diff --git a/FFI/ForensInf2_Zusammenfassung.tex b/FFI/ForensInf2_Zusammenfassung.tex new file mode 100644 index 0000000..bb1f8f5 --- /dev/null +++ b/FFI/ForensInf2_Zusammenfassung.tex @@ -0,0 +1,114 @@ + \documentclass{article} + \usepackage{amsmath} + \usepackage{nccmath} + \usepackage{graphicx} + \DeclareMathSizes{10}{10}{10}{10} + \newcommand{\xhspace}[0]{\noindent\hspace*{5mm}} + \setlength{\parindent}{0pt} + \title{Konfluenz} + \date{ } +\begin{document} + \section{Begriffserklaerungen} + \subsubsection*{Kriminalistik} + Verhinderung, Aufdeckung und Aufklaerung von Kriminalitaet (Naturwissenschaften/ + Ingenieurwesen) + \begin{itemize} + \item Verbrechenstechnik (Wie wird das Verbrechen ausgefuehert?) + \item Kriminaltechnik (Einbringung von Sachbeweisen) + \item Kriminaltaktik (Planmaeßiges und Fallorientiertes Vorgehen, z.B. + Fahndung, Vernehmung, etc.) + \item Organisation der Verbrechensbekaempfung + \item Kriminalpsychologie (Schuldfaehigkeit, Motivforschung) + \end{itemize} + \subsubsection*{Kriminologie} + Erforschung von Ursachen und Erscheinungsformen von Kriminalitaet (Sozialwissenschaft/Psychologie) + \section{Qualivative Probability} + \subsubsection*{Vorbedingungen:} + \begin{itemize} + \item $H_1$ Person A war am Tatort + \item $H_2$ Person A war \textbf{nicht} am Tatort + \end{itemize} + \subsubsection*{Moegliche Fahndungs-Ergebnisse:} + \begin{itemize} + \item $E_1$ es gibt Beweise, dass Person A am Tatort war + \item $E_2$ es gibt \textbf{keine} Beweise, dass Person A am Tatort war + \end{itemize} + \textbf{Wahrscheinlichkeit, dass die Vorbedingungen $H_{1,2}$ im Angesicht bestimmter Ergebnisse korrekt sind.} + \[ Prob_1( E_1 | H_1 ) \hspace{2cm} Prob_2( E_1 | H_2 ) \] + \[ Prob_3( E_2 | H_1 ) \hspace{2cm} Prob_4( E_2 | H_2 ) \]\\ + \textit{Also wie wahrscheinlich sind die Kombinationen:}\\\\ + \begin{tabular}{|c|c|c|} + Person A am Tatort & Beweise & Wahrscheinlichkeit \\\hline + Ja & Ja & $Prob_1$ \\ + Ja & Nein & $Prob_2$ \\ + Nein & Ja & $Prob_3$ \\ + Nein & Nein & $Prob_4$ \\ + \end{tabular} + \subsubsection*{Staerke/Aussagekraft von Beweisen} + \[ Staerke\;des\;Beweises = \frac{Prob_1( E_1 | H_1 )}{Prob_2( E_1 | H_2 )} \]\\ + Also z.B. wenn die Wahrscheinlichkeit von $Prob_1$ (war am Tatort und Beweise vorhanden) gleich + $0.4$ und $Prob_2$ (war am Tatort und keine Beweise vorhanden) gleich $0.6$ waere die Staerke + des Beweises $0.66$. Offensichtlicherweise, wenn nun $Prob_1 >> Prob_2$ ist der Beweis sehr + stark. Mit der gleichen Logik gilt fuer das Nichtvorhandensein von Beweisen das Gegenteil, also + das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist. + \section{Live-Analyse} + \subsection{Allgemein} + \subsubsection{Fluechtige Daten} + Informationen/Spuren die selbst bei dauerhafter Stromzufuhr erhalten bleiben (im engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen werden als persistent bezeichnet. + \begin{itemize} + \item Inhalte Cache, Hauptspeicher, CPU-Register + \item Netzwerkverkehr, Puffer in Netwerkhardware, offene Netzwerk Verbinndungen + \item laufende Prozesse, angemeldete Benutzer, offene Dateien + \end{itemize} + Spuren muessen: + \begin{itemize} + \item identifiziert + \item gesichert + \item falls eine Sicherung nicht moeglich ist dokumentiert werden + \end{itemize} + \subsubsection{Gruende fuer Live-Analyse} + \begin{itemize} + \item Beschleunigung der Tot-Analyse + \item Sicherung von sonst verlorenen Spuren + \item Umgehung von Festplattenverschluesselung + \end{itemize} + \subsubsection{Moeglichkeiten} + \begin{itemize} + \item Nutzung der Hardware des zu untersuchenden Systems (Live-CD) + \item Nutzung von Hardware \textbf{UND} Software + \end{itemize} + \subsubsection{Probleme} + \begin{itemize} + \item System wird Veraendert + \item Aktivitaeten muessen dokumentiert werden (z.B. Videoaufzeichnungen) + \item System kann sich wehren (bei Nutzung des Betriebssystemes sowieso, aber im + schlimmesten Fall auch die Hardware) + \item einige, z.B. Rootkits koennen im laufenden Betrieb nicht zuverlaessig erkannt werden + + \end{itemize} + \subsection{Netzwerkverkehr} + \subsubsection{Sniffing} + Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschluesselung moeglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden koennen. + \subsubsection{Hauptspeichersicherung} + \begin{itemize} + \item eingesetzte Werkzeuge soll System nicht veraendern (Integirtaet) + \item gesicherte Information sollen den RAM korrekt repraesentierten (Korrektheit) + \item wie wird die Sicherung durch laufden Aktivitaeten beeinflusst (Atomaritaet) + \end{itemize} + Man muss bedenken, dass sich der Hauptspeicher im laufenden System staendig aendert und in der + Regel nicht Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen mit + einem + Zeitstempel gespeichert werden.\\\\ + \textit{Ein Hauptspeicherabbild ist korrekt, falls alle Werte, die das Abbild enthaelt, die + Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\ + Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt} + bezeicht korrekt ist. + \newpage + \subsubsection{Technische Moeglichkeiten} + \noindent \includegraphics{pics/RAM-Sicherung.png} + \section{Freilings Weisheiten der Woche} + \begin{itemize} + \item Wenn der Zeitdruck hoch ist und das Ermittlungsziel bekommt man nur schwer sinnvolle + Priorisierungskriterien. + \end{itemize} +\end{document} diff --git a/FFI/pics/RAM-Sicherung.png b/FFI/pics/RAM-Sicherung.png new file mode 100644 index 0000000..3513cc0 Binary files /dev/null and b/FFI/pics/RAM-Sicherung.png differ