Praktikumsaufgabe 2019 Forensik in Betriebs- und Anwendungssystemen Gruppe MUE11
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Praktikumsaufgabe 2019
Forensik in Betriebs- und
Anwendungssystemen
Gruppe MUE11
Hochschule Wismar Studiengang Master IT-Sicherheit und Forensik“
”
Modul Forensik in Betriebs- und Anwendungssystemen“
”
Praktikumsbericht — Sommer Semester 2019
Daniel Lussi — Timo Dreissigacker
1. Zusammenfassung
Der vorliegende Bericht beinhaltet das Konzept, Vorgehen und die Resultate zur Fall-
studie im Modul ’Forensik in Betriebs und Anwendungssystemen’. Ein Szenarium Da-
tendiebstahl bei einer Elektromotorenfirma wird simuliert. Mit dem Tool FTK Imager
wird das Image der relevanten Datenträger gezogen und Master- und Arbeitskopien er-
stellt. In der Evaluation des einzusetzenden IT-Forensik Tools werden die Anwendungen
Magnet AXIOM und Autopsy für den Fall MUE11 evaluiert. Bei der Analyse mit den
evaluierten Applikationen kann das Szenarium mit den in Magnet AXIOM und Autopsy
integrierten Funktionen rekonstruiert werden. Allerdings zeigen sich auch Limiten mit
den eingesetzten IT-Forensik Tools Magnet Axiom und Autopsy. So konnten die statt-
gefundenen Facebook Konversationen nicht nachvollzogen werden und der FTP Datenu-
pload mit dem WinSCP Portable Client konnte mit den Tools auch nicht nachgewiesen
werden. Eine erweiterte Analyse mit der Erstellung einer VM aus dem Image hat Klar-
heit bzgl. WinSCP Datenupload gebracht. Mit den Applikationen Magnet AXIOM und
Autopsy konnten die E-Mail Kommunikationen und die Informationen und Dateien auf
dem Rechner sehr gut ausgewertet und in eine Timeline gebracht werden. Die Tools
stossen aber bei der Analyse im Social Media Bereich an ihre Grenzen.
2
Inhaltsverzeichnis
1. Zusammenfassung 2
2. Einleitung 5
3. Glossar 6
4. Fall Nummer MUE11 7
4.1. Vorgehen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
4.2. Strategische Vorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.2.1. Abgrenzung Auftrag . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.2.2. Rechtsnorm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.3. Operationelle Vorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . 9
4.4. Sicherung / Datensammlung . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4.4.1. Tool . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
4.4.2. Image . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
4.5. Identifikation / Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . 11
4.5.1. Evaluation Forensik Tools . . . . . . . . . . . . . . . . . . . . . . . 11
4.5.2. Beschreibung / Begründung Evaluation . . . . . . . . . . . . . . . 12
4.6. Isolation (Masterkopie / Arbeitskopie) . . . . . . . . . . . . . . . . . . . . 14
4.7. Datenanalyse / Verarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . 14
4.7.1. Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
4.7.2. Social Media . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4.7.3. E-Mail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
4.7.4. Applikationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.7.5. Logs / Metadaten . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
4.7.6. Dokumente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
4.7.7. Timeline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
4.8. Überprüfung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
4.9. Dokumentation / Bericht . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
5. Kritische Bewertung der Ergebnisse 24
6. Alternativen zu den gegebenen IT-Forensik Tools 25
A. Anhang Gestohlene Firmendokumente 27
B. Anhang Auszug AXIOM Bericht 32
3
C. Anhang Begriffe für IT-Forensik Wiki MUE11 40
4
2. Einleitung
In dem vorliegenden Szenarium wird ein Datendiebstahl bei der Firma dalu-c inszeniert.
dalu-c ist führender Hersteller von Klein-DC-Motoren. Der von der Konkurrenz uner-
reichte Wirkungsgrad und das hohe Nenndrehmoment der Klein-DC-Motoren ist auf die
spezielle Motorenwicklung zurückzuführen. Das Patent der Motorenwicklung der Firma
ist abgelaufen, aber durch die Geheimhaltung der Materialien (Legierungen) und der
speziellen Fertigungstechnik hat die Firma dalu-c weiterhin einen Marktvorteil und ist
der Konkurenz weit voraus.
Ein Konkurrenzunternehmen kommt mit der gleichen Wicklungstechnologie auf den
Markt. Die Geschäftsleitung vermutet, dass interne Dokumente an die Konkurenz weiter-
gegeben wurden. Unter Verdacht steht speziell ein Mitarbeiter der Motorentwicklungsab-
teilung, bei welchem bekannt ist, dass er enge Kontakte zur Konkurrenzfirma hat (da der
Bruder seiner Frau bei dieser Firma in der Entwicklung arbeitet). Die Geschäftsleitung
entscheidet, gestützt von den eigenen Juristen, die Workstation des verdächtigen Mitar-
beiters zu beschlagnahmen und auf Beweise für den Datendiebstahl zu durchsuchen. Die
Geschäftsleitung beruft sich auf das Mitarbeiterreglement und den § 26 BDSG neu. Die
Firma dalu-c beauftragt die Gruppe MUE11 der Hochschule Wismar für die Forensische
Analyse der Workstation.
Das Szenarium wird mit den Personen Daniel Lussi und Timo Dreissigacker (Autoren
dieses Berichtes) durchgespielt. Es wurde darauf verzichtet Pseudonyme für das Szena-
rium zu verwenden. Dies da mit Social Media Accounts (Facebook) gearbeitet wird und
dort eine Foto- und Natelnummer-Prüfung durchgeführt wird. Die verwendeten Fotos
und Telefonnummern wurden auf bereits registrierte Benutzer zurückgeführt und eine
Freigabe des Pseudonym-Kontos wurde innerhalb 24h nicht erteilt. Da sich die Arbeit auf
die Erstellung des Szenarios und möglichst umfangreichen Analyse des Images mit den
zur Verfügung stehenden Applikationen konzentriert, wurde auf die Pseudonymisierung
aufgrund des fehlenden Mehrwertes verzichtet.
5
3. Glossar
Autopsy Open Source IT-Forensik Plattform und User Interface zu ’The Sleuth Kit’
AXIOM IT-Forensik Plattform der Firma ’MAGNET Forensics’
DC Motor Gleichstrommotor
EnCase IT-Forensik Plattform der Firma ’Guidance Software’
Image Speicherabbild oder Datenträgerabbild
Maria DB Freies relationales Open Source Datenbankmanagementsystem
MESZ Mitteleuropäische Sommerzeit → UTC+2
NUIX IT-Digital Forensik Plattform der Australischen Firma ’Nuix Pty Ltd’
Portable Standalone-Software welche ohne weitere Anpassungen oder Installation lauffähig ist
Tag Bezeichnung in der Informatik für Etikett eines Datenbestandes mit zusätzlichen Informatione
UTC Die koordinierte Weltzeit (Universal Time Coordinated, Universel Temps Coordonné)
VM Virtuelle Maschine → bildet Rechnerarchitektur eines realen Rechners nach
Wicklung Spule eines Leiters zur Erzeugung bzw. Übertragung von Magnetfeldern bei Elektromotoren
WinSCP Freie SFTP und FTP-Client Software für Windows
X-Ways IT-Digital Forensik Plattform der Deutschen Firma ’X-Ways AG’
6
4. Fall Nummer MUE11
4.1. Vorgehen
Zu Beginn der Praktikumsarbeit war es unser Ziel einen Überblick über die Anforderun-
gen, sowie die zur Verfügung stehenden Mittel und Applikationen zu erlangen. Nach einer
kurzen Einarbeitungsphase stellte sich uns schnell die Frage auf welcher Infrastruktur
das von uns ausgedachte Szenarium simuliert werden soll. Da es sich im Szenarium um
einen Datendiebstahl in einem Unternehmen handelt entschieden wir uns für eine virtu-
elle Windows 10 Umgebung. In Abbildung 4.1 ist ein Überblick der Arbeitsumgebung
dargestellt.
Abbildung 4.1.: Überblick Fall MUE11
Ein Konzept wurde erstellt und die Aufgabenverteilung zwischen den beiden Grup-
7
penmitgliedern Daniel Lussi und Timo Dreissigacker für die Simulation des Szenariums
wurde vorgenommen. Anschließend wurde festgelegt, wie die Forensische Untersuchung
Ablaufen soll. Für die Koordination und das gemeinsame Erarbeiten wurden WebEx
Sitzungen durchgeführt.
[RD19a] [RD19b]
Abbildung 4.2.: Ablauf Untersuchung Fall MUE11
8
4.2. Strategische Vorbereitung
4.2.1. Abgrenzung Auftrag
Der Auftrag wird wie folgt abgegrenzt:
• Ausarbeitung Szenarium
• Simulation Szenarium
• Ablauf Untersuchung gemäß Abbildung 4.2
• Kritische Bewertung der Ergebnisse
• Alternativen
Im Rahmen des simulierten Szenarios wurden bewusst die Logdienste der Maria DB
auf dem Windows 10 Rechner aktiviert. Für den Datenupload auf einen FTP wurde
entschieden mit einem Portable FTP Client zu arbeiten um die Analyse-Möglichkeiten
bei einer Portable Anwendung zu erkennen.
4.2.2. Rechtsnorm
Die Untersuchung der Workstation vom unter Verdacht stehenden Mitarbeiter Daniel
Lussi stützt sich auf das Mitarbeiter-Reglement der Firma dalu-c, in welchem vermerkt
ist, dass bei einem erhärtetem Verdacht auf Betriebsspionage die von der Firma zur
Verfügung gestellten IT Mittel untersucht werden können.
Auch beruft sich die Geschäftsleitung der Firma dalu-c auf den Paragraphen § 26 BDSG
neu Absatz 1.
§ 26 BDSG neu Abs 1 ’Zur Aufdeckung von Straftaten dürfen personenbezogene Daten
von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche
Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis
eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das
schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung
nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht un-
verhältnismäßig sind.’
Der Jurist begründet die Verhältnismäßigkeit mit der existentiellen Beeinträchtigung
der allfälligen Straftat für die Firma dalu-c, und die Bekannten und Nachgewiesenen
Kontakte vom Mitarbeiter Daniel Lussi zum Konkurrenzunternehmen.
4.3. Operationelle Vorbereitung
Der unter Verdacht stehende Mitarbeiter Daniel Lussi verfügt über kein Firmeneigenes
Mobiltelefon, so dass für die Datensammlung nur die Windows 10 Workstation des Mit-
arbeiters mit allen Speichermedien herangezogen wird. Im folgenden die Spezifikationen
9
der Workstation für die Datensammlung Abbildung 4.3 und Abbildung 4.4.
Abbildung 4.3.: Rechner Info
Abbildung 4.4.: Betriebssystem Info
Die geeigneten Forensischen Werkzeuge beschränken sich auf die in 4.1 Abbildung
aufgeführten Applikationen und auf das in 4.4.1 beschriebene Image Tool.
4.4. Sicherung / Datensammlung
4.4.1. Tool
Im Fall MUE11 haben wir uns entschieden das Image des Windows 10 Rechners mit
dem FTK (Forensic Toolkit) Imager von AccessData zu erstellen.
Zum Einsatz gekommen ist Folgende Version:
AccessData R FTK R Imager 4.2.1.4
104.4.2. Image
Da zum Zeitpunkt der Image-Generierung die Evaluation des IT-Forensik Tools noch
nicht stattgefunden hat, wurde entschieden 2 Image Formate zu erstellen um möglichst
für alle Tools offen zu bleiben. Der Entscheid fiel auf die Formate E01 (Encase Image
File Format) und AFF (Advanced Forensics Format). Diese beiden Formate werden von
den meisten IT-Forensik Tools unterstützt.
Im Folgenden die Imagegrösse nach Format:
MUE11 Image E01 Format → 10.9 GB
MUE11 Image AFF Format → 10.6 GB
Hashwert vom Original-Image MUE11 E01:
Ordner 1
Dateien 11
Grösse 11756222995 Bytes (10 GiB)
SHA256-über die Daten AA833A41DBEAC51E8BF7C3ED577A6355B726EABD773AFB5472095B9F74FA2FCB
SHA256-über Daten und Namen E5D370A39355F12C4607CAFFA3CFB33169192ACACF63A7F048B8A5869266BA0B
Tabelle 4.1.: Hash MUE11 E01 Image
Hashwert vom Original-Image MUE11 AFF:
Ordner 2
Dateien 11
Grösse 11423564571 Bytes (10 GiB)
SHA256-über die Daten A69B5112E34F76FC79EC13BB19770B37409AF141062177ED59CDF8AA42C6A4A9
SHA256-über Daten und Namen 75E3151459B5E9B81791355A6BEC8D2C8688E8410D61140B38E259ACD0CB96AA
Tabelle 4.2.: Hash MUE11 AFF Image
4.5. Identifikation / Untersuchung
4.5.1. Evaluation Forensik Tools
Zur Vorbereitung auf das weitere Vorgehen wurden zunächst verschiedene forensische
Tools auf ihre Tauglichkeit bezüglich des vorliegenden Falls analysiert.
11Bewertungskriterium AXIOM X-Ways NUIX EnCase Autopsy
Einarbeitung / Komplexität + – ? + ++
Performance / Schnelligkeit + – ? ++ +
Funktionsumfang ++ ++ ? ++ +
Suchfunktionen + ++ ? ++ ++
Tagging ++ ++ ? ++ ++
Report ++ ++ ? ++ ++
Eignung für Fall MUE11 (Image E01 / AFF Win10) ++ - - + ++
Tabelle 4.3.: Evaluation Forensik Tool für Fall MUE11
4.5.2. Beschreibung / Begründung Evaluation
AXIOM
Magnet AXIOM ist ein IT-Forensik Tool der Firma Magnet Forensics. Es bietet die
Möglichkeit Daten von unterschiedlichen Quellen (Interne, externe Laufwerke / Datei-
en&Ordner / Computer Images / Mobile Geräte / Volumenschattenkopien) zu laden und
zu analysieren. AXIOM bietet viele Funktionalitäten die einfach über das GUI genutzt
werden können. Reports können einfach generiert und in den Formaten PDF und HTML
exportiert werden. Einige sehr nützliche Funktionalitäten sind:
• Timeline Explorer
• Registry Explorer
• File System Explorer
• Report Generator
• Keyword Lists / Keyword Search
• Media Categorization
Wir haben uns entschieden unseren Fall mit Magnet AXIOM zu bearbeiten, da Magnet
AXIOM lokal installiert werden konnte, und ein unabhängiges Arbeiten ermöglichte.
X-Ways
X-Ways ist die IT-Digital Forensik Plattform der Deutschen Firma ’X-Ways AG’. Beim
Laden des Fall-Images MUE11 blieb X-Ways immer zwischen 50% - 60% hängen (nach
5h). Wir haben es von unterschiedlichen Netzen (unterschiedliche Datenraten) versucht,
jedoch mit dem gleichen negativen Ergebnis. Aus diesem Grund haben wir auf den
Einsatz von X-Ways verzichtet.
12NUIX
NUIX ist eine IT-Forensik Plattform der Australischen Firma ’Nuix Pty Ltd’. NUIX
ist beim Laden unseres Fall-Images MUE11 (10.9 GB) mehrmals auf der VM hängen
geblieben, Aus diesem Grund haben wir auf den Einsatz der Software für unseren Fall
verzichtet. Die Oberfläche von NUIX macht aber einen guten Eindruck.
EnCase
EnCase ist eine IT-Forensik Plattform der Firma ’Guidance Software’. Das Laden un-
seres Fall-Images MUE11 ging sehr schnell (ca. 30min). Die Oberfläche ist sehr einfach
und übersichtlich gehalten. Bei EnCase ist das ’Customizing’ sehr positiv aufgefallen.
So können Templates für Reports sehr einfach generiert werden und die Reports las-
sen sich in verschiedene Formate exportieren. Auch die umfangreichen Suchfunktionen
überzeugen. Sehr interessant ist EnScript (eine Scriptsprache von EnCase auf Basis
C/C++) mit welcher sich eigene Funktionen und das automatisieren von Aufgaben rea-
lisieren lassen. Da die Performence beim Arbeiten auf der VM nicht optimal war, haben
wir uns nicht für EnCase entschieden.
Autopsy
Autopsy ist eine Open Source IT-Forensik Plattform und User Interface zu ’The Sleuth
Kit’ (Sleuth Kit → Kommandozeilen basiert). Autopsy bietet viele Funktionalitäten die
einfach über das GUI genutzt werden können. Einige sehr nützliche sind:
• Image / Video Gallery
• Communications Visualisation (speziell für Smartphones → E-Mail / Facebook /
WhatsApp / Twitter ...)
• Timeline Editor
• Report Generator
• Keyword Lists / Keyword Search
• Erweiterung mit Plugins
• Plugin für Python Module
• Einfaches Taging über Kontextmenü
Autopsy kommt bei unserem Fall zusätzlich zu Magnet AXIOM zum Einsatz.
134.6. Isolation (Masterkopie / Arbeitskopie)
Die Masterkopie der beiden Images wurde unmittelbar nach der Erstellung auf eine San-
Disk SSD in den SanDiskSecureAccessV3 Tresor gesichert.
Abbildung 4.5.: Masterkopie Images Fall MUE11
Für jeden Gruppenteilnehmer wurden Arbeitskopien der Images erstellt. Die Checks-
ummen (Hash) aller Kopien wurden vor dem Beginn der Arbeit auf Gleichheit geprüft.
4.7. Datenanalyse / Verarbeitung
Die Datenanalyse wurde mit Magnet AXIOM und Autopsy durchgeführt. Wir haben
uns bewusst für 2 Forensik Tools entschieden um Erfahrungen zu sammeln und einen
Vergleich (insbesondere bei Problemen) einer Open Source- und einer kommerziellen Fo-
rensik Software zu haben. Die Verwendeten Analyse Tools:
• AXIOM Version 3.3.1.14874
• Autopsy 4.10.0 (RELEASE) - Sleuth Kit Version 4.6.5 (Netbeans RCP Build:
201609300101)
14Hierzu wurde das Image MUE11 EO1 von AXIOM Process als Beweisquelle durchsucht.
Mittels AXIOM Examine wurde anschließend genauere Untersuchungen auf den ermittel-
ten Daten durchgeführt. Das Windows Abbild wurde auf Bilddateien untersucht, welche
möglicherweise Hinweise auf verdächtige Aktivitäten enthalten. Des weiteren wurden
Aktivitäten im Internet, auf sozialen Netzwerken sowie der E-Mail-Verkehr analysiert.
Ebenfalls wurde das Image auf Vorhandensein der geheimen Dokumente und entspre-
chende Stichworte durchsucht.
Die Ansicht des Dashboards von Axiom Examine ist in den Abbildungen 4.6 und 4.7
dargestellt. Hier können weitere Beweisquellen hinzugefügt werden und einige Einstellun-
gen vorgenommen werden. So können die Beweisquellen beispielsweise auf verdächtiges
Bildmaterial durchsucht werden. Diese Funktion erwies sich allerdings für den hier vor-
liegenden Fall als nicht sonderlich hilfreich, da sie primär für strafrechtlich relevantes
Bildmaterial gedacht ist, explizit erwähnt werden hier Aufnahmen von Kindern.
Abbildung 4.6.: Startansicht Axiom Examine
15Abbildung 4.7.: Startansicht Axiom Examine
4.7.1. Web
Magnet Axiom und Autopsy sind konfiguriert um nach Web Artefakten zu suchen. Dies
z.B für die Browser Firefox, Chrome, Internet Explorer. Beide Applikationen können
dabei folgende Informationen extrahieren:
• Lesezeichen
• Cookies
• History
• Downloads
• Suchanfragen
16Abbildung 4.8.: Web Artefakte Autopsy
4.7.2. Social Media
Um die Social Media Aktivitäten zu untersuchen können bei Axiom die Artefakte, siehe
Abbildung 4.9, nach Webbezogenenen Artefakten gefiltert werden und anschließend nach
Social Media. So erhält man möglicherweise relevante Hinweise auf Aktivitäten auf den
entsprechenden Plattformen, wie zum Beispiel Facebook.
17Abbildung 4.9.: Ansicht aller Artefakte
Bei der Untersuchung der Social Media Aktivitäten, wurde festgestellt, dass es lediglich
Aktivitäten auf Facebook gab. Hierbei ist hervorzuheben, dass Herr Lussi dort nach
Herrn Dreissigacker gesucht hat und anschließend einige Zeit auf dessen Profil verbracht
hat. Es ist zu vermuten, dass es dort zu einer ersten Kontaktaufnahme gekommen ist
und möglicherweise das weitere Vorgehen abgestimmt wurde. Chats zwischen den beiden
Verdächtigen konnten jedoch nicht mehr rekonstruiert werden.
4.7.3. E-Mail
Zur Untersuchung der E-Mail Aktivitäten können die Artefakte nach E-Mails gefiltert
werden. Anschließend werden nur noch diese angezeigt und man kann weitere Analysen
durchführen. Wie in Abbildung 4.10 zu erkennen, kann man diese dann markieren. Hier
zu erkennen an der roten Markierung die einen Beweis auszeichnet.
18Abbildung 4.10.: Artefakte gefiltert nach E-Mails
Bei den Untersuchungen tritt besonders der E-Mail-Verkehr hervor. Beginnend am
28.06.2019 um 10:27:17. Hier findet die Kontaktaufnahme zwischen Timo Dreissigacker
und Daniel Lussi statt. In der ersten E-Mail fragt Herr Dreissigacker nach Informationen.
Im weiteren Verlauf stimmt Herr Lussi zu Herrn Dreissigacker Informationen zuzuspie-
len, indem er ihm einen temporären Zugang zum firmeneigenen Fileserver gibt.
Am 29.06.2019 um 10:05:10 Uhr folgt schließlich die E-Mail mit dem Zugang zum Ser-
ver. Separat wurde die E-Mail mit dem Passwort für den Server versandt. Abschließend
bittet Herr Lussi darum nicht als Quelle erwähnt zu werden, da er sonst Probleme be-
kommen könnte. Dies lässt darauf schließen, dass der Austausch von Informationen nicht
abgestimmt war und möglicherweise Firmengeheimnisse beinhaltet.
Eine Interessante Feststellung haben wir bezüglich der Zeiten gemacht. Die Zeiten, wel-
che in AXIOM zu den E-Mails angegeben werden stimmten nicht mit den Zeiten in den
E-Mails und deren Logs überein. Es ist eine Zeit-Differenz von 2 Stunden vorhanden,
welche auf die Mitteleuropäische Sommerzeit (MESZ) zur Koordinierten Weltzeit (UTC)
zurückzuführen ist. Die Verschiebung von MESZ zu UTC beträgt genau 2 h → UTC+2.
AXIOM arbeitet also mit UTC. Diese Differenz muss bei der Timeline berücksichtigt
werden.
Die Auflistung der Mail-Aktivitäten findet sich im Anhang unter B.
4.7.4. Applikationen
In AXIOM Examine gibt es keinen direkten Filter auf Applikationen. Über andere Fil-
ter, wie beispielsweise ,,Chat”, werden als Unterkategorien jedoch Filter, wie zum Bei-
spiel ,,Skype Chat Messages” oder ,,Skype Contacts” angezeigt. Auch können Filter
19auf Dateitypen gesetzt werden, was die Eingrenzung auf Applikationen zulässt. In dem
vorliegenden Fall war dies für die Untersuchung jedoch keine große Hilfe.
4.7.5. Logs / Metadaten
Zu jedem Artefakt in AXIOM Examine werden die Metadaten direkt angezeigt, wenn
man dieses Artefakt ausgewählt hat. Dort werden dann auf der rechten Seite ange-
zeigt und enthalten Hashes, Informationen zum Speicherort und auch Daten zur letzten
Änderung wenn es sich um eine Datei handelt. Zur vorliegenden Untersuchung wurden
diese Metadaten allerdings nicht benötigt.
4.7.6. Dokumente
Um auf dem Image nach Dokumenten zu suchen kann entweder, wie schon bei E-Mails
oder Social Media, ein Filter auf Dokumente eingestellt werden oder es kann direkt im
Dateisystem gesucht werden. Eine Darstellung der Ansicht des Dateisystems in Axiom
Examine ist in Abbildung 4.11 dargestellt. Durch Eingabe eines Suchbegriffs wie zum
Beispiel ,,.sql” kann nach allen Dateien mit dieser Endung gesucht werden. Auf die-
se Weise konnten auch verdächtige SQL-Queries gefunden werden. Außerdem wurde so
direkt nach den geheimen Daten gesucht, indem als Filter direkt der Dateiname oder
Schlüsselwörter eingegeben wurden.
Abbildung 4.11.: Ansicht des Dateisystems
Auf dem untersuchten Rechner wurden Hinweise auf die vermuteten Daten gefunden.
Zunächst konnten einzelne Bilder vollständig oder teilweise rekonstruiert werden. Diese
20wurden sowohl in einer MariaDB Version 10.3, dem Papierkorb als auch dem TMP Ord-
ner gefunden. Auf den Bildern sind technische Daten zu den Entwicklungen der Firma
zu erkennen.
Des weiteren konnten sowohl über Jump-Listen als auch über LNK-Dateien die komplet-
ten geheimen Daten gefunden werden. Außerdem wurden SQL-Queries gefunden, welche
mutmaßlich verwendet wurden, um die Dokumente aus der Datenbank zu laden. In der
Query ,,File export.sql” wurde sogar direkt ein Dokument aus der Datenbank geladen
4.12.
Abbildung 4.12.: Beweismittel: SQL Query
4.7.7. Timeline
Durch die gefundenen Informationen konnte eine Timeline erstellt werden (Abbildung
4.14). Zu Berücksichtigen waren die unterschiedlichen Zeitquellen UTC und MESZ. Wir
haben uns für die MESZ als Basis für die Timeline entschieden.
Der rekonstruierte Ablauf sieht wie folgt aus:
Abbildung 4.13.: Ablauf Vorfall Datendiebstahl
21Abbildung 4.14.: Timeline
4.8. Überprüfung
Die Überprüfung haben wir mit dem 4 Augen-Prinzip realisiert und mit dem Vergleich
der AXIOM und Autopsy Analyse. Aufgrund der örtlichen Distanz wurde dies mit einem
WebEx Meeting durchgeführt.
4.9. Dokumentation / Bericht
Aus Axiom Examine kann direkt ein Bericht erstellt werden. Als Auswahl wird hier an-
geboten den Bericht aus allen gefundenen Artefakten zu erstellen, was in unserem Fall
nicht empfehlenswert ist, da es über 180.000 Artefakte gab und der Bericht als PDF circa
700 MB groß war. Als weitere Möglichkeit wird angeboten, den Bericht nur über Arte-
fakte zu erstellen, welche vom Ermittler beziehungsweise Nutzer der Software markiert
wurden. Diese Möglichkeit haben wir gewählt. Ein Auszug des so erstellten Berichts be-
findet sich im Anhang. Der Bericht kann nach Tags oder nach Art des Artefaktes sortiert
werden.
Bei Autopsy gibt es verschiedene Report Module (Abbildung 4.15) unter anderen für
HTML und Excel. Auch kann eine Timeline auf Basis der Artefakte generiert und in
einen Bericht integriert werden.
22Abbildung 4.15.: Autopsy Report Module
235. Kritische Bewertung der Ergebnisse
Zusammenfassend ist zu sagen, dass mithilfe der IT-Forensik Tools der E-Mail-Verkehr
sowie die auf dem Rechner abgelegten Dateien sehr gut ausgewertet werden können. Die
Aktivitäten auf Facebook konnten nicht rekonstruiert werden. Es konnte lediglich fest-
gestellt werden, dass es Aktivitäten gab. Es ließ sich jedoch nur ermitteln, welche Profile
beispielsweise betrachtet wurden. Chat-Aktivitäten sowie das Stellen und Annehmen ei-
ner Freundschaftsanfrage konnte hingegen nicht mehr rekonstruiert werden. Ein weiteres
Problem bei der Untersuchung war, dass das Hochladen der Dateien mittels WinSCP
nicht vom Programm oder des Betriebssystem geloggt wurde. So konnte auch der Upload
nicht ermittelt werden. Es ist nur zu erkennen gewesen, dass WinSCP auf dem Rechner
installiert war, beziehungsweise heruntergeladen wurde. Dies kann jedoch in einer Un-
tersuchung lediglich als Hinweis auf mögliche Aktivitäten dienen und fungiert nicht als
Beweis. Allgemein wird hier die Problematik von Portable Applikationen sichtbar. Auf
den meisten Rechnern einer Firma braucht es normalerweise localadmin-Rechte für die
Installation von Applikationen. Mit Portable Versionen kann die Installation umgangen
werden da nur eine Kopie in ein Verzeichnis notwendig ist. Nicht zugelassene Applika-
tionen können so unter Umständen zum Einsatz kommen.
Das Dateisystem konnte mit Axiom sehr gut ausgewertet werden, sodass auch gelöschte
Dateien wieder gefunden wurden. In diesem Fall die gestohlenen Dokumente sowie die
SQL-Skripte mit denen diese Dokumente mit Betriebsgeheimnissen aus der Datenbank
geladen wurden.
Um solch einen Fall komplett rekonstruieren zu können bedarf es also entweder noch
weiterer Tools und Methoden, oder eine Überwachung der Datenpakete im Netzwerk
(Firewall-Logs / Proxy-Server-Logs). Dann würde vermutlich auch das Hochladen der
Dateien erkannt, und die Beweislast gegenüber den Verdächtigen würde erhärtet.
246. Alternativen zu den gegebenen
IT-Forensik Tools
Alternativ zu den gegebenen IT-Forensik Tools kann man eine Virtuelle Maschine mit
dem Image aufzusetzen und die Analyse in der VM durchführen. Wir haben dies mit
unserem Fall Image ausprobiert. Hier ist zu erwähnen dass, wenn man diese Variante
in Betracht zieht, man sich Gedanken über das Image Format machen sollte. Nicht mit
allen Image Formaten ist es einfach eine VM aufzusetzen. In unserem Fall haben wir
dies mit dem E01 Image durchgeführt. Folgende Arbeitsschritte waren notwendig:
• Image Mounting (E01 Image) mit FTK Imager
• vmdk File generieren mit vboxmanage internalcommands createrawvmdk
• Neue VM generieren mit VirtualBox (Use an existing virtual hard drive file)
• VM starten
Nachdem die VM aufgesetzt war konnten wir in der VM nach Informationen suchen.
Dabei ist es für die Webanalyse sinnvoll entsprechende Hilfsmittel herbeizuziehen. Wir
haben nach der Suche von Informationen im Web mit dem SQLite Manager gearbeitet.
Abbildung 6.1.: SQLiteManager
25Auf der VM konnte auch der WinSCP Portable Client ausgeführt werden, wobei so-
fort die letzte Sitzung geöffnet und die gestohlenen Firmendokumente angezeigt wurden
(Abbildung 6.2).
Abbildung 6.2.: WinSCP auf VM von Image E01
Dieser FTP Upload konnte mit Magnet Axiom und Autopsy nicht nachgewiesen wer-
den. Unsere Erkenntnis ist also, dass es Sinn macht zusätzlich zu den IT-Forensik Tools
auch das Image in einer VM lauffähig zu machen und Analysen durchzuführen. Dies soll-
te allerdings gut dokumentiert werden, da man hier Daten verändert. Allenfalls können
auch im Browser gespeicherte Passwörter so verwendet werden, z.B für den Facebook
Zugang. Hier handelt es sich aber klar um Personenbezogene Daten und man verstößt
gegen die DSGVO.
26A. Anhang Gestohlene Firmendokumente
Dokument : U nterlagen Konzept.pdf
Dalu-c
Dalu-c
Dalu-cDokument : U nterlagen M agnet.pdf
Dalu-c
Dalu-c
Dalu-cDokument : U nterlagen W icklung.pdf
Dalu-c
Dalu-c
Dalu-cDokument : U nterlagen W icklung.pdf
Dalu-c
Dalu-c Dalu-c
Dalu-c
Dalu-c
Dalu-cDokument : U nterlagen W icklung.pdf
Dalu-c
Dalu-c
Dalu-cB. Anhang Auszug AXIOM Bericht
In diesem Anhang befindet sich ein Auszug aus dem AXIOM Bericht. Der vollständigen
AXIOM Bericht umfasst 88 Seiten und wird aufgrund des Umfangs nicht in den vorlie-
genden Bericht integriert.
Im Folgenden die im Bericht integrierten relevanten Informationen bezüglich des Daten-
diebstahls, insbesondere Social Media und E-Mail Artefakte vom AXIOM Bericht.
32FORENSISCHER UNTERSUCHUNGSBERICHT
FALLNUMMER E01
Ermittler Timo Dreissigacker
Fall erstellt Sonntag, 16. Juni 2019
Bericht erstellt Montag, 15. Juli 2019Facebook-URLs Facebook-URLs
Bericht 1 Wiederherstellungsmethode ·
Tags Von Interesse
Kommentare Bericht 5
URL https://www.facebook.com/search/top/?q=timo%20dressigacker Tags Von Interesse
Datum/Zeit – UTC+00:00 28.06.2019 08:13:00 Kommentare
(dd.MM.yyyy) URL https://www.facebook.com/timo.dreissigacker
Potentielle Aktivität Unknown Datum/Zeit – UTC+00:00 28.06.2019 09:34:53
Artefakt Chrome Current Session (dd.MM.yyyy)
Artefakt-ID 165544 Potentielle Aktivität Looking at Facebook profile with profile id: timo.dreissigacker
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch Artefakt Chrome Current Session
rome\User Data\Default\Current Session Artefakt-ID 165555
Speicherort · File Offset 15984 Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Beweisnummer · MUE11_EO1.E01 rome\User Data\Default\Current Session
Quelle löschen · Speicherort · File Offset 54669
Wiederherstellungsmethode · Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Bericht 2 Wiederherstellungsmethode ·
Tags Von Interesse
Kommentare Bericht 6
URL https://www.facebook.com/search/top/?q=timo+dressigacker Tags Von Interesse
Datum/Zeit – UTC+00:00 28.06.2019 08:13:00 Kommentare
(dd.MM.yyyy) URL https://www.facebook.com/timo.dreissigacker
Potentielle Aktivität Unknown Datum/Zeit – UTC+00:00 28.06.2019 09:41:00
Artefakt Chrome Current Session (dd.MM.yyyy)
Artefakt-ID 165544 Potentielle Aktivität Looking at Facebook profile with profile id: timo.dreissigacker
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch Artefakt Chrome Current Session
rome\User Data\Default\Current Session Artefakt-ID 165558
Speicherort · File Offset 15984 Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Beweisnummer · MUE11_EO1.E01 rome\User Data\Default\Current Session
Quelle löschen · Speicherort · File Offset 62783
Wiederherstellungsmethode · Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Bericht 3 Wiederherstellungsmethode ·
Tags Von Interesse
Kommentare Bericht 7
URL https://www.facebook.com/timo.dreissigacker Tags Von Interesse
Datum/Zeit – UTC+00:00 28.06.2019 08:13:22 Kommentare
(dd.MM.yyyy) URL https://www.facebook.com/daniel.lussi.92
Potentielle Aktivität Looking at Facebook profile with profile id: timo.dreissigacker Datum/Zeit – UTC+00:00 28.06.2019 09:41:11
Artefakt Chrome Current Session (dd.MM.yyyy)
Artefakt-ID 165549 Potentielle Aktivität Looking at Facebook profile with profile id: daniel.lussi.92
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch Artefakt Chrome Current Session
rome\User Data\Default\Current Session Artefakt-ID 165560
Speicherort · File Offset 20583 Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Beweisnummer · MUE11_EO1.E01 rome\User Data\Default\Current Session
Quelle löschen · Speicherort · File Offset 70403
Wiederherstellungsmethode · Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Bericht 4 Wiederherstellungsmethode ·
Tags Von Interesse
Kommentare Bericht 8
URL https://www.facebook.com/timo.dreissigacker Tags Von Interesse
Datum/Zeit – UTC+00:00 28.06.2019 09:34:07 Kommentare
(dd.MM.yyyy) URL https://www.facebook.com/daniel.lussi.92
Potentielle Aktivität Looking at Facebook profile with profile id: timo.dreissigacker Datum/Zeit – UTC+00:00 28.06.2019 09:41:11
Artefakt Chrome Current Session (dd.MM.yyyy)
Artefakt-ID 165554 Potentielle Aktivität Looking at Facebook profile with profile id: daniel.lussi.92
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch Artefakt Chrome Current Session
rome\User Data\Default\Current Session Artefakt-ID 165562
Speicherort · File Offset 47478 Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Beweisnummer · MUE11_EO1.E01 rome\User Data\Default\Current Session
Quelle löschen · Speicherort · File Offset 73038
E01 | Timo Dreissigacker | Montag, 15. Juli 2019 50 E01 | Timo Dreissigacker | Montag, 15. Juli 2019 51
Facebook-URLs Facebook-URLs
Beweisnummer · MUE11_EO1.E01 Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Quelle löschen · rome\User Data\Default\Current Tabs
Wiederherstellungsmethode · Speicherort · File Offset 21216
Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Bericht 9
Wiederherstellungsmethode ·
Tags Von Interesse
Kommentare
URL https://www.facebook.com/search/top/?q=timo%20dressigacker Bericht 13
Datum/Zeit – UTC+00:00 28.06.2019 08:13:00 Tags Von Interesse
(dd.MM.yyyy) Kommentare
Potentielle Aktivität Unknown URL https://www.facebook.com/timo.dreissigacker
Artefakt Chrome Current Tabs Datum/Zeit – UTC+00:00 28.06.2019 09:34:53
Artefakt-ID 165572 (dd.MM.yyyy)
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch Potentielle Aktivität Looking at Facebook profile with profile id: timo.dreissigacker
rome\User Data\Default\Current Tabs Artefakt Chrome Current Tabs
Speicherort · File Offset 13926 Artefakt-ID 165573
Beweisnummer · MUE11_EO1.E01 Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Quelle löschen · rome\User Data\Default\Current Tabs
Wiederherstellungsmethode · Speicherort · File Offset 18525
Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Bericht 10
Wiederherstellungsmethode ·
Tags Von Interesse
Kommentare
URL https://www.facebook.com/search/top/?q=timo+dressigacker Bericht 14
Datum/Zeit – UTC+00:00 28.06.2019 08:13:00 Tags Von Interesse
(dd.MM.yyyy) Kommentare
Potentielle Aktivität Unknown URL https://www.facebook.com/search/top/?q=timo+dressigacker
Artefakt Chrome Current Tabs Datum/Zeit – UTC+00:00 28.06.2019 08:12:40
Artefakt-ID 165572 (dd.MM.yyyy)
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch Potentielle Aktivität Unknown
rome\User Data\Default\Current Tabs Artefakt Chrome Last Session
Speicherort · File Offset 13926 Artefakt-ID 165668
Beweisnummer · MUE11_EO1.E01 Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Quelle löschen · rome\User Data\Default\Last Session
Wiederherstellungsmethode · Speicherort · File Offset 82992
Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Bericht 11
Wiederherstellungsmethode ·
Tags Von Interesse
Kommentare
URL https://www.facebook.com/daniel.lussi.92 Bericht 15
Datum/Zeit – UTC+00:00 28.06.2019 09:41:11 Tags Von Interesse
(dd.MM.yyyy) Kommentare
Potentielle Aktivität Looking at Facebook profile with profile id: daniel.lussi.92 URL https://www.facebook.com/search/top/?q=timo%20dressigacker
Artefakt Chrome Current Tabs Datum/Zeit – UTC+00:00 28.06.2019 08:13:00
Artefakt-ID 165581 (dd.MM.yyyy)
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch Potentielle Aktivität Unknown
rome\User Data\Default\Current Tabs Artefakt Chrome Last Session
Speicherort · File Offset 23875 Artefakt-ID 165671
Beweisnummer · MUE11_EO1.E01 Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Quelle löschen · rome\User Data\Default\Last Session
Wiederherstellungsmethode · Speicherort · File Offset 83746
Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Bericht 12
Wiederherstellungsmethode ·
Tags Von Interesse
Kommentare
URL https://www.facebook.com/timo.dreissigacker Bericht 16
Datum/Zeit – UTC+00:00 28.06.2019 09:41:00 Tags Von Interesse
(dd.MM.yyyy) Kommentare
Potentielle Aktivität
Artefakt
Looking at Facebook profile with profile id: timo.dreissigacker
Chrome Current Tabs
34 URL
Datum/Zeit – UTC+00:00
https://www.facebook.com/search/top/?q=timo+dressigacker
28.06.2019 08:13:00
Artefakt-ID 165578 (dd.MM.yyyy)
Potentielle Aktivität Unknown
E01 | Timo Dreissigacker | Montag, 15. Juli 2019 52 E01 | Timo Dreissigacker | Montag, 15. Juli 2019 53Facebook-URLs Facebook-URLs
Artefakt Chrome Last Session Datum/Zeit – UTC+00:00 28.06.2019 08:13:00
Artefakt-ID 165671 (dd.MM.yyyy)
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch Potentielle Aktivität Unknown
rome\User Data\Default\Last Session Artefakt Chrome Last Tabs
Speicherort · File Offset 83746 Artefakt-ID 165687
Beweisnummer · MUE11_EO1.E01 Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Quelle löschen · rome\User Data\Default\Last Tabs
Wiederherstellungsmethode · Speicherort · File Offset 15294
Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Bericht 17
Wiederherstellungsmethode ·
Tags Von Interesse
Kommentare
URL https://www.facebook.com/timo.dreissigacker Bericht 21
Datum/Zeit – UTC+00:00 28.06.2019 08:13:22 Tags Von Interesse
(dd.MM.yyyy) Kommentare
Potentielle Aktivität Looking at Facebook profile with profile id: timo.dreissigacker URL https://www.facebook.com/search/top/?q=timo%20dressigacker
Artefakt Chrome Last Session Datum/Zeit – UTC+00:00 28.06.2019 08:13:00
Artefakt-ID 165676 (dd.MM.yyyy)
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch Potentielle Aktivität Unknown
rome\User Data\Default\Last Session Artefakt Chrome Web Visits
Speicherort · File Offset 92923 Artefakt-ID 165714
Beweisnummer · MUE11_EO1.E01 Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Quelle löschen · rome\User Data\Default\History
Wiederherstellungsmethode · Speicherort · Table: visits(id: 11)
· Table: urls(id: 10)
Beweisnummer · MUE11_EO1.E01
Bericht 18
Quelle löschen ·
Tags Von Interesse
Wiederherstellungsmethode ·
Kommentare
URL https://www.facebook.com/search/top/?q=timo%20dressigacker
Datum/Zeit – UTC+00:00 28.06.2019 08:13:00 Bericht 22
(dd.MM.yyyy) Tags Von Interesse
Potentielle Aktivität Unknown Kommentare
Artefakt Chrome Last Tabs URL https://www.facebook.com/timo.dreissigacker
Artefakt-ID 165687 Datum/Zeit – UTC+00:00 28.06.2019 09:34:07
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch (dd.MM.yyyy)
rome\User Data\Default\Last Tabs Potentielle Aktivität Looking at Facebook profile with profile id: timo.dreissigacker
Speicherort · File Offset 15294 Artefakt Chrome Web Visits
Beweisnummer · MUE11_EO1.E01 Artefakt-ID 165719
Quelle löschen · Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Wiederherstellungsmethode · rome\User Data\Default\History
Speicherort · Table: visits(id: 13)
· Table: urls(id: 11)
Bericht 19
Beweisnummer · MUE11_EO1.E01
Tags Von Interesse
Quelle löschen ·
Kommentare
Wiederherstellungsmethode ·
URL https://www.facebook.com/timo.dreissigacker
Datum/Zeit – UTC+00:00 28.06.2019 08:13:22
(dd.MM.yyyy) Bericht 23
Potentielle Aktivität Looking at Facebook profile with profile id: timo.dreissigacker Tags Von Interesse
Artefakt Chrome Last Tabs Kommentare
Artefakt-ID 165690 URL https://www.facebook.com/timo.dreissigacker
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch Datum/Zeit – UTC+00:00 28.06.2019 09:34:53
rome\User Data\Default\Last Tabs (dd.MM.yyyy)
Speicherort · File Offset 19893 Potentielle Aktivität Looking at Facebook profile with profile id: timo.dreissigacker
Beweisnummer · MUE11_EO1.E01 Artefakt Chrome Web Visits
Quelle löschen · Artefakt-ID 165721
Wiederherstellungsmethode · Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
rome\User Data\Default\History
Speicherort · Table: visits(id: 14)
Bericht 20 · Table: urls(id: 11)
Tags Von Interesse
Beweisnummer · MUE11_EO1.E01
Kommentare
Quelle löschen ·
URL https://www.facebook.com/search/top/?q=timo+dressigacker
Wiederherstellungsmethode ·
E01 | Timo Dreissigacker | Montag, 15. Juli 2019 54 E01 | Timo Dreissigacker | Montag, 15. Juli 2019 55
Facebook-URLs Facebook-URLs
Bericht 24 Speicherort · Table: visits(id: 10)
Tags Von Interesse · Table: urls(id: 9)
Kommentare Beweisnummer · MUE11_EO1.E01
URL https://www.facebook.com/timo.dreissigacker Quelle löschen ·
Datum/Zeit – UTC+00:00 28.06.2019 09:41:00 Wiederherstellungsmethode ·
(dd.MM.yyyy)
Potentielle Aktivität Looking at Facebook profile with profile id: timo.dreissigacker Bericht 28
Artefakt Chrome Web Visits Tags Von Interesse
Artefakt-ID 165722 Kommentare
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch URL https://www.facebook.com/search/top/?q=timo+dressigacker
rome\User Data\Default\History Datum/Zeit – UTC+00:00 28.06.2019 08:12:40
Speicherort · Table: visits(id: 15) (dd.MM.yyyy)
· Table: urls(id: 11) Potentielle Aktivität Unknown
Beweisnummer · MUE11_EO1.E01 Artefakt Chrome Web History
Quelle löschen · Artefakt-ID 165742
Wiederherstellungsmethode · Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
rome\User Data\Default\History
Bericht 25 Speicherort · Table: urls(id: 9)
Tags Von Interesse Beweisnummer · MUE11_EO1.E01
Kommentare Quelle löschen ·
URL https://www.facebook.com/timo.dreissigacker Wiederherstellungsmethode ·
Datum/Zeit – UTC+00:00 28.06.2019 08:13:22
(dd.MM.yyyy) Bericht 29
Potentielle Aktivität Looking at Facebook profile with profile id: timo.dreissigacker Tags Von Interesse
Artefakt Chrome Web Visits Kommentare
Artefakt-ID 165716 URL https://www.facebook.com/search/top/?q=timo%20dressigacker
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch Datum/Zeit – UTC+00:00 28.06.2019 08:13:00
rome\User Data\Default\History (dd.MM.yyyy)
Speicherort · Table: visits(id: 12) Potentielle Aktivität Unknown
· Table: urls(id: 11) Artefakt Chrome Web History
Beweisnummer · MUE11_EO1.E01 Artefakt-ID 165744
Quelle löschen · Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Wiederherstellungsmethode · rome\User Data\Default\History
Speicherort · Table: urls(id: 10)
Bericht 26 Beweisnummer · MUE11_EO1.E01
Tags Von Interesse Quelle löschen ·
Kommentare Wiederherstellungsmethode ·
URL https://www.facebook.com/daniel.lussi.92
Datum/Zeit – UTC+00:00 28.06.2019 09:41:11 Bericht 30
(dd.MM.yyyy) Tags Von Interesse
Potentielle Aktivität Looking at Facebook profile with profile id: daniel.lussi.92 Kommentare
Artefakt Chrome Web Visits URL https://www.facebook.com/timo.dreissigacker
Artefakt-ID 165725 Datum/Zeit – UTC+00:00 28.06.2019 09:41:00
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch (dd.MM.yyyy)
rome\User Data\Default\History Potentielle Aktivität Looking at Facebook profile with profile id: timo.dreissigacker
Speicherort · Table: visits(id: 16) Artefakt Chrome Web History
· Table: urls(id: 12)
Artefakt-ID 165746
Beweisnummer · MUE11_EO1.E01
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
Quelle löschen · rome\User Data\Default\History
Wiederherstellungsmethode · Speicherort · Table: urls(id: 11)
Beweisnummer · MUE11_EO1.E01
Bericht 27 Quelle löschen ·
Tags Von Interesse Wiederherstellungsmethode ·
Kommentare
URL https://www.facebook.com/search/top/?q=timo+dressigacker Bericht 31
Datum/Zeit – UTC+00:00 28.06.2019 08:12:40 Tags Von Interesse
(dd.MM.yyyy)
Kommentare
Potentielle Aktivität Unknown
URL https://www.facebook.com/daniel.lussi.92
Artefakt
Artefakt-ID
Chrome Web Visits
165711 35 Datum/Zeit – UTC+00:00
(dd.MM.yyyy)
28.06.2019 09:41:11
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch Potentielle Aktivität Looking at Facebook profile with profile id: daniel.lussi.92
rome\User Data\Default\History
Artefakt Chrome Web History
E01 | Timo Dreissigacker | Montag, 15. Juli 2019 56 E01 | Timo Dreissigacker | Montag, 15. Juli 2019 57Facebook-URLs
Artefakt-ID 165749
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Google\Ch
rome\User Data\Default\History
Speicherort · Table: urls(id: 12)
Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Wiederherstellungsmethode ·
E01 | Timo Dreissigacker | Montag, 15. Juli 2019 58
36Windows Mail Windows Mail
Bericht 1 Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
Tags Nachweise storeDB\store.vol
Kommentare · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
An d.lussi@dalu-c.ch store\data\3\f\10000005000000031013.dat
Von "Timo Dreißigacker" Speicherort · Table: Message (00010003: 21)
· Table: Recipient (00010003: 50)
Datum/Zeit – UTC+00:00 28.06.2019 10:27:17
· Table: Recipient (00010003: 51)
(dd.MM.yyyy)
· n/a
Thema Kontaktaufnahme
Beweisnummer · MUE11_EO1.E01
Körper
Quelle löschen ·
Wiederherstellungsmethode · Geparst
Bericht 3
Tags Nachweise
Kommentare
An "dalussi@gmail.com"
Von "Daniel Lussi"
Datum/Zeit – UTC+00:00 28.06.2019 10:46:45
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni (dd.MM.yyyy)
storeDB\store.vol Thema Test
· MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni Körper
store\data\3\d\10000003000000031013.dat
Speicherort · Table: Message (00010003: 19)
· Table: Recipient (00010003: 44) Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
· Table: Recipient (00010003: 45) storeDB\store.vol
· n/a · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
Beweisnummer · MUE11_EO1.E01 store\data\3\i\10000008000000031013.dat
Quelle löschen · Speicherort · Table: Message (00010003: 24)
Wiederherstellungsmethode · Geparst · Table: Recipient (00010003: 56)
· Table: Recipient (00010003: 57)
· n/a
Bericht 2 Beweisnummer · MUE11_EO1.E01
Tags Nachweise Quelle löschen ·
Kommentare Wiederherstellungsmethode · Geparst
An "Timo Dreißigacker"
Von "Daniel Lussi"
Datum/Zeit – UTC+00:00 28.06.2019 10:42:57 Bericht 4
(dd.MM.yyyy) Tags Nachweise
Thema Kontaktaufnahme Kommentare
Körper An "Daniel Lussi"
Von "Timo Dreißigacker"
Datum/Zeit – UTC+00:00 28.06.2019 10:47:27
(dd.MM.yyyy)
Thema Kontaktaufnahme
E01 | Timo Dreissigacker | Montag, 15. Juli 2019 82 E01 | Timo Dreissigacker | Montag, 15. Juli 2019 83
Windows Mail Windows Mail
Körper Datum/Zeit – UTC+00:00 29.06.2019 10:05:10
(dd.MM.yyyy)
Thema Unteralgen
Körper
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
storeDB\store.vol
· MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
store\data\3\j\10000009000000031013.dat Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
Speicherort · Table: Message (00010003: 25) storeDB\store.vol
· Table: Recipient (00010003: 58) · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
· Table: Recipient (00010003: 59) store\data\3\m\1000000c000000031013.dat
· n/a Speicherort · Table: Message (00010003: 28)
Beweisnummer · MUE11_EO1.E01 · Table: Recipient (00010003: 68)
Quelle löschen · · Table: Recipient (00010003: 69)
Wiederherstellungsmethode · Geparst · n/a
Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Bericht 5
Wiederherstellungsmethode · Geparst
Tags Nachweise
Kommentare
An "Timo Dreißigacker"
37 Bericht 6
Von "Daniel Lussi" Tags Nachweise
Kommentare
E01 | Timo Dreissigacker | Montag, 15. Juli 2019 84 E01 | Timo Dreissigacker | Montag, 15. Juli 2019 85Windows Mail Windows Mail
An "Timo Dreißigacker" Körper
Von "Daniel Lussi"
Datum/Zeit – UTC+00:00 29.06.2019 10:05:45
(dd.MM.yyyy)
Körper
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
storeDB\store.vol
· MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
store\data\3\n\1000000d000000031013.dat
Speicherort · Table: Message (00010003: 29)
· Table: Recipient (00010003: 70)
· Table: Recipient (00010003: 71)
· n/a
Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Wiederherstellungsmethode · Geparst
Bericht 7
Tags Nachweise
Kommentare
An "Daniel Lussi"
Von "Timo Dreißigacker"
Datum/Zeit – UTC+00:00 29.06.2019 15:58:42
(dd.MM.yyyy)
Thema Unteralgen
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
storeDB\store.vol
· MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
store\data\3\o\1000000e000000031013.dat
Speicherort · Table: Message (00010003: 30)
· Table: Recipient (00010003: 72)
· Table: Recipient (00010003: 73)
· n/a
Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Wiederherstellungsmethode · Geparst
Bericht 8
Tags Nachweise
Kommentare
An "Timo Dreißigacker"
Von "Daniel Lussi"
E01 | Timo Dreissigacker | Montag, 15. Juli 2019 86 E01 | Timo Dreissigacker | Montag, 15. Juli 2019 87
Windows Mail
Datum/Zeit – UTC+00:00 29.06.2019 16:15:06
(dd.MM.yyyy)
Thema Unteralgen
Körper
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
storeDB\store.vol
· MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
store\data\3\a\20000000000000031013.dat
Speicherort · Table: Message (00010003: 32)
· Table: Recipient (00010003: 78)
· Table: Recipient (00010003: 79)
· n/a
Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Wiederherstellungsmethode · Geparst
38
E01 | Timo Dreissigacker | Montag, 15. Juli 2019 88Aktivitäten auf der Windows-Zeitleiste Bilder
Bericht 1 Abbild
Tags Von Interesse
Kommentare
Anwendungsname Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge
Inhalt https://www.facebook.com/search/top/?q=timo%20dreissigacker&epa=SEARCH_BOX
Aktivitätstyp App In Use/Focus
Fokussierung (Sekunden) 5
Startdatum/-zeit – UTC+00:00 26.06.2019 15:47:15
(dd.MM.yyyy)
End-Datum/-Zeit – 26.06.2019 15:47:20
UTC+00:00 (dd.MM.yyyy)
Aktivitäts-ID 857c6182-af53-609d-cc68-66e2bf0f64f5
Plattform windows_universal
Datum/Zeit der Erstellung – 26.06.2019 15:47:22
UTC+00:00 (dd.MM.yyyy)
Zuletzt modifiziert – 26.06.2019 15:47:15
Datum/Zeit – UTC+00:00
(dd.MM.yyyy)
Zuletzt auf Client modifiziert – 26.06.2019 15:47:22
Datum/Zeit – UTC+00:00
(dd.MM.yyyy)
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Connected
DevicesPlatform\57396110d8c32222\ActivitiesCache.db
Speicherort · Table: ActivityOperation(OperationOrder: 217)
Beweisnummer · MUE11_EO1.E01 Größe (Bytes) 101419
Quelle löschen · Originalbreite 1139
Wiederherstellungsmethode · Geparst Originalhöhe 761
Hautfarbenprozentsatz 5.0
MD5-Hash 0ca9378f2628cef5ca2d9cc0477b00b6
Bericht 2
SHA1-Hash 16996aa6be9dc6d3d27727160d3d83143b656651
Tags Von Interesse
_rawData [Binary Data]
Kommentare
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\tmp\Unterlagen_Wicklung.pdf
Anwendungsname Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge
Speicherort · File Offset 1445379
Displayname Timo Dreissigacker (Microsoft Edge)
Beweisnummer · MUE11_EO1.E01
Inhalt https://www.facebook.com/timo.dreissigacker
Quelle löschen ·
Aktivitätstyp Open App/File/Page
Wiederherstellungsmethode · Gecarvt
Fokussierung (Sekunden) 0
Startdatum/-zeit – UTC+00:00 26.06.2019 15:47:24
(dd.MM.yyyy) Bericht 3
Aktivitäts-ID 331d7ab4-c33f-73ed-83fb-712b42b5d674 Tags In Frage kommende Bildschirmaufnahmen
Plattform windows_universal Kommentare
Datum/Zeit der Erstellung – 26.06.2019 15:47:24 Kategorie
UTC+00:00 (dd.MM.yyyy)
Zuletzt modifiziert – 26.06.2019 15:47:24
Datum/Zeit – UTC+00:00
(dd.MM.yyyy)
Zuletzt auf Client modifiziert – 26.06.2019 15:47:24
Datum/Zeit – UTC+00:00
(dd.MM.yyyy)
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Connected
DevicesPlatform\57396110d8c32222\ActivitiesCache.db
Speicherort · Table: ActivityOperation(OperationOrder: 218)
Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Wiederherstellungsmethode · Geparst
Bericht 3
Tags Von Interesse
Kommentare
Anwendungsname Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge
Inhalt https://www.facebook.com/timo.dreissigacker
Aktivitätstyp App In Use/Focus
Fokussierung (Sekunden) 10
E01 | Timo Dreissigacker | Montag, 15. Juli 2019 4 E01 | Timo Dreissigacker | Montag, 15. Juli 2019 9
LNK-Dateien Windows Mail
Beweisnummer · MUE11_EO1.E01 Datum/Zeit – UTC+00:00 29.06.2019 10:05:10
Quelle löschen · (dd.MM.yyyy)
Wiederherstellungsmethode · Geparst Thema Unteralgen
Körper
Bericht 3
Tags Von Interesse
Kommentare
Verlinkter Pfad C:\Program Files\MariaDB 10.3\data\sql_query\Abfrage2.sql
Datum/Zeit der Erstellung – 29.06.2019 10:07:06
UTC+00:00 (dd.MM.yyyy)
Zuletzt modifiziert – 29.06.2019 10:07:06
Datum/Zeit – UTC+00:00
(dd.MM.yyyy)
Letzter Zugriff – Datum/Zeit – 29.06.2019 10:07:06
UTC+00:00 (dd.MM.yyyy)
Zieldatei erstellt – Datum/Zeit 29.06.2019 10:07:04
– UTC+00:00 (dd.MM.yyyy)
Zieldatei zuletzt modifiziert – 29.06.2019 10:07:05
Datum/Zeit – UTC+00:00
(dd.MM.yyyy)
Letzter Zugriff auf Zieldatei – 29.06.2019 10:07:05
Datum/Zeit – UTC+00:00
(dd.MM.yyyy)
Zielattribute FILE_ATTRIBUTE_ARCHIVE
Laufwerkstyp DRIVE_FIXED
Seriennummer des 666D290E
Speichermediums
Befehl anzeigen SW_SHOWNORMAL
Net Bios-Name desktop-dksnnjq
Mac-Adresse 08:00:27:A3:B3:26
Größe der Zieldatei (Bytes) 31
Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Roaming\Microso
ft\Windows\Recent\Abfrage2.lnk
Speicherort · n/a
Beweisnummer · MUE11_EO1.E01
Quelle löschen ·
Wiederherstellungsmethode · Geparst
Bericht 4
Tags Von Interesse
Kommentare
Verlinkter Pfad C:\Program Files\MariaDB 10.3\data\sql_query\Abfrage4.sql
Datum/Zeit der Erstellung – 29.06.2019 10:07:34
UTC+00:00 (dd.MM.yyyy)
Zuletzt modifiziert – 29.06.2019 10:07:34
Datum/Zeit – UTC+00:00
(dd.MM.yyyy)
Letzter Zugriff – Datum/Zeit – 29.06.2019 10:07:34
UTC+00:00 (dd.MM.yyyy) Quelle · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
Zieldatei erstellt – Datum/Zeit 29.06.2019 10:07:31 storeDB\store.vol
– UTC+00:00 (dd.MM.yyyy) · MUE11_EO1.E01 - Partition 2 (Microsoft NTFS, 49,46 GB)\Users\dalu-\AppData\Local\Comms\Uni
Zieldatei zuletzt modifiziert – 29.06.2019 10:07:32 store\data\3\m\1000000c000000031013.dat
Datum/Zeit – UTC+00:00 Speicherort · Table: Message (00010003: 28)
(dd.MM.yyyy) · Table: Recipient (00010003: 68)
Letzter Zugriff auf Zieldatei – 29.06.2019 10:07:32 · Table: Recipient (00010003: 69)
Datum/Zeit – UTC+00:00 · n/a
(dd.MM.yyyy) Beweisnummer · MUE11_EO1.E01
Zielattribute FILE_ATTRIBUTE_ARCHIVE Quelle löschen ·
Laufwerkstyp DRIVE_FIXED Wiederherstellungsmethode · Geparst
Seriennummer des 666D290E
Speichermediums
Bericht 6
Befehl anzeigen SW_SHOWNORMAL
Tags Nachweise
Net Bios-Name desktop-dksnnjq
Kommentare
Mac-Adresse 08:00:27:A3:B3:26
E01 | Timo Dreissigacker | Montag, 15. Juli 2019 68 E01 | Timo Dreissigacker | Montag, 15. Juli 2019 85Sie können auch lesen
