Zeit: Unterschied zwischen den Versionen

Aus IT-Forensik Wiki
(Die Seite wurde neu angelegt: „Die '''Zeit''' spielt unter verschiedenen Aspekten eine Rolle: 1) Erstellen einer Zeitlinie (auch Timeline) zur Zeit-basierten Darstellung des Vorfalles 2)…“)
 
Keine Bearbeitungszusammenfassung
Zeile 1: Zeile 1:
Die '''Zeit''' spielt unter verschiedenen Aspekten eine Rolle:  
Die '''Zeit''' spielt unter verschiedenen Aspekten eine Rolle:  


1) Erstellen einer Zeitlinie (auch Timeline) zur Zeit-basierten Darstellung des Vorfalles
1) Erstellen einer Zeitlinie (auch [[Timeline]]) zur Zeit-basierten Darstellung des Vorfalles


2) Zusammenführen von Zeit-basierten Daten unterschiedlicher IT-Systeme innerhalb eines Netzwerkes
2) Zusammenführen von Zeit-basierten Daten unterschiedlicher IT-Systeme innerhalb eines Netzwerkes

Version vom 4. Dezember 2018, 13:44 Uhr

Die Zeit spielt unter verschiedenen Aspekten eine Rolle:

1) Erstellen einer Zeitlinie (auch Timeline) zur Zeit-basierten Darstellung des Vorfalles

2) Zusammenführen von Zeit-basierten Daten unterschiedlicher IT-Systeme innerhalb eines Netzwerkes

3) Aufdecken von Spuren, die verwischt worden sind durch z.B. Änderung der Zeit


Eine der wichtigsten Tätigkeiten des Forensikers ist es - im Besonderen während der Datenanalyse- die Ereignisse anhand des
 jeweiligen Zeitpunktes des Ereignisses, an dem es stattfand, zu korrelieren. Dadurch wird eine Zeitlinie erzeugt, die sich im Besonderen dafür eignet, die Ereignisse in Ihrer Folge nachzuvollziehen. 
Computer erzeugen eine Systemzeit. Die Systemzeit wird bestmöglich auch im heruntergefahrenen Zustand fortgeführt und mit Korrekturfaktoren z.B. Zeitzoneninformation verbessert. Zudem bietet mitunter das Netzwerk Zeitinformationen zur Synchronisation über einen zentralen Servive NTP..Network Time Protocol.
 Diese unterschiedlichen Zeiten müssen durch den Forensiker zu einer vertrauenswürdigen Zeitbasis zusammengeführt werden, insbesondere wenn Daten aus mehreren IT-Systemen innerhalb eines Netzwerkes in einen einheitlichen zeitlichen Zusammenhang
gebracht werden müssen.

Die Veränderung der Systemzeit kann ein nachzuweisender Vorfall sein. Dazu müssen sowohl die Hardwarebasierte Zeit RTC als auch die Systemzeit erfasst, und mit einer unabhängigne Zeitquelle verglichen werden.

Der Aufbau und die Interpretation der Systemzeit ist vom Betriebessystem abhängig. Bei Linux kann z.b. die Systemzeit unabhängig von RTC gesetzt werden. Sollten sich IT Systeme in unterschiedlichen Zeitzone befinden, muss dies bei der Untersuchung beachtet werden.