Eines der Ziele einer forensischen Untersuchung ist es, ein besseres Verständnis eines Vorfalls zu erlangen, indem die Beweise identifiziert und analysiert werden. Dieses Modul beschreibt die verschiedenen Phasen des kompletten forensischen Computeruntersuchungsprozesses und hebt die Rolle von Sachverständigen bei der Lösung eines Falles von Cyberkriminalität hervor. Außerdem wird die Bedeutung von formellen Untersuchungsberichten erläutert, die bei einem Prozess vor Gericht vorgelegt werden.

Speichergeräte wie Festplattenlaufwerke (HDDs) und Solid-State-Laufwerke (SSDs) sind eine wichtige Informationsquelle bei forensischen Untersuchungen. Der Ermittler sollte die von Speichergeräten gesammelten Daten als Beweismittel lokalisieren und schützen. Daher muss der Ermittler die Struktur und das Verhalten von Speichergeräten kennen. Das Dateisystem ist ebenfalls wichtig, da die Speicherung und Verteilung der Daten auf einem Gerät vom verwendeten Dateisystem abhängt. Dieses Modul bietet einen Einblick in Festplatten und Dateisysteme.

Die Datenerfassung ist der erste proaktive Schritt bei der forensischen Untersuchung. Bei der forensischen Datenerfassung geht es nicht nur um das Kopieren von Dateien von einem Gerät auf ein anderes. Bei der forensischen Datenerfassung versuchen die Ermittler, alle im Speicher des Opfersystems vorhandenen Informationen zu extrahieren, um eine forensische Kopie dieser Informationen zu erstellen. Außerdem muss diese forensische Kopie so erstellt werden, dass die Integrität der Daten nachweislich erhalten bleibt und sie vor Gericht als Beweismittel verwendet werden können. In diesem Modul werden die grundlegenden Konzepte der Datenerfassung und die verschiedenen Schritte der Datenerfassungsmethodik erläutert.

Nachdem sie ein System kompromittiert haben, versuchen die Angreifer oft, alle Spuren ihrer Aktivitäten zu zerstören oder zu verbergen; dies macht die forensische Untersuchung für die Ermittler extrem schwierig. Der Einsatz verschiedener Techniken durch Cyber-Kriminelle, um Spuren illegaler Aktivitäten zu vernichten oder zu verbergen und forensische Untersuchungsprozesse zu behindern, wird als Anti-Forensik bezeichnet. Forensische Ermittler müssen Anti-Forensik überwinden/besiegen, damit eine Untersuchung konkrete und genaue Beweise liefert, die zur Identifizierung und Verfolgung der Täter beitragen. In diesem Modul werden die Grundlagen der Anti-Forensik-Techniken erläutert und ausführlich erörtert, wie forensische Ermittler sie mit verschiedenen Tools überwinden können.

Windows-Forensik bezieht sich auf die Untersuchung von Cyber-Verbrechen, an denen Windows-Rechner beteiligt sind. Es geht darum, Beweise von einem Windows-Rechner zu sammeln, damit der/die Täter eines Cyberverbrechens identifiziert und strafrechtlich verfolgt werden können. Windows ist eines der am weitesten verbreiteten Betriebssysteme; daher ist die Wahrscheinlichkeit, dass ein Windows-Rechner in einen Vorfall verwickelt ist, hoch. Ermittler müssen daher die verschiedenen Komponenten eines Windows-Betriebssystems wie das Dateisystem, die Registrierungen, die Systemdateien und die Ereignisprotokolle, in denen sie beweiskräftige Daten finden können, genau kennen. In diesem Modul wird erörtert, wie Sie forensische Beweise im Zusammenhang mit Vorfällen von Cyberkriminalität auf Windows-Rechnern sammeln und untersuchen.

Windows ist aufgrund seiner Beliebtheit in Unternehmenssystemen die am häufigsten verwendete Plattform für forensische Analysen. Für Systeme, die unter Windows laufen, gibt es mehrere Tools für die digitale Forensik. Wenn es jedoch darum geht, forensische Untersuchungen auf Linux- und Mac-Systemen durchzuführen, stehen die Ermittler vor einer anderen Art von Herausforderung. Während die forensischen Techniken dieselben sind, können sich die verwendeten Tools unterscheiden. In diesem Modul wird erörtert, wie Sie Beweise im Zusammenhang mit Vorfällen von Cyberkriminalität auf Linux- und MacOS-basierten Rechnern sammeln und untersuchen können.

Die forensische Untersuchung von Netzwerken bezieht sich auf die Analyse von Netzwerksicherheitsereignissen (zu denen Netzwerkangriffe und andere unerwünschte Ereignisse gehören, die die Sicherheit des Netzwerks untergraben) zu zwei allgemeinen Zwecken - um die Ursachen der Netzwerksicherheitsereignisse zu ermitteln, damit geeignete Schutzmaßnahmen und Gegenmaßnahmen ergriffen werden können, und um Beweise gegen die Urheber des Angriffs zu sammeln, die vor Gericht vorgelegt werden können. In diesem Modul werden die Methoden zur Untersuchung des Netzwerkverkehrs erörtert, um verdächtige Pakete zu lokalisieren und anhand der Analyse verschiedener Protokolldateien Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) zu identifizieren.

Webanwendungen ermöglichen Benutzern den Zugriff auf ihre Ressourcen über clientseitige Programme wie Webbrowser. Einige Webanwendungen können Schwachstellen enthalten, die es Cyberkriminellen ermöglichen, anwendungsspezifische Angriffe wie SQL Injection, Cross Site Scripting, Local File Inclusion (LFI), Command Injection usw. zu starten, die die zugrunde liegenden Server entweder teilweise oder vollständig beschädigen. Darüber hinaus können solche Angriffe auf Webanwendungen zu massiven finanziellen und rufschädigenden Schäden für Unternehmen führen. In den meisten Fällen sind Unternehmen nicht in der Lage, die Ursache eines Angriffs nachzuvollziehen, so dass die Angreifer Sicherheitslücken ausnutzen können. An dieser Stelle kommt der Forensik von Webanwendungen eine besondere Bedeutung zu. In diesem Modul werden das Verfahren der Web Application Forensics, verschiedene Arten von Angriffen auf Webserver und -anwendungen und die Frage, wo man bei einer Untersuchung nach Beweisen suchen sollte, erörtert. Außerdem wird erklärt, wie Sie verschiedene Arten von webbasierten Angriffen erkennen und untersuchen können.

Das Web hat drei Ebenen: das Surface Web, das Deep Web und das Dark Web. Während das Surface Web und das Deep Web für legitime Zwecke genutzt werden, wird das Dark Web vor allem von Cyberkriminellen genutzt, um ruchlose/antisoziale Aktivitäten zu begehen. Der Zugang zum Dark Web erfordert die Verwendung des Tor-Browsers, der Benutzern durch einen komplexen Mechanismus ein hohes Maß an Anonymität bietet und es Kriminellen so ermöglicht, ihre Identität zu verbergen. Dieses Modul erläutert die Grundlagen der Forensik des Dark Web, beschreibt die Funktionsweise des Tor-Browsers und erörtert die Schritte zur Durchführung einer forensischen Untersuchung des Tor-Browsers.

In den letzten Jahrzehnten wurden E-Mail-Dienste auf der ganzen Welt intensiv für die Kommunikation genutzt, um Texte und Multimedia-Nachrichten auszutauschen. Dies hat E-Mail jedoch auch zu einem mächtigen Werkzeug für Cyberkriminelle gemacht, um bösartige Nachrichten zu verbreiten und illegale Aktivitäten durchzuführen. Das vorliegende Modul soll Sie mit dem Thema E-Mail-Kriminalität vertraut machen und zeigen, wie sie entsteht. Es konzentriert sich in erster Linie auf die Schritte, die ein Ermittler bei einer Untersuchung von E-Mail-Verbrechen befolgen muss.

Derzeit ist bösartige Software, auch Malware genannt, das effizienteste Mittel, um die Sicherheit eines Computers oder eines anderen mit dem Internet verbundenen elektronischen Geräts zu gefährden. Aufgrund des raschen Fortschritts bei Technologien wie der einfachen Verschlüsselung und den Techniken zum Verstecken von Daten ist dies zu einer Bedrohung geworden. Malware ist die Hauptursache für verschiedene Cyber-Attacken und Internet-Sicherheitsbedrohungen; daher müssen Computerforensiker über das nötige Fachwissen verfügen, um damit umgehen zu können. Dieses Modul befasst sich ausführlich mit den verschiedenen Arten von Malware, den Grundlagen der Malware-Forensik und den verschiedenen Arten der Malware-Analyse, die Ermittler durchführen können, um den bösartigen Code zu untersuchen und festzustellen, wie die Malware während der Laufzeit mit den Systemressourcen und dem Netzwerk interagiert.