Linux Forensik mit Kali Linux

Unternehmen schützen ihre IT-Systeme mit umfangreichen Sicherheitsmaßnahmen. Trotzdem geschieht es immer wieder, dass Hacker oder Mitarbeiter erfolgreich einbrechen und Schaden anrichten. Darum ist es wichtig dass jeder Administrator forensische Analysen auf seinen Computer Systemen durchführen kann. Solche Analysen sind nicht nur für die Strafverfolgung interessant, sondern auch eine wichtige Tätigkeit, die  Pentester, Security Spezialisten und Linux Troubleshooter durchführen müssen um feststellen zu können ob Systeme manipuliert wurden.

In dieser Schulung erlernen Sie die Grundlagen der Linux Computer Forensik und erhalten einen Einblick in die zahlreichen kostenlosen Forensik Werkzeuge. Die durchgeführten Analysen vertiefen darüber hinaus das Verständnis über die Linux Architektur. Dieser Kurs ist somit jedem fortgeschritten SUSE, Red Hat, und Debian Admin hilfreich.

Kali Linux

Die bei Penetration Tester beliebte Linux Distribution Kali Linux bietet out of the box alle notwendigen Open Source Forensic Programme, um kostenlos eine fortgeschrittene forensische Systemanalyse von Disk Images und Memory Dumps vornehmen zu können.  Alle gezeigten Werkzeuge stehen jedoch auch als Open Source zur Verfügung und können auch unabhängig von Kali Linux auf jedem anderen Linux OS eingesetzt werden.

Agenda

• Grundlagen der Computer Forensik
  • Ziele der Emittlung
  • Phasen der Ermittlung
  • Sichern der Beweiskette
  • Flüchtige Daten und Speichermedien sichern
• Open Source Forensik Werkzeuge
  • Kali Linux im Forensik Modus
  • Sleuthkit und Autopsy Forensik Browser
  • Volatility Framework
• Standard Linux Werkzeuge für Forensiker
  
  • cat-Varianten, grep-Varianten, split, lsof, ...
  • hexdump, xxd, od
  • Erstellen von Hashes
  • Dateitypen analysieren mit strings und Magic Number
  • Log Dateien auswerten
• Hard Disk
  • Geometry und Aufbau
  • Blöcke, Sektoren und Cluster
  • Partitionsschemas
  • Aufbau des Master Boot Record
  • Sektorgröße (512b, 512e, 4Kn)
  • fdisk Varianten und ihre Darstellung im Detail
•  Dateisystem Layout
  
  • File System Abstraction Model
  • Bootblock, Superblock, Inode Bitmap, Inode Table, Group Descriptor
  • Inodes im Detail
  • Slack Space
  • Dateisystem Journal
• Forensische Daten Dumps mit dd, dcfldd und dc3dd erstellen
  
  • Unterschiede zwischen den dd-Varianten
  • if= und of= Varianten im Detail
  • dd und die Blockgrößen
  • dd Fortschrittsanzeigen
  • fortgeschrittenes Imagen mit bs=, count= und seek=
  • Output Konvertierung mit conv=
  • Splitten und Komprimieren von RAW Images
  • Imagen über das Netzwerk mit netcat bzw. ssh
  • Behandeln von defekten Blöcken während des Image Vorganges
  • Erstellen von Hashes zur Beweissicherung
  • Image Formate im Vergleich (RAW, EWF, FTK Smart, AFF)
  • Sicheres Löschen von Hard Disks, Partitionen und einzelnen Dateien
• Wiederherstellen von gelöschten Dateien
  • Partitionen und Images mit strings analysieren
  • File Descriptor und laufende Prozesse
  • extundelete und ext3/4 Dateisysteme
  • Linux Dateisytem Journal
• MAC Time Analysen
  • Modification Time
  • Access Time
  • Change Time
  • Create und Birth Time
  • Analyse mit istat, debugfs und xfs_io
• Sleuth Kit
  • Sleuth Kit Werkzeuge im Detail (fsstat, mmls, jls, jcat, ils, ...)
• Forensische Dateisystem Analyse mit Sleuth Kit (ext2/3/4 und NTFS Dateisysteme)
  
  • Deleted File Identification and Recovery
  • Physical String Search & Allocation Status
  • Unallocated Extraction & Examination
  • NTFS Examination File Analysis
  • NTFS und Alternate Data Streams (ADS)
  • NTFS Examination and Sorting Files
  • Signature Search in Unallocated Space
• Memory Dump
  • Aufbau des Physical Memory
  • Vorgehensweise beim erstellen eines Memory Dumps
  • Software und Hardware Werkzeuge
  • Virtuelle Maschinen, Bare Metal, Hibernation File, Snapshots, ...
  • Linux Memory Dump mit LiME erstellen
• Volatility Framework
  • Architektur, Plugins, OS Profile
  • Linux Profile für Volatility Framework erstellen
• Auswerten eines Linux Memory Dumps
  • Prozess Informationen auswerten
  • Memory Dump von Prozessen erstellen
  • Suchen von Passwörtern
  • Offene Dateien, Netzwerk Ports, Sockets
  • Spurensuche über die Bash History
  • Suchen nach Keyboard Loggern
  • Suchen nach Malware
  • und vieles mehr

Empfohlene Vorkenntnisse

Diese Forensik Schulung richtet sich an alle Teilnehmer mit guten Administrationserfahrungen im Linux Bereich. Vor der Teilnahme an diesem Kurs, empfehlen wir unseren "Linux 2 - System Administration" Kurs zu besuchen, um den Kursübungen folgen zu können.

Details zu diesem Open Source Training

Den Kurstermin 11.12.24 - 13.12.24 buchen

Schritt 1:  Auswahl der Kursvariante (Classroom oder Live)
Schritt 2:  Angabe der Teilnehmer Daten

Kurspreis

EUR 1.935,00

Kursart

Classroom (Präsenztraining) Live (Videokonferenz)

Firmenname

UID

Bestellnummer

Bestellername

Aktionscode

Rechnungsadresse

PLZ

Ort

Land

Teilnehmername

Anrede

Herr Frau

Telefon

eMail

Anmerkung

AGB

Hiermit bestätige ich das ich die AGB gelesen und akzeptiert habe

1 Kursvariante

2 Anmeldedetails

Alternative Kursmöglichkeiten

Alternativer Kursort:
Dieses Thema kann auch als In-House Training oder Einzeltraining gebucht werden

Alternativer Termin:
Ab 3 Teilnehmern bieten wir Ihnen gerne einen auf Ihre Bedürfnisse abgestimmten Termin an

Weitere Termine zu diesem Kursthema