Aleksandra Gehrke

Aus IT-Forensik Wiki
Version vom 21. September 2020, 19:03 Uhr von Etduen (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Bachelor Thesis, Hochschule Wismar, September 2020

Autor: Aleksandra Gehrke

Titel: Forensische Analyse von Zeitstempeln in ausgewählten Dateisystemen

Abstrakt:

Die Timeline-Analyse ist in der IT-Forensik von großer Bedeutung. Diese Bachelor- Thesis identifiziert Unterschiede in der Implementierung von Zeitstempeln, untersucht die Auswirkungen von Dateioperationen auf sie – sowohl innerhalb von Dateisystemen als auch bei deren Übergang – und zeigt auf, wie diese manipuliert werden können. Die Analyse erfolgte in physischen und virtuellen Umgebungen mit einer definierten Liste von Dateioperationen sowohl in der Befehlszeile als auch dem GUI. Dabei wurde unterschiedliches Verhalten der Zeitstempel in Abhängigkeit vom Dateisystem, bzw. beim Übergang von den Dateisystemen wie auch vom Eingabe-Modus der Dateioperation diagnostiziert. Es gelang Dateisysteme bzw. Paare von Dateisystemen beim Übergang anhand ähnlichen Verhaltens zu gruppieren.

Die Auswirkungen der Timestomping-Tools SETMACE und TIMESTOMP wurden analysiert und Unterschiede beschrieben. Abschließend wurde nachgewiesen, dass und wie Timestomping bei einer forensischen Untersuchung aufgedeckt werden kann.

Abstract

Timeline analysis is of great importance in IT forensics. This Bachelor Thesis identifies differences in timestamp implementation, examines the impact of file operations within and across file systems on timestamp behavior and shows how timestamps can be manipulated. The analysis was done in physical and virtual environments. A predefined file operation list was executed both in the command line and in GUI. It was demonstrated that timestamp behavior depends both on the file system/file system combination and the operation mode (command line, GUI). Based on the results, it was possible to group file systems with similar behavior.

The effects of timestomping tools SETMACE and TIMESTOMP were analyzed and differences between them described. Finally, it was demonstrated that and how timestomping can be detected during a forensic investigation.


Download PDF-Dokument