige Daten} \subsubsection*{Fl\"uchtige Daten}
Informationen/Spuren die selbst bei da\"urhafter Stromzufuhr erhalten bleiben (im engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen werden als persistent bezeichnet. Informationen/Spuren die selbst bei dauerhafter Stromzufuhr nicht erhalten bleiben (im
engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen
werden als \textit{persistent} bezeichnet.
\begin{itemize} \begin{itemize}
\item Inhalte Cache, Hauptspeicher, CPU-Register \item Inhalte Cache, Hauptspeicher, CPU-Register
\item Netzwerkverkehr, Puffer in Netwerkhardware, offene Netzwerk Verbinndungen \item Netzwerkverkehr, Puffer in Netwerkhardware, offene Netzwerk Verbinndungen
\item laufende Prozesse, angemeldete Benutzer, offene Dateien \item laufende Prozesse, angemeldete Benutzer, offene Dateien
\end{itemize} \end{itemize}
Spuren m\"ussen: \textit{Spuren m\"ussen:}
\begin{itemize} \begin{itemize}
\item identifiziert \item identifiziert
\item gesichert \item gesichert
\item falls eine Sicherung nicht m\"oglich ist dokumentiert werden \item falls eine Sicherung nicht m\"oglich ist, dokumentiert werden
\end{itemize} \end{itemize}
\subsubsection*{Gr\"unde f\"ur Live-Analyse} \subsubsection*{Gr\"unde f\"ur Live-Analyse}
\begin{itemize} \begin{itemize}
@ -79,26 +81,25 @@
\end{itemize} \end{itemize}
\subsubsection*{Probleme} \subsubsection*{Probleme}
\begin{itemize} \begin{itemize}
\item System wird Ver\"andert \item System wird ver\"andert
\item Aktivit\"aten m\"ussen dokumentiert werden (z.B. Videoaufzeichnungen) \item Aktivit\"aten m\"ussen dokumentiert werden (z.B. Videoaufzeichnungen)
\item System kann sich wehren (bei Nutzung des Betriebssystemes sowieso, aber im \item System kann sich wehren (bei Nutzung des Betriebssystemes sowieso, aber im
schlimmesten Fall auch die Hardware) schlimmesten Fall auch die Hardware)
\item einige, z.B. Rootkits k\"onnen im laufenden Betrieb nicht zuverl\"assig erkannt werden \item einige, z.B. Rootkits, k\"onnen im laufenden Betrieb nicht zuverl\"assig erkannt werden
\end{itemize} \end{itemize}
\subsubsection*{Sniffing} \subsubsection*{Sniffing}
Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschl\"usselung m\"oglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden k\"onnen. Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschl\"usselung m\"oglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden k\"onnen.
\subsection{Hauptspeichersicherung} \subsection{Hauptspeichersicherung}
\begin{itemize} \begin{itemize}
\item eingesetzte Werkzeuge soll System nicht ver\"andern (Integirt\"at) \item eingesetzte Werkzeuge sollen System nicht ver\"andern (Integrit\"at)
\item gesicherte Information sollen den RAM korrekt repr\"asentierten (Korrektheit) \item gesicherte Information sollen den RAM korrekt repr\"asentierten (Korrektheit)
\item wie wird die Sicherung durch laufden Aktivit\"aten beeinflusst (Atomarit\"at) \item Sicherung soll nicht durch durch laufende Aktivit\"aten beeinflusst (Atomarit\"at)
\end{itemize} \end{itemize}
Man muss bedenken, dass sich der Hauptspeicher im laufenden System st\"andig \"andert und in der Man muss bedenken, dass sich der Hauptspeicher im laufenden System st\"andig \"andert und
Regel nicht Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen mit eigentlich nie Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen
einem mit einem Zeitstempel gespeichert werden.\\\\
Zeitstempel gespeichert werden.\\\\ \textit{Ein Hauptspeicherabbild ist korrekt, wenn alle Werte, die das Abbild enth\"alt, die
\textit{Ein Hauptspeicherabbild ist korrekt, falls alle Werte, die das Abbild enth\"alt, die
Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\ Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\
Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt} Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt}
bezeicht korrekt ist. bezeicht korrekt ist.
@ -117,11 +118,11 @@
\subsubsection*{Hauptspeicherdumps auf MAC} \subsubsection*{Hauptspeicherdumps auf MAC}
Relevantes Paper: \textit{Visualization in Testing a Volatile Memory Forensic Tool} Relevantes Paper: \textit{Visualization in Testing a Volatile Memory Forensic Tool}
\begin{itemize} \begin{itemize}
\item kein /dev/mem mehr auf ne\"uren Mac's, funktioniert nicht (richtig) ohne bestimmte \ \item kein /dev/mem mehr auf neueren Mac's, funktioniert nicht (richtig) ohne bestimmte \
Boot-Flags und funktioniert nicht auf einigen Intel-iMacs Boot-Flags und funktioniert nicht auf einigen Intel-iMacs
\item auf \"alteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und \item auf \"alteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und
konsistentes Haupspeicherabbild, allerdings auf Kosten von verloren (nicht mehr genutzten, konsistentes Haupspeicherabbild, allerdings auf Kosten von verloren (nicht mehr genutzten,
aber vielleicht trotzdem noch interessanten Speicherseiten) aber vielleicht trotzdem noch interessanten) Speicherseiten
\end{itemize} \end{itemize}
\subsubsection*{Dotplot} \subsubsection*{Dotplot}
Die meisten Fehler in forensischen Tools sind systematischer Natur, die Leute die dieses Paper Die meisten Fehler in forensischen Tools sind systematischer Natur, die Leute die dieses Paper
@ -132,9 +133,9 @@
weggefiltert) nicht sein/ist sehr weggefiltert) nicht sein/ist sehr
unwahrscheinlich. Das bedeutet, wenn zwei Seiten den gleichen Hash haben aka, schwarz sind, unwahrscheinlich. Das bedeutet, wenn zwei Seiten den gleichen Hash haben aka, schwarz sind,
muss das Tool in irgendeiner Weise daf\"ur verantwortlich sein - z.B. weil das \textit{dd}, die muss das Tool in irgendeiner Weise daf\"ur verantwortlich sein - z.B. weil das \textit{dd}, die
Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest.\\ Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest.
\textbf{Long story short: Nutzlose aber ganz lustige Spielerrei um Probleme mit forensischen \textbf{Long story short: Nutzlose, aber ganz lustige Spielerrei um Probleme mit forensischen
Tools die das System beeinflussen zu zeigen, Pr\"adikat 'nicht lesenswert'} Tools die das System beeinflussen zu zeigen. Pr\"adikat 'nicht lesenswert'.}
\subsubsection*{Evalution von Live-Analyse Techniken} \subsubsection*{Evalution von Live-Analyse Techniken}
\begin{itemize} \begin{itemize}
\item zwei identische VMs aufsetzen und Speicher in festen Abschnitten dumpen \item zwei identische VMs aufsetzen und Speicher in festen Abschnitten dumpen
@ -145,15 +146,15 @@
\item suprise, Unterschiedliche Tools, unterschiedlich viel Impact \item suprise, Unterschiedliche Tools, unterschiedlich viel Impact
\end{itemize} \end{itemize}
\begin{itemize} \begin{itemize}
\item das gleiche geht auch mit Xen aka dem ersetzen aller relevanten aufrufe durch \item das gleiche geht auch mit Xen aka dem Ersetzen aller relevanten Aufrufe durch
Hypercalls die man dann einzeln analysieren kann, am Ende auch nichts anderes als eine VM, Hypervisor-Calls die man dann einzeln analysieren kann, am Ende auch nichts anderes als
nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden Aufruf den eine VM, nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden
man sehen will). Aufruf den man sehen will).
\end{itemize} \end{itemize}
\noindent \includegraphics{pics/Integritybymemsize.png}\\ \noindent \includegraphics{pics/Integritybymemsize.png}\\
Ziehmlich dumme Grafik, denn was man hier wirklich sieht, ist dass der Memory-Footprint des Ziehmlich dumme Grafik, denn was man hier wirklich sieht, ist dass der Memory-Footprint des
Tools gleich bliebt, was nat\"urlich bedeutet, dass er relativ zum Gesamtspeicher einen Tools gleich bliebt, was nat\"urlich bedeutet, dass er relativ zum Gesamtspeicher einen
kleineren Impact hat umso gr\"osser der Speicher ist, also der Anteil des Unver\"anderten kleineren Impact hat, mit gr\"osserem der Speicher also der Anteil des Unver\"anderten
Speichers steigt. \textit{(Bild aus Folien S.99)} Speichers steigt. \textit{(Bild aus Folien S.99)}
\subsubsection*{Messung von Atomarit\"at} \subsubsection*{Messung von Atomarit\"at}
\begin{itemize} \begin{itemize}
@ -164,7 +165,7 @@
\begin{itemize} \begin{itemize}
\item \"Anderungshistorie von (Word-)Dukumenten \item \"Anderungshistorie von (Word-)Dukumenten
\item Versteckte Felder (Druckerinformationen, Benutzernamen, Versionsnummer etc..) \item Versteckte Felder (Druckerinformationen, Benutzernamen, Versionsnummer etc..)
\item "gesch\"arzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem \item "geschw\"arzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem
Postscript raus) Postscript raus)
\item Thumbnails/unbekannte EXIF-Daten (nach Zuschneiden eines Bildes kann eine Version \item Thumbnails/unbekannte EXIF-Daten (nach Zuschneiden eines Bildes kann eine Version
des urspr\"unglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das des urspr\"unglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das
@ -202,11 +203,11 @@
Das eigentlich interessante ist die Sensore Variance die in den Folien Photo Response Das eigentlich interessante ist die Sensore Variance die in den Folien Photo Response
Non-Uniformit genannt wird. Sie ist charakteristisch f\"ur einen Sensore und stellt Non-Uniformit genannt wird. Sie ist charakteristisch f\"ur einen Sensore und stellt
einen Fingerprint der Kamera da. Stichwort zum Herrausrechnen der Faktoren die uns einen Fingerprint der Kamera da. Stichwort zum Herrausrechnen der Faktoren die uns
nicht interessieren ist \textit{Flat field correction} (Aufnahme in Ausgeleuchteten nicht interessieren ist \textit{Flat field correction} (Aufnahme in ausgeleuchteten
Raum und dunklem Raum). Raum und dunklem Raum).
\textbf{But How...} \textbf{But How...}
\begin{itemize} \begin{itemize}
\item alle Bilder Tiefpass filtern, denn die Freq\"unz des Rauschens ist h\"oher als \item alle Bilder Tiefpass filtern, denn die Frequenz des Rauschens ist h\"oher als
die Freq\"unz des Bildinhaltes die Freq\"unz des Bildinhaltes
\item alle getiefpassten Bilder Mitteln \item alle getiefpassten Bilder Mitteln
\item ???? \item ????
@ -215,11 +216,11 @@
Bildrotation- oder Skalierung f\"uhrt zu anderem Fingerabdruck. Bildrotation- oder Skalierung f\"uhrt zu anderem Fingerabdruck.
('Desynchronisationsangriff') ('Desynchronisationsangriff')
\subsubsection*{Resampling Artefakte} \subsubsection*{Resampling Artefakte}
Wir gehen davon aus, dass ein Bild welches in ein anderes eingef\"uhgt wird vorher oft Wir gehen davon aus, dass ein Bild welches in ein anderes eingef\"ugt wird vorher oft
gedreht oder skaliert werden muss. gedreht oder skaliert werden muss.
\begin{itemize} \begin{itemize}
\item Skalierung oder Rotation ist effektiv eine Interpolation \item Skalierung oder Rotation ist effektiv eine Interpolation
\item Interpolation f\"uhrt zu einer Linearen Abh\"angigkeit in Pixelintensit\"aten \item Interpolation f\"uhrt zu einer linearen Abh\"angigkeit in Pixelintensit\"aten
\item Berechnung einer Wahrscheinlichkeit f\"ur jeden Pixel, dass er aus den \item Berechnung einer Wahrscheinlichkeit f\"ur jeden Pixel, dass er aus den
Nachbarpixeln interpoliert wurde \textit{(p-map)} und Fourier-Transformation auf Nachbarpixeln interpoliert wurde \textit{(p-map)} und Fourier-Transformation auf
die relevante Region die relevante Region
@ -237,7 +238,7 @@
\begin{itemize} \begin{itemize}
\item Strafverfolgung $->$ Repression, konkrete Straftat als Anlass \item Strafverfolgung $->$ Repression, konkrete Straftat als Anlass
\item Gefahrenabwehr $->$ Pr\"avention, konkrete Gefahr als Anlass \item Gefahrenabwehr $->$ Pr\"avention, konkrete Gefahr als Anlass
\item BKA-Gesetz $->$ Bundesrecht \item BKA-Gesetz $->$ Bundesrecht %TODO
\end{itemize} \end{itemize}
\subsection{Paragraphen} \subsection{Paragraphen}
\subsubsection*{\S 100a Strafprozessordnung (Telekommunikationsüberwachung)} \subsubsection*{\S 100a Strafprozessordnung (Telekommunikationsüberwachung)}
@ -245,8 +246,8 @@
\item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und \item Auch ohne Wissen der Betroffenen darf die Telekommunikation überwacht und
aufgezeichnet werden, wenn: aufgezeichnet werden, wenn:
\begin{itemize} \begin{itemize}
\item bestimmte Tatsachen den Verdacht begründen, dass jemand als Täter oder \item bestimmte Tatsachen den Verdacht begr\"unden, dass jemand als T\"ater oder
Teilnehmer eine in Absatz 2 bezeichnete schwere Straftat begangen, in Fällen, in Teilnehmer eine in Absatz 2 bezeichnete schwere Straftat begangen, in F\"allen, in
denen der Versuch strafbar ist, zu begehen versucht, oder durch eine Straftat denen der Versuch strafbar ist, zu begehen versucht, oder durch eine Straftat
vorbereitet hat, vorbereitet hat,
\item die Tat auch im Einzelfall schwer wiegt und \item die Tat auch im Einzelfall schwer wiegt und
@ -261,34 +262,39 @@
\subsubsection*{\S \S 102-110 Ebenfalls Strafprozessordnung} \subsubsection*{\S \S 102-110 Ebenfalls Strafprozessordnung}
\url{https://dejure.org/gesetze/StPO/102.html} \\ \url{https://dejure.org/gesetze/StPO/102.html} \\
Interessant hier: Daten d\"urfen gesichert/durchgesehen werden, wenn sonst ein Verlust Interessant hier: Daten d\"urfen gesichert/durchgesehen werden, wenn sonst ein Verlust
selbiger zu bef\"urchten ist. selbiger zu bef\"urchten ist. %TODO
\subsubsection*{\S \S 100c, 100d StPO - Grosser Lauschangriff} \subsubsection*{\S \S 100c, 100d StPO - Gro\ss er Lauschangriff}
Betrifft die \"uberwachung eines gesamten Wohnraum und ist an \"ahnliche Vorraussetzungen wie Betrifft die \"uberwachung eines gesamten Wohnraum und ist an \"ahnliche Vorraussetzungen wie
die Telekommunikations\"uberwachung gebunden. Es gelten strenge Vorschrifte, welche R\"aume die Telekommunikations\"uberwachung gebunden. Es gelten strenge Vorschrifte, welche R\"aume
abgeh\"ort werden d\"urfen und private Informationen m\"ussen gel\"oscht werden. abgeh\"ort werden d\"urfen und private Informationen m\"ussen gel\"oscht werden.
\subsection{Nachrichtendienste} \subsection{Nachrichtendienste}
\begin{itemize} \begin{itemize}
\item \S 2a BND-Gesetze $->$ Wann darf der BND Informationen sammeln: \item \S 2a BND-Gesetze $->$ Wann darf der BND Informationen sammeln:
\textbf{Sicherheitspolitische Dinge im ausland, \"uberpr\"ufung von (zuk\"unftigen) \begin{itemize}
Mitarbeitern, Counter-Intelligence} \item Sicherheitspolitische Dinge im Ausland
\item \"Uberpr\"ufung von (zuk\"unftigen) Mitarbeitern
\item Schutz und Abschirmung von Mitarbeitern
\end{itemize}
\item \S 8b Bundes-Verfassungs-Schutz-Gesetz (sagt prim\"ar etwas \"uber die \item \S 8b Bundes-Verfassungs-Schutz-Gesetz (sagt prim\"ar etwas \"uber die
Zusammenarbeit der L\"ander mit dem BND aus) Zusammenarbeit der L\"ander mit dem BND aus)
\item §3,5,10 G10 \textit{(Regelt allgemein die Beschr\"ankung des Fernmeldegeheimnisses)} \item §3,5,10 G10 \textit{(Regelt allgemein die Beschr\"ankung des
Fernmeldegeheimnisses)}
\begin{itemize} \begin{itemize}
\item \S 3 listet Vorraussetzungen f\"ur \"ubrwachung $->$ \"ahnliche Vorraussetzung \item \S 3 listet Vorraussetzungen f\"ur \"Uberwachung $->$ \"ahnliche
wie f\"ur Polizei Angriffe auf Bundesrepublik, V\"olkerrechtsverbrechen, Terrorismus Vorraussetzung wie f\"ur Polizei \textit{(z.B. Angriffe auf Bundesrepublik,
V\"olkerrechtsverbrechen, Terrorismus)}
\item \S 5 regelt internationale Verbinndungen \item \S 5 regelt internationale Verbinndungen
\item \S 10 regelt wie die \"uberwachung angeordnet wird \item \S 10 regelt wie die \"Uberwachung angeordnet wird
\end{itemize} \end{itemize}
\end{itemize} \end{itemize}
\subsubsection*{Sonstiges} \subsubsection*{Sonstiges}
\begin{itemize} \begin{itemize}
\item minimale \"anderungen am angegriffenen System muss gew\"ahrleistet werden \item minimale \"Anderungen am angegriffenen System muss gew\"ahrleisten
\item es muss gew\"ahrleistet werden, dass durch den Eingriff keine anderen Angriffe \item es muss gew\"ahrleistet werden, dass durch den Eingriff keine anderen
(unbefugten) erm\"oglicht werden (unbefugten) Angriffe erm\"oglicht werden
\item ganz generell muss immer sichergestellt werden, dass so wenig wie m\"oglich in die \item ganz generell muss immer sichergestellt werden, dass so wenig wie m\"oglich in
Grundrechte des Betroffenen eingegriffen wird die Grundrechte des Betroffenen eingegriffen wird
\end{itemize} \end{itemize}
\subsection{Technische M\"oglichkeiten - Hihihi wir sind der Staat} \subsection{Technische M\"oglichkeiten - Hihihi wir sind der Staat}
\begin{itemize} \begin{itemize}
@ -297,7 +303,7 @@
\item Cold-Boot \item Cold-Boot
\item Live-Durchsuchung (z.B. Staatstrojaner) \item Live-Durchsuchung (z.B. Staatstrojaner)
\item Seitenkan\"ale/Metadaten \item Seitenkan\"ale/Metadaten
\item schw\"achen in (Kryptographie-)Protokollen \item Schw\"achen in (Kryptographie-)Protokollen
\end{itemize} \end{itemize}
\section{Ermittlungen im Internetz} \section{Ermittlungen im Internetz}
\subsection{Lokalisierungstechniken} \subsection{Lokalisierungstechniken}
@ -309,10 +315,11 @@
\end{itemize} \end{itemize}
\subsubsection*{IP Geolocation} \subsubsection*{IP Geolocation}
Geht relativ einfach, IP-Ranges werden von der \textit{Internet Assigned Numbers Authority} Geht relativ einfach, IP-Ranges werden von der \textit{Internet Assigned Numbers Authority}
an Regionale Verteiler verteilt usw. an Regionale Verteiler verteilt. Die verteilen es dann auf kleinere Regionen, es gibt diese
Daten sind \"offentlich zug\"anglich.
\subsubsection*{Domain Name System} \subsubsection*{Domain Name System}
Eine verteilte Datenbank die Domain-Names auf IP Adressen zuordnet (oder andersrum). Zum Eine verteilte Datenbank die Domain-Names auf IP Adressen zuordnet (oder andersrum). Zum
beispiel kann man so auch zusammengeh\"orige Seiten erkennen wenn mehre Domain-Names auf Beispiel kann man so auch zusammengeh\"orige Seiten erkennen wenn mehre Domain-Names auf
die gleiche IP abgebildet werden. \textbf{Tools:} \textit{whois, dig, traceroute}. die gleiche IP abgebildet werden. \textbf{Tools:} \textit{whois, dig, traceroute}.
\subsubsection*{Passive DNS-Replikation} \subsubsection*{Passive DNS-Replikation}
Aufzeichnen aller Zuordnung von Domain zu IP-Adressen. Selber Spass wie nachzuscha\"un ob Aufzeichnen aller Zuordnung von Domain zu IP-Adressen. Selber Spass wie nachzuscha\"un ob
@ -326,31 +333,32 @@
\end{itemize} \end{itemize}
\subsubsection*{Counter the Countermeasures} \subsubsection*{Counter the Countermeasures}
\begin{itemize} \begin{itemize}
\item Pingtriangulierung, innerhalb von Europa angeblich auf 100km genau (f\"ur Websiten \item Ping-Triangulierung, innerhalb von Europa angeblich auf 100km genau (f\"ur
durch ein HTTP refresh m\"oglich) Websiten durch ein \textit{HTTP-REFRESH} m\"oglich)
\item JavaScript Exploit $->$ Client seine IP-Adresse mitschicken lassen \item JavaScript Exploit $->$ Client dazu bringen seine IP-Adresse zu \"ubermitteln
\end{itemize} \end{itemize}
\subsection{Cloud \& Websitesicherung} \subsection{Cloud \& Websitesicherung}
\begin{itemize} \begin{itemize}
\item Internet Archive \item Internet Archive
\item Chache beim Client \item Cache beim Client
\item Zugriff als Benutzer wenn Server ausser Reichweite \item Zugriff als Benutzer, wenn Server au\ss er Reichweite ist
\item VM auf Server Snapshotten \item Snapshot einer VM auf einem Server
\item ganzen Server Snapshotten ist kacke, doppelte Fragmentierung von VM-Filesystem \item Snapshot eines ganzen Servers (evt. doppelte Fragmentierung von VM-Filesystem
und Hypervisor Filesystem, ausserdem wahrscheinlich rechtlich fraglich, weil viele und Hypervisor Filesystem, ausserdem vielleicht rechtlich fraglich, bei shared-Server
Daten von unbeteiligten mit mehreren VMs mit Daten Unbeteiligter)
\item VM-Carving (Wiederherstellung von gel\"oschten VM, vielleicht aus Backups) \item VM-Carving (Wiederherstellung von gel\"oschten VM, vielleicht aus Backups)
\end{itemize} \end{itemize}
\section{Date-Loss though Abstraction} \section{Date-Loss though Abstraction}
Ehrlich gesagt weiss ich nicht was ich hier genau mitnehmen soll, mehr Abstraktion = mehr Ehrlich gesagt wei\ss{} ich nicht was ich hier genau mitnehmen soll. Mehr Abstraktion
Abstrakte Informationen w\"ahrend potentiell Low-Level Informationen verloren gehen. bedeutet logischerweise mehr abstrakte Informationen, w\"ahrend Low-Level
Informationen verloren gehen (k\"onnen).
\section{Carrier Dissertation Theorie} \section{Carrier Dissertation Theorie}
\begin{itemize} \begin{itemize}
\item Observation (Was hat der Ermittler gesehen) \item Observation (Was hat der Ermittler gesehen)
\item Capabilities (Welche Zust\"ande sind m\"oglich) \item Capabilities (Welche Zust\"ande sind m\"oglich)
\item Sample (Welche Zust\"ande existieren auf \"ahnlichen Systemen/fr\"uher auf diesem \item Sample (Welche Zust\"ande existieren auf \"ahnlichen Systemen/haben fr\"uher auf
System) diesem System existiert)
\item Reconstruction (R\"uck\"ubersetzung einer Zustandsuebergangsfunktion) \item Reconstruction (R\"uck\"ubersetzung einer Zustands\"ubergangsfunktion)
\item Construction (Ausfuehrung einer Zustandsuebergangsfunktion) \item Construction (Ausfuehrung einer Zustands\"ubergangsfunktion)
\end{itemize} \end{itemize}
\end{document} \end{document}