started ForensInf2 zusammenfassung

FFI/ForensInf2_Zusammenfassung.tex

@@ -0,0 +1,114 @@
+	\documentclass{article}
+	\usepackage{amsmath}
+	\usepackage{nccmath}
+	\usepackage{graphicx}
+	\DeclareMathSizes{10}{10}{10}{10}
+	\newcommand{\xhspace}[0]{\noindent\hspace*{5mm}}
+	\setlength{\parindent}{0pt}
+	\title{Konfluenz}
+	\date{ }
+\begin{document}
+	\section{Begriffserklaerungen}
+		\subsubsection*{Kriminalistik}
+			Verhinderung, Aufdeckung und Aufklaerung von Kriminalitaet (Naturwissenschaften/
+			Ingenieurwesen)
+			\begin{itemize}
+				\item Verbrechenstechnik (Wie wird das Verbrechen ausgefuehert?)
+				\item Kriminaltechnik (Einbringung von Sachbeweisen)
+				\item Kriminaltaktik (Planmaeßiges und Fallorientiertes Vorgehen, z.B. 
+				Fahndung, Vernehmung, etc.)
+				\item Organisation der Verbrechensbekaempfung
+				\item Kriminalpsychologie (Schuldfaehigkeit, Motivforschung)
+			\end{itemize}
+		\subsubsection*{Kriminologie}
+			Erforschung von Ursachen und Erscheinungsformen von Kriminalitaet (Sozialwissenschaft/Psychologie)
+	\section{Qualivative Probability}
+		\subsubsection*{Vorbedingungen:}
+		\begin{itemize}
+			\item $H_1$ Person A war am Tatort
+			\item $H_2$ Person A war \textbf{nicht} am Tatort
+		\end{itemize}
+		\subsubsection*{Moegliche Fahndungs-Ergebnisse:}
+		\begin{itemize}
+			\item $E_1$ es gibt Beweise, dass Person A am Tatort war
+			\item $E_2$ es gibt \textbf{keine} Beweise, dass Person A am Tatort war 
+		\end{itemize}
+		\textbf{Wahrscheinlichkeit, dass die Vorbedingungen $H_{1,2}$ im Angesicht bestimmter Ergebnisse korrekt sind.}
+		\[  Prob_1( E_1 | H_1 ) \hspace{2cm} Prob_2( E_1 | H_2 ) \]
+		\[	Prob_3( E_2 | H_1 ) \hspace{2cm} Prob_4( E_2 | H_2 ) \]\\
+		\textit{Also wie wahrscheinlich sind die Kombinationen:}\\\\
+		\begin{tabular}{|c|c|c|}
+			Person A am Tatort  & Beweise	&	Wahrscheinlichkeit 	\\\hline
+			Ja					& Ja		&	$Prob_1$			\\
+			Ja					& Nein		&	$Prob_2$			\\
+			Nein				& Ja		&	$Prob_3$			\\
+			Nein				& Nein		&	$Prob_4$			\\
+		\end{tabular}
+		\subsubsection*{Staerke/Aussagekraft von Beweisen}
+		\[ Staerke\;des\;Beweises = \frac{Prob_1( E_1 | H_1 )}{Prob_2( E_1 | H_2 )} \]\\
+		Also z.B. wenn die Wahrscheinlichkeit von $Prob_1$ (war am Tatort und Beweise vorhanden) gleich
+		$0.4$ und $Prob_2$ (war am Tatort und keine Beweise vorhanden) gleich $0.6$ waere die Staerke 
+		des Beweises $0.66$. Offensichtlicherweise, wenn nun $Prob_1 >> Prob_2$ ist der Beweis sehr 
+		stark. Mit der gleichen Logik gilt fuer das Nichtvorhandensein von Beweisen das Gegenteil, also 
+		das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist.
+	\section{Live-Analyse}
+		\subsection{Allgemein}		
+		\subsubsection{Fluechtige Daten}
+			Informationen/Spuren die selbst bei dauerhafter Stromzufuhr erhalten bleiben (im engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen werden als persistent bezeichnet.
+			\begin{itemize}
+				\item Inhalte Cache, Hauptspeicher, CPU-Register
+				\item Netzwerkverkehr, Puffer in Netwerkhardware, offene Netzwerk Verbinndungen
+				\item laufende Prozesse, angemeldete Benutzer, offene Dateien
+			\end{itemize}
+			Spuren muessen:
+			\begin{itemize}
+				\item identifiziert
+				\item gesichert
+				\item falls eine Sicherung nicht moeglich ist dokumentiert werden
+			\end{itemize}
+		\subsubsection{Gruende fuer Live-Analyse}
+			\begin{itemize}
+				\item Beschleunigung der Tot-Analyse
+				\item Sicherung von sonst verlorenen Spuren
+				\item Umgehung von Festplattenverschluesselung
+			\end{itemize}
+		\subsubsection{Moeglichkeiten}
+			\begin{itemize}
+				\item Nutzung der Hardware des zu untersuchenden Systems (Live-CD)
+				\item Nutzung von Hardware \textbf{UND} Software
+			\end{itemize}
+		\subsubsection{Probleme}
+			\begin{itemize}
+				\item System wird Veraendert
+				\item Aktivitaeten muessen dokumentiert werden (z.B. Videoaufzeichnungen)
+				\item System kann sich wehren (bei Nutzung des Betriebssystemes sowieso, aber im 
+				schlimmesten Fall auch die Hardware)
+				\item einige, z.B. Rootkits koennen im laufenden Betrieb nicht zuverlaessig erkannt werden
+		
+			\end{itemize}
+		\subsection{Netzwerkverkehr}
+		\subsubsection{Sniffing}
+		Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschluesselung moeglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden koennen.
+		\subsubsection{Hauptspeichersicherung}
+		\begin{itemize}
+			\item eingesetzte Werkzeuge soll System nicht veraendern (Integirtaet)
+			\item gesicherte Information sollen den RAM korrekt repraesentierten (Korrektheit)
+			\item wie wird die Sicherung durch laufden Aktivitaeten beeinflusst (Atomaritaet)
+		\end{itemize}
+		Man muss bedenken, dass sich der Hauptspeicher im laufenden System staendig aendert und in der 
+		Regel nicht Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen mit 
+		einem 
+		Zeitstempel gespeichert werden.\\\\
+		\textit{Ein Hauptspeicherabbild ist korrekt, falls alle Werte, die das Abbild enthaelt, die 
+		Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\
+		Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt} 
+		bezeicht korrekt ist.
+		\newpage
+		\subsubsection{Technische Moeglichkeiten}
+		\noindent \includegraphics{pics/RAM-Sicherung.png}
+	\section{Freilings Weisheiten der Woche}
+		\begin{itemize}
+			\item Wenn der Zeitdruck hoch ist und das Ermittlungsziel bekommt man nur schwer sinnvolle 
+			Priorisierungskriterien.
+		\end{itemize}
+\end{document}