Drucken

Linux Forensik mit Kali Linux

Zusammenfassung 

Titel:
Linux Forensik mit Kali Linux
Wann:
21.03.18 09:30 - 23.03.18 17:00
Wo:
LinuxCampus - Wr. Neustadt
Kategorie:
Security und Hardening

Beschreibung

Unternehmen schützen ihre IT-Systeme mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker oder Mitarbeiter erfolgreich einbrechen und Schaden anrichten. Darum ist es wichtig dass jeder Administrator forensische Analysen auf seinen Computer Systemen durchführen kann. Solche Analysen sind nicht nur für die Strafverfolgung interessant, sondern auch eine wichtige Tätigkeit, die  Pentester, Security Spezialisten und Linux Troubleshooter durchführen müssen um feststellen zu können ob Systeme manipuliert wurden.

In dieser Schulung erlernen Sie die Grundlagen der Linux Computer Forensik und erhalten einen Einblick in die zahlreichen kostenlosen Forensik Werkzeuge. Die durchgeführten Analysen vertiefen darüber hinaus das Verständnis über die Linux Architektur. Dieser Kurs ist somit jedem fortgeschritten SUSE, Red Hat, und Debian Admin hilfreich.

Kali Linux

Die bei Penetration Tester beliebte Linux Distribution Kali Linux bietet out of the box alle notwendigen Open Source Forensic Programme, um kostenlos eine fortgeschrittene forensische Systemanalyse von Disk Images und Memory Dumps vornehmen zu können.  Alle gezeigten Werkzeuge stehen jedoch auch als Open Source zur Verfügung und können auch unabhängig von Kali Linux auf jedem anderen Linux OS eingesetzt werden.

Agenda

  • Grundlagen der Computer Forensik
    • Ziele der Emittlung
    • Phasen der Ermittlung
    • Sichern der Beweiskette
    • Flüchtige Daten und Speichermedien sichern
  • Open Source Forensik Werkzeuge
    • Kali Linux im Forensik Modus
    • Sleuthkit und Autopsy Forensik Browser
    • Volatility Framework
  • Standard Linux Werkzeuge für Forensiker
    • cat-Varianten, grep-Varianten, split, lsof, ...
    • hexdump, xxd, od
    • Erstellen von Hashes
    • Dateitypen analysieren mit strings und Magic Number
    • Log Dateien auswerten
  • Hard Disk
    • Geometry und Aufbau
    • Blöcke, Sektoren und Cluster
    • Partitionsschemas
    • Aufbau des Master Boot Record
    • Sektorgröße (512b, 512e, 4Kn)
    • fdisk Varianten und ihre Darstellung im Detail
  •  Dateisystem Layout
    • File System Abstraction Model
    • Bootblock, Superblock, Inode Bitmap, Inode Table, Group Descriptor
    • Inodes im Detail
    • Slack Space
    • Dateisystem Journal
  • Forensische Daten Dumps mit dd, dcfldd und dc3dd erstellen
    • Unterschiede zwischen den dd-Varianten
    • if= und of= Varianten im Detail
    • dd und die Blockgrößen
    • dd Fortschrittsanzeigen
    • fortgeschrittenes Imagen mit bs=, count= und seek=
    • Output Konvertierung mit conv=
    • Splitten und Komprimieren von RAW Images
    • Imagen über das Netzwerk mit netcat bzw. ssh
    • Behandeln von defekten Blöcken während des Image Vorganges
    • Erstellen von Hashes zur Beweissicherung
    • Image Formate im Vergleich (RAW, EWF, FTK Smart, AFF)
    • Sicheres Löschen von Hard Disks, Partitionen und einzelnen Dateien
  • Wiederherstellen von gelöschten Dateien
    • Partitionen und Images mit strings analysieren
    • File Descriptor und laufende Prozesse
    • extundelete und ext3/4 Dateisysteme
    • Linux Dateisytem Journal
  • MAC Time Analysen
    • Modification Time
    • Access Time
    • Change Time
    • Create und Birth Time
    • Analyse mit istat, debugfs und xfs_io
  • Sleuth Kit
    • Sleuth Kit Werkzeuge im Detail (fsstat, mmls, jls, jcat, ils, ...)
  • Forensische Dateisystem Analyse mit Sleuth Kit (ext2/3/4 und NTFS Dateisysteme)
    • Deleted File Identification and Recovery
    • Physical String Search & Allocation Status
    • Unallocated Extraction & Examination
    • NTFS Examination File Analysis
    • NTFS und Alternate Data Streams (ADS)
    • NTFS Examination and Sorting Files
    • Signature Search in Unallocated Space
  • Memory Dump
    • Aufbau des Physical Memory
    • Vorgehensweise beim erstellen eines Memory Dumps
    • Software und Hardware Werkzeuge
    • Virtuelle Maschinen, Bare Metal, Hibernation File, Snapshots, ...
    • Linux Memory Dump mit LiME erstellen
  • Volatility Framework
    • Architektur, Plugins, OS Profile
    • Linux Profile für Volatility Framework erstellen
  • Auswerten eines Linux Memory Dumps
    • Prozess Informationen auswerten
    • Memory Dump von Prozessen erstellen
    • Suchen von Passwörtern
    • Offene Dateien, Netzwerk Ports, Sockets
    • Spurensuche über die Bash History
    • Suchen nach Keyboard Loggern
    • Suchen nach Malware
    • und vieles mehr

 

Empfohlene Vorkenntnisse

Diese Forensik Schulung richtet sich an alle Teilnehmer mit guten Administrationserfahrungen im Linux Bereich. Zumindestens sollten die Teilnehmer zuvor den Kurs "Linux 2 System Administration" besucht haben um den Kursübungen folgen zu können.

Details zu diesem Training

Event Code:

Event Preis:

Teilnehmeranzahl:

Sprache:

Seminarunterlage:

Teilnehmerzertifikat:

Verpflegung:

9900 - Linux Forensik mit Kali Linux

1.785,00 € exkl. MwSt (pro Teilnehmer, Standardpreis ohne Rabatt)

max 10 Teilnehmer

Deutsch

Elektronisch, auf Wunsch auch auf Papier

Ja, natürlich

Kalt- und Heißgetränke, Mittagessen (bei ganztägigen Kursen), diverse Snacks

Kennen Sie schon das LinuxCampus.net Rabatt & Bonus System?

Alternative Kursmöglichkeiten
Alternativer Ort: Dieses Thema kann auch als In-House Training oder Einzeltraining gebucht werden
Alternativer Termin: Ab 2 Teilnehmern bieten wir Ihnen gerne einen auf Ihre Bedürfnisse abgestimmten Termin an

Dieses Training findet regelmäßig bei uns im Haus statt. Die nächsten Termine zu diesem Kurs finden Sie hier

Veranstaltungsort

LinuxCampus
Veranstaltungsort:
LinuxCampus   -   Website
Strasse:
Brodtischgasse 4
PLZ:
2700
Stadt:
Wr. Neustadt
Bundesland:
Niederösterreich
Land:
Austria

Registrierung

Internet Anmeldung