Basishandbuch für Computeruntersuchungen für Windows

Anhang: Ressourcen

Veröffentlicht: 11. Jan 2007

Dieser Anhang enthält Informationen zu verschiedenen Ressourcen für das Durchführen einer Computeruntersuchung.

Auf dieser Seite

Vorbereiten einer Computeruntersuchung in Ihrem Unternehmen Organisation
Arbeitsblätter und Beispieldokumente
Anzeigen von Computerkriminalität
Schulung
Tools

Vorbereiten einer Computeruntersuchung in Ihrem Unternehmen Organisation

Zum Vorbereiten einer Computeruntersuchung in Ihrem Unternehmen sollten Sie ein gängiges Toolkit für Computeruntersuchungen einsetzen. Es umfasst in der Regel Software und Geräte zur Ermittlung von Beweisen. Ein solches Toolkit enthält möglicherweise einen Laptopcomputer mit entsprechenden Softwaretools, verschiedene Betriebssysteme und Patches, Anwendungsmedien, Datensicherungsgeräte, unbeschriebene Medien, grundlegende Netzwerkkomponenten und Kabel. Das Toolkit muss u. U. im Laufe der Untersuchung um verschiedene Tools und Ressourcen erweitert werden, die Sie für Ihre Untersuchung benötigen.

Beachten Sie beim Aufbau und Einsatz eines Toolkits für Computeruntersuchungen die folgenden Richtlinien:

• Entscheiden Sie vor Beginn der Untersuchung, welche Tools Sie einsetzen möchten. Zusätzlich zu Microsoft® Windows® Sysinternals und anderen in diesem Dokument erörterten Windows-Tools enthält das Toolkit in der Regel spezifische Software für Computerforensik, wie z. B. Encase von Guidance Software, das Forensic Toolkit (FTK) von AccessData oder ProDiscover von Technology Pathways.

• Speichern und archivieren Sie die Tools. Sie benötigen möglicherweise eine Kopie der in der Untersuchung eingesetzten Tools und Software zur Computeruntersuchung, um zu beweisen, wie die Daten gesammelt und analysiert wurden.

• Listen Sie alle zu untersuchenden Betriebssysteme auf und stellen Sie sicher, dass Sie über alle erforderlichen Tools zur Untersuchung verfügen. Sie können beispielsweise die weiter unten in diesem Anhang beschriebenen Windows Sysinternals-Tools wie PsInfo, PsLogList und ProcessExplorer einsetzen, um Computer mit Windows XP und Windows Server® 2003 zu untersuchen.

• Stellen Sie ein Tool zum Sammeln und Analysieren von Metadaten bereit.

• Stellen Sie ein Tool zum Erstellen von Bit-für-Bit- und logischen Kopien bereit.

• Stellen Sie Tools zum Sammeln und Untersuchen flüchtiger Daten wie z. B. Systemstatusdaten bereit. Einige Versionen von Windows Sysinternals enthalten ListDLLs, LogonSessions, PendMoves, Autoruns und ProcessExplorer. Windows-Tools umfassen Systeminfo, Ipconfig, Netstat und Arp.

• Nehmen Sie ein Tool zum Erstellen von Prüfsummen und digitalen Signaturen für Dateien und andere Daten in Ihre Toolliste auf, wie z. B. File Checksum Integrity Validator (FCIV). Dieses Tool ist über den Microsoft Knowledge-Base-Artikel 841290, Verfügbarkeit und Beschreibung des Programms "File Checksum Integrity Verifier", verfügbar.

• Wenn Sie physische Beweise benötigen, sollte Ihr Toolkit eine Digitalkamera enthalten.

Außerdem sollte das Toolkit die folgenden Kriterien erfüllen:

• Die Tools für die Datenbeschaffung müssen korrekt arbeiten. Eine genaue Datenerhebung ist in der Regel eher gegeben, wenn allgemein bekannte Forensiksoftware eingesetzt wird.

• Der Zeitpunkt des letzten Zugriffs auf eine Datei darf durch die Tools nicht geändert werden.

• Das Speichergerät für die Untersuchung muss forensisch steril sein, d. h., das Laufwerk darf vor dem Einsatz keine Daten enthalten. Ein Speichergerät kann durch Ausführen einer Prüfsumme auf forensische Sterilität überprüft werden. Wenn die Prüfsumme ausschließlich Nullen zurückgibt, enthält das Laufwerk keine Daten.

• Hardware und Tools für die Untersuchung dürfen nur für den Computeruntersuchungsvorgang eingesetzt werden, nicht für andere Aufgaben.

Arbeitsblätter und Beispieldokumente

Die folgende Tabelle enthält eine Liste von Arbeitsblättern und Beispieldokumenten für eine Computeruntersuchung. Einige dieser Ressourcen sind als separate Word-Dokumente verfügbar und in der Datei des Microsoft Download Center enthalten, aus der Sie dieses Handbuch extrahiert haben. Andere können über einen Link zur Website des National Institute of Justice heruntergeladen werden.

Tabelle A.1: Arbeitsblätter und Beispieldokumente

Anzeigen von Computerkriminalität

Hinweis:

Ein Großteil der Informationen in diesem Abschnitt stammen von der Seite Reporting Computer, Internet-Related, or Intellectual Property Crime im Bereich „Computer Crime & Intellectual Property Section“ auf der Website des US-amerikanischen Justizministeriums.

Konsultieren Sie zunächst Ihren Rechtsberater, welche Vergehen im Bereich Computerkriminalität den entsprechenden Behörden auf kommunaler, Bundes-, Landes- oder internationaler Ebene gemeldet werden müssen, abhängig von der Schwere des Vergehens. Am wahrscheinlichsten ist es, dass Sie ein Vergehen zunächst auf kommunaler oder Landesebene melden. Wenn es sich um Computerkriminalität auf Bundesebene handelt, muss das Vergehen u. U. der lokalen Vertretung der entsprechenden Bundesagentur gemeldet werden. Diese Anweisungen beziehen sich nur auf die USA.

Die folgenden Behörden in den USA befassen sich mit der Untersuchung von Computerkriminalität:

• Federal Bureau of Investigation (FBI)

• United States Secret Service (USSS)

• U.S. Immigration and Customs Enforcement (ICE)

• U.S. Postal Inspection Service

• Bureau of Alcohol, Tobacco, Firearms and Explosives (ATF)

• U.S. Drug Enforcement Administration (DEA)

Diese Behörden sind in den ganzen USA über lokale Büros vertreten. Kontaktinformationen finden Sie in Telefonbüchern und im Internet. Computerkriminalität auf Bundesebene kann per Telefon an das lokale Büro der entsprechenden Behörde gemeldet werden. Wenn Ihr Unternehmen Mitglied der Electronic Crimes Task Force (ECTF), InfraGard oder International High Technology Crime Investigation Association (HTCIA) ist, ist die Kontaktperson bei der Behörde wahrscheinlich bereits bekannt. Der Meldeprozess wird vereinfacht, wenn eine bereits bekannte Kontaktperson, die wiederum Ihr Unternehmen kennt, angesprochen wird.

Viele Behörden habe besonders ausgebildetes Personal, das sich auf Computerkriminalität spezialisiert.

Lokale Vollzugsbehörden

In manchen Situationen ist die Kontaktaufnahme mit einer lokalen Vollzugsbehörde die beste Lösung. Diese Stellen verfügen oft über ein spezielles, im Bereich Computerkriminalität geschultes Team zur Untersuchung eines Vorfalls. Zu diesen Stellen gehören die REACT Task Force in San Francisco, das CATCH Team in San Diego sowie andere Polizeibehörden.

Die folgende Tabelle soll Ihnen dabei behilflich sein, zu bestimmen, welche Behörde für welche Arten von Vergehen zu kontaktieren ist.

Tabelle A.2: Vollzugsbehörden für unterschiedliche Vergehensarten

Schulung

Zumindest einige der Teammitglieder, die einen Vorfall untersuchen, sollten sich einer Schulung zu Computeruntersuchungen unterziehen. Ohne entsprechende Schulung wird sich die Untersuchung wahrscheinlich nicht effektiv gestalten. Nicht geschultes Personal könnte sich sogar negativ auf eine Untersuchung auswirken, wenn z. B. versehentlich wichtige Beweise vernichtet werden.

Eine Liste gemeinnütziger Agenturen, Organisationen, Behörden und akademischer Einrichtungen, die Schulungen im Bereich Computerforensik anbieten, finden Sie unter „Appendix G. Training Resources List“ in Forensic Examination of Digital Evidence: A Guide for Law Enforcement vom National Institute of Justice, einer Abteilung des US-amerikanischen Justizministeriums.

Tools

Keine Computeruntersuchung ist mit einer anderen identisch. Die eingesetzten Tools sollten zum Sammeln der benötigten Informationen geeignet sein. Es ist aber immer eine gute Idee, mehr Informationen als notwendig zu erfassen.

Dieser Abschnitt bietet Informationen über das Windows Sysinternals-Tool und andere Windows-Tools, die Ihnen bei der Durchführung einer internen Computeruntersuchung behilflich sein können. Die Tooltypen werden in der ersten Spalte der folgenden Tabelle als Symbole dargestellt:

Tabelle A.3: Tooltypen

Symbol	Beschreibung
	Dieses Symbol steht für ein Befehlszeilentool.
	Dieses Symbol steht für ein Tool mit grafischer Benutzeroberfläche, das installiert werden muss und Änderungen am Ziellaufwerk vornimmt.

In den folgenden Tabellen finden Sie Informationen zu verschiedenen Tools, die für Computeruntersuchungen eingesetzt werden können.

Windows Sysinternals-Tools

Tabelle A.4: Informationen zu Windows Sysinternals-Tools

Tooltyp	Name	Beschreibung
	AccessChk v2.0	Anzeige von Dateizugriff, Registrierungsschlüssel oder Windows-Diensten je nach angegebener Benutzergruppe.
	AccessEnum v1.3	Anzeige, welche Benutzer auf welche Verzeichnisse, Dateien und Registrierungsschlüssel eines Computers Zugriff haben. Mithilfe dieses Tools können Sie feststellen, in welchen Bereichen Berechtigungen nicht korrekt eingerichtet wurden.
	Autoruns v8.53	Anzeige von Programmen, die beim Start eines Computers und bei Anmeldung des Benutzers automatisch gestartet werden (zeigt außerdem eine komplette Liste von Registrierungs- und Dateispeicherorten an, in denen die Einstellungen für das automatische Starten von Anwendungen konfiguriert werden können).
	Autorunsc v8.53	Die Befehlszeilenversion des Autoruns-Programms (im vorherigen Eintrag beschrieben).
	Diskmon	Anzeige aller Festplattenaktivitäten. Fungiert in der Taskleiste wie eine Lichtanzeige für Softwareaktivitäten.
	DiskView	Dienstprogramm für Grafikdatenträger, Datenträger-Viewer.
	Du v1.3	Anzeigen der Datenträgerverwendung nach Verzeichnis.
	Filemon v7.03	Anzeige aller Aktivitäten im Dateisystem in Echtzeit.
	Handle v3.2	Anzeige geöffneter Dateien und der entsprechenden Öffnungsprozesse.
	ListDLLs v2.25	Anzeige aller zurzeit geladenen DLLs, einschließlich Ladeort und Versionsnummern (Ausdruck des vollen Pfadnamens geladener Module).
	LogonSessions v1.1	Liste aktiver Anmeldesitzungen.
	PendMoves v1.1	Anzeige von Datei-Umbenennungen und Löschbefehlen, die beim nächsten Start des Computers vorgenommen werden.
	Portmon v3.02	Anzeige der Aktivitäten bei seriellen und parallelen Ports (zeigt auch einen Teil der gesendeten und empfangenen Daten an).
	Process Explorer v10.2	Anzeige von Dateien, Registrierungsschlüsseln und anderen Objekten, die in Prozessen geöffnet sind, sowie von DLLs, die diese Objekte geladen haben, Besitzern der Prozesse usw.
	PsExec v1.72	Remoteausführung von Prozessen.
	PsFile v1.01	Anzeige geöffneter Dateien.
	PsInfo v1.71	Anzeige von Informationen über einen Computer.
	PsList v1.27	Anzeige von Informationen über Prozesse und Threads.
	PsLoggedOn v1.32	Anzeige von auf einem Computer angemeldeten Benutzern.
	PsLogList v2.63	Einträge in Ereignisprotokollen.
	PsService v2.2	Anzeige- und Steuerdienste.
	Regmon v7.03	Anzeige aller Registrierungsaktivitäten in Echtzeit.
	RootkitRevealer	Suche nach Rootkit-Malware.
	ShareEnum v1.6	Scannen von Dateifreigaben und deren Sicherheitseinstellungen in einem Netzwerk, um falsch eingerichtete Berechtigungen auszuschließen.
	Streams v1.53	Anzeige alternativer NTFS-Datenströme.
	Strings v2.3	Suche nach ANSI- und UNICODE-Zeichenfolgen in Binärabbildern.
	TCPVcon v2.34	Anzeige aktiver Sockets.
	TCPView v2.4	Anzeige aller offenen TCP- und UDP-Endpunkte sowie des Prozessnamens, der die einzelnen Endpunkt besitzt.
	TDIMon v1.01	Anzeige von TCP-/IP-Informationen.
	Tokenmon v1.01	Anzeige sicherheitsbezogener Aktivitäten wie Anmeldung, Abmeldung, Verwendung von Berechtigungen und Identitätswechsel.

Windows-Tools

Tabelle A.5: Informationen zu Windows-Tools

Tooltyp	Name	Beschreibung
	Arp	Anzeige von ARP-Tabellen (Address Resolution Protocol).
	Date	Anzeige der aktuellen Datumseinstellung.
	Dir	Anzeige einer Liste von Dateien und Unterverzeichnissen.
	Doskey	Anzeige des Befehlsverlaufs für eine offene CMD.EXE-Shell.
	Ipconfig	Anzeige der Konfiguration des lokalen Computers.
	Net	Aktualisierung, Reparatur oder Anzeige des Netzwerks bzw. der Netzwerkeinstellungen.
	Netstat	Anzeige von Protokollstatistik und aktuellen Verbindungsinformationen.
	Time	Anzeige der aktuellen Zeiteinstellung.
	Find	Durchsuchen von Dateien nach einer Zeichenfolge.
	Schtasks	Anzeige geplanter Aufgaben.
	Systeminfo	Anzeige allgemeiner Informationen über den Computer.
	Vol	Anzeige der Bezeichnung und Seriennummer des Datenträgervolumes, falls vorhanden.
	Hostname	Anzeige des Hostnamensteils des vollen Computernamens.
	Openfiles	Abfrage, Anzeige oder Trennung der Verbindung von offenen Dateien oder von Netzwerkbenutzern geöffneten Dateien.
	FCIV	File Checksum Integrity Verifier. Zur Erstellung eines kryptografischen Hashs MD5 oder SHA1 für den Inhalt einer Datei.
	Notepad	Zur Untersuchung von mit einer Datei verbundenen Metadaten.
	Reg	Zum Anzeigen, Ändern, Exportieren, Speichern oder Löschen von Registrierungsschlüsseln, -werten und -strukturen.
	Netcap	Sammeln von Netzwerkverfolgungsdaten aus der Befehlszeile.
	Sc	Zur Kommunikation mit dem Dienstcontroller und den Diensten. (Eine Sc-Abfrage eignet sich zum Abrufen aller Dienste und deren Statusangabe.)
	Assoc	Anzeige oder Änderung zugeordneter Dateinamenerweiterungen.
	Ftype	Anzeige oder Änderung Dateitypen, die bei der Zuordnung von Dateinamenerweiterungen verwendet werden.
	Gpresult	Festlegen des resultierenden Richtliniensatzes.
	Tasklist	Liste laufender Prozesse und geladener Module.
	MBSA	Anzeige des Status von Sicherheitspatches und anderer bekannter Sicherheitsschwachstellen.
	Rsop.msc	Anzeige des resultierenden Richtliniensatzes.
	Rasdiag	Sammeln von Diagnoseinformationen über Remotedienste und Speichern dieser Informationen in einer Datei.

In diesem Beitrag

• Übersicht
• Kapitel 1: Bewerten der Situation
• Kapitel 2: Sammeln der Daten
• Kapitel 3: Analysieren der Daten
• Kapitel 4: Erstellen eines Untersuchungsberichts
• Kapitel 5: Angewandtes Szenariobeispiel
• Anhang: Ressourcen
• Danksagung

Download (engl.)

Laden Sie das Basishandbuch für Computeruntersuchungen für Windows herunter.

Update Notification (engl.)

Melden Sie sich an, um Informationen über Aktualisierungen und neue Veröffentlichungen zu erhalten.

Feedback (engl.)

Senden Sie uns Ihre Kommentare oder Vorschläge.

7 von 8