Digitale Forensik für Linux und Unix Systeme

• Grundbegriffe und Prinzipien der digitalen Forensik
• Unterschiede zwischen Windows- und Linux-Forensik
• Rechtliche Aspekte und Chain of Custody

• Linux-Dateisysteme: ext4, btrfs, XFS
• Kurzer Überblick zfs on linux
• Wichtige Verzeichnisse und Systemdateien (z.B. /var/log, /var/log/journal, /etc), systemd-journal
• Journaling und Inodes im Dateisystem

• Überblick Linux-Tools (z.B. grep, dd, df, lsof)
• Dateien und Prozesse identifizieren und analysieren
• Praktische Übung: Sammeln und Analysieren von Systeminformationen

• Tools für Disk-Imaging: dd, dcfldd …
• Erstellung eines forensischen Images und Prüfsummen
• Praktische Übung: Disk-Imaging und Verifizierung der Datenintegrität

• Einführung in die RAM-Analyse
• Tools: LiME (Linux Memory Extractor), Volatility, Rekall
• Praktische Übung: RAM-Dumps erstellen und analysieren

• Bedeutung von Logs: /var/log/messages, auth.log, syslog
• systemd-journald und journalctl
• Tools zur Log-Analyse: grep, Log2timeline (plaso) etc.
• Praktische Übung: Analyse von Linux Log-Dateien für forensische Untersuchungen

• Analyse von gelöschten Dateien und Verzeichnissen
• Tools: Sleuth Kit (TSK), Autopsy
• Praktische Übung: Wiederherstellung und Analyse gelöschter Dateien

• Erstellung und Analyse von Zeitlinien
• Konsolidierung von Artefakten (Logs, Dateisystem, RAM)
• Praktische Übung: Erstellung einer forensischen Zeitachse mit Timesketch

• Erkennung und Analyse von Rootkits, Trojanern und anderen Malware-Arten
• Tools: chkrootkit, rkhunter, Yara…

• Netzwerkaktivitäten und Verbindungen analysieren
• Tools: tcpdump, Wireshark, NetworkMiner…

• Struktur und Aufbau eines forensischen Berichts
• Dokumentation der Beweismittel und Untersuchungsergebnisse
• Praktische Übung: Verfassen eines Berichts basierend auf einem Fallbeispiel

• Bearbeitung eines realistischen Fallbeispiels
• Sammeln und Analysieren von Beweismitteln aus Logs, RAM und Netzwerk

Am Ende dieses Kurses haben die Teilnehmer umfassende praktische Kenntnisse in der Analyse von Linux-Systemen und die Fähigkeit, Open-Source-Tools wie Volatility, TSK, Autopsy, und Wireshark zu nutzen. Sie erlernen die forensische Analyse von RAM, Festplatten und Netzwerken, um auf Vorfälle schnell und fundiert zu reagieren.