latexandmore/FFI/ForensInf2_Zusammenfassung.tex
2017-04-04 17:38:37 +02:00

115 lines
5.3 KiB
TeX

\documentclass{article}
\usepackage{amsmath}
\usepackage{nccmath}
\usepackage{graphicx}
\DeclareMathSizes{10}{10}{10}{10}
\newcommand{\xhspace}[0]{\noindent\hspace*{5mm}}
\setlength{\parindent}{0pt}
\title{Konfluenz}
\date{ }
\begin{document}
\section{Begriffserklaerungen}
\subsubsection*{Kriminalistik}
Verhinderung, Aufdeckung und Aufklaerung von Kriminalitaet (Naturwissenschaften/
Ingenieurwesen)
\begin{itemize}
\item Verbrechenstechnik (Wie wird das Verbrechen ausgefuehert?)
\item Kriminaltechnik (Einbringung von Sachbeweisen)
\item Kriminaltaktik (Planmaeßiges und Fallorientiertes Vorgehen, z.B.
Fahndung, Vernehmung, etc.)
\item Organisation der Verbrechensbekaempfung
\item Kriminalpsychologie (Schuldfaehigkeit, Motivforschung)
\end{itemize}
\subsubsection*{Kriminologie}
Erforschung von Ursachen und Erscheinungsformen von Kriminalitaet (Sozialwissenschaft/Psychologie)
\section{Qualivative Probability}
\subsubsection*{Vorbedingungen:}
\begin{itemize}
\item $H_1$ Person A war am Tatort
\item $H_2$ Person A war \textbf{nicht} am Tatort
\end{itemize}
\subsubsection*{Moegliche Fahndungs-Ergebnisse:}
\begin{itemize}
\item $E_1$ es gibt Beweise, dass Person A am Tatort war
\item $E_2$ es gibt \textbf{keine} Beweise, dass Person A am Tatort war
\end{itemize}
\textbf{Wahrscheinlichkeit, dass die Vorbedingungen $H_{1,2}$ im Angesicht bestimmter Ergebnisse korrekt sind.}
\[ Prob_1( E_1 | H_1 ) \hspace{2cm} Prob_2( E_1 | H_2 ) \]
\[ Prob_3( E_2 | H_1 ) \hspace{2cm} Prob_4( E_2 | H_2 ) \]\\
\textit{Also wie wahrscheinlich sind die Kombinationen:}\\\\
\begin{tabular}{|c|c|c|}
Person A am Tatort & Beweise & Wahrscheinlichkeit \\\hline
Ja & Ja & $Prob_1$ \\
Ja & Nein & $Prob_2$ \\
Nein & Ja & $Prob_3$ \\
Nein & Nein & $Prob_4$ \\
\end{tabular}
\subsubsection*{Staerke/Aussagekraft von Beweisen}
\[ Staerke\;des\;Beweises = \frac{Prob_1( E_1 | H_1 )}{Prob_2( E_1 | H_2 )} \]\\
Also z.B. wenn die Wahrscheinlichkeit von $Prob_1$ (war am Tatort und Beweise vorhanden) gleich
$0.4$ und $Prob_2$ (war am Tatort und keine Beweise vorhanden) gleich $0.6$ waere die Staerke
des Beweises $0.66$. Offensichtlicherweise, wenn nun $Prob_1 >> Prob_2$ ist der Beweis sehr
stark. Mit der gleichen Logik gilt fuer das Nichtvorhandensein von Beweisen das Gegenteil, also
das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist.
\section{Live-Analyse}
\subsection{Allgemein}
\subsubsection{Fluechtige Daten}
Informationen/Spuren die selbst bei dauerhafter Stromzufuhr erhalten bleiben (im engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen werden als persistent bezeichnet.
\begin{itemize}
\item Inhalte Cache, Hauptspeicher, CPU-Register
\item Netzwerkverkehr, Puffer in Netwerkhardware, offene Netzwerk Verbinndungen
\item laufende Prozesse, angemeldete Benutzer, offene Dateien
\end{itemize}
Spuren muessen:
\begin{itemize}
\item identifiziert
\item gesichert
\item falls eine Sicherung nicht moeglich ist dokumentiert werden
\end{itemize}
\subsubsection{Gruende fuer Live-Analyse}
\begin{itemize}
\item Beschleunigung der Tot-Analyse
\item Sicherung von sonst verlorenen Spuren
\item Umgehung von Festplattenverschluesselung
\end{itemize}
\subsubsection{Moeglichkeiten}
\begin{itemize}
\item Nutzung der Hardware des zu untersuchenden Systems (Live-CD)
\item Nutzung von Hardware \textbf{UND} Software
\end{itemize}
\subsubsection{Probleme}
\begin{itemize}
\item System wird Veraendert
\item Aktivitaeten muessen dokumentiert werden (z.B. Videoaufzeichnungen)
\item System kann sich wehren (bei Nutzung des Betriebssystemes sowieso, aber im
schlimmesten Fall auch die Hardware)
\item einige, z.B. Rootkits koennen im laufenden Betrieb nicht zuverlaessig erkannt werden
\end{itemize}
\subsection{Netzwerkverkehr}
\subsubsection{Sniffing}
Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschluesselung moeglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden koennen.
\subsubsection{Hauptspeichersicherung}
\begin{itemize}
\item eingesetzte Werkzeuge soll System nicht veraendern (Integirtaet)
\item gesicherte Information sollen den RAM korrekt repraesentierten (Korrektheit)
\item wie wird die Sicherung durch laufden Aktivitaeten beeinflusst (Atomaritaet)
\end{itemize}
Man muss bedenken, dass sich der Hauptspeicher im laufenden System staendig aendert und in der
Regel nicht Atomar gedumpt werden kann. Deshalb dumpt man in der Regel Teile, die zusammen mit
einem
Zeitstempel gespeichert werden.\\\\
\textit{Ein Hauptspeicherabbild ist korrekt, falls alle Werte, die das Abbild enthaelt, die
Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\
Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt}
bezeicht korrekt ist.
\newpage
\subsubsection{Technische Moeglichkeiten}
\noindent \includegraphics{pics/RAM-Sicherung.png}
\section{Freilings Weisheiten der Woche}
\begin{itemize}
\item Wenn der Zeitdruck hoch ist und das Ermittlungsziel bekommt man nur schwer sinnvolle
Priorisierungskriterien.
\end{itemize}
\end{document}