Danny Gerstenberger
Bachelor Thesis, Hochschule Wismar, Mai 2019
Autor: Danny Gerstenberger
Titel: Server-Forensik mit PowerShell in einer virtualisierten Umgebung mit Schwerpunkt Remote-Analyse
Abstrakt: Die PowerShell ist ein in neueren Windows-Versionen standardmäßig installiertes Kommandozeilen-Tool, welches seinen Anwendern tiefe Eingriffe in ein Computer-System erlaubt. Sowohl für Angreifer als auch für Ermittler kann sie ein wichtiges Werkzeug sein, um Systeme zu infiltrieren oder Spuren eines Angriffes aufzufinden. Dafür bietet sie sowohl allgemeine als auch spezialisierte Befehlssätze, die je nach Ziel-System erst implementiert werden müssen. Anhand dieser lassen sich Nutzer- und Datei-Bewegungen auf verschiedene Arten nachweisen oder selbst durchführen sowie die Architektur eines Domain Controllers weitreichend auslesen oder manipulieren. Bei einem Exchange- Server ist die PowerShell in einer erweiterten Sonderform implementiert, welche im Optimalfall den Nachweis des stattgefundenen Nachrichtenverkehrs bis ins kleinste Detail ermöglicht. Aufgrund des erheblichen Umfanges an verfügbaren Befehlen wird allerdings nur auf ein begrenztes Spektrum eingegangen.