Die Teilnehmenden erlernen die systematische Sicherung und Analyse forensischer Artefakte unter Windows. Ziel ist es, Speicherabbilder zu erstellen, die Registry und das Dateisystem zu untersuchen sowie mittels KI-gestützter Tools Event-Logs und Registry-Anomalien effizient zu interpretieren, um den Hergang eines Sicherheitsvorfalls lückenlos zu rekonstruieren.
Order of Volatility: Sicherung flüchtiger Daten (RAM, Netzwerkverbindungen).
Imaging: Erstellung von bitgenauen Kopien (E01, Raw) unter Wahrung der Chain-of-Custody.
Triage: Schnelle Datenerhebung mit Tools wie KAPE oder Velociraptor.
2. Dateisystem-Forensik (NTFS)
MFT-Analyse: Master File Table als Zeitkapsel für Dateioperationen.
Timestomping: Erkennung von manipulierten Zeitstempeln.
Deleted Files: Wiederherstellung von Daten aus dem Unallocated Space und Slack Space.
3. Windows Registry Forensik
Hives und Keys: System-, Software- und User-Hives (NTUSER.DAT) auswerten.
Spurensuche: USB-Historie, zuletzt geöffnete Dateien und installierte Software.
User-Assist: Rekonstruktion der Benutzerinteraktion über die Registry.
4. Persistenz und Programmausführung
User-Aktivität: Analyse von ShellBags, LNK-Dateien und Jump Lists.
Execution Artefacts: Prefetch, Superfetch und Amcache zur Nachverfolgung von Programmstarts.
Autostart-Mechanismen: Versteckte Dienste, geplante Aufgaben und WMI-Event-Consumer.
5. Memory Forensik
Volatility Framework: Analyse von Prozessen, DLLs und Code-Injektionen im RAM.
Credential-Artefakte im Arbeitsspeicher: Untersuchung von Passwort-Hashes, Domänen-Cache-Einträgen, LSA Secrets und LSASS-Speicherbereichen.
Malware und Rootkit-Indikatoren im Speicher: Erkennung von Fileless Malware, Process Injection, versteckten Prozessen, Treibern und Kernelmanipulationen.
6. LLM-gestützte Event-Log-Analyse
LLM-gestützte Interpretation von Windows Event-IDs: Nutzung von LLMs (z. B. GPT, Claude) zur Interpretation kryptischer Event-IDs.
Pattern Recognition: Schnelles Filtern von lateralen Bewegungen (RDP, SMB) in Millionen von Log-Einträgen.
Natural Language Querying: Abfragen von Log-Daten in natürlicher Sprache statt komplexer XPath-Filter.
7. KI-gestützte Anomalie-Erkennung in der Registry
Baseline-Vergleich: Erstellung von Registry-Snapshots und Vorher-/Nachher-Vergleichen mit Regshot als Grundlage für die weitere KI-gestützte Analyse.
Malicious Persistence: KI-gestützte Analyse auffälliger Registry-Inhalte auf Hinweise persistenter Autostart- und Ausführungsmechanismen, insbesondere Run-Keys, ungewöhnlicher Zielpfade, Dienste und geplanter Aufgaben.
Entropie-Analyse: Entropie-Analyse zur Erkennung auffällig codierter, komprimierter oder zufällig wirkender Registry-Werte als Hinweis auf mögliche Verschleierung.
8. Praxis-Training: Bearbeitung einer forensichen Fallstudie
Dauer/zeitlicher Ablauf:
3 Tage
Zielgruppe:
IT-Sicherheitsbeauftragte & SOC-Analysten: Zur schnellen Aufklärung von Incidents.
Administratoren: Die im Ernstfall die ersten forensischen Schritte einleiten müssen.
Behördliche Ermittler: Zur Vertiefung technischer Kenntnisse in Windows-Umgebungen.
Revisoren: Zur technischen Überprüfung von Systemmanipulationen.
Wir setzen Analyse-Cookies ein, um Ihre Zufriedenheit bei der Nutzung unserer Webseite zu verbessern.
Diese Cookies werden nicht automatisiert gesetzt.
Wenn Sie mit dem Einsatz dieser Cookies einverstanden sind, klicken Sie bitte auf Akzeptieren.
Weitere Informationen finden Sie hier.
