Download pdf - Dirk Wetter @ Dr. Wetter IT-Consulting, ()

Dirk Wetter Dr Wetter IT-Consulting (httpdrwetterde)

Hamburg

Erste Hilfe in Digitaler Forensik

Secure Linux Administration Conference 2 Berlin 6-7122007

Agenda

I Einleitung

II Begriffe + Arbeitsweise

III Verdacht erkennen + erhaumlrten

IV Beweissicherung

V Vorbeugen ist besser als

335352

115

905

Secure Linux Administration Conference 2 Berlin 6-7122007 copy Dr Wetter IT-Consulting

I EinleitungII Begriffe+ArbeitsweiseIII Verdacht erkennen + erhaumlrtenIV BeweissicherungV Vorbeugen ist besser als

Incident Response d CF = bis vor PM-Analyse

Methodik

Handwerkszeug Kommandozeile

Beschraumlnkung aufPC-HardwareLinuxVerwendung von OSS

einfache Problemstellung kein RAID DB ATA-HPADCO -SE keine Tatortsicherung

Um was gehts

435452

115

905



Unterscheidet

Live-Forensik

Post-Mortem-Forensik

Wort bdquoForensikldquo bestimmt Arbeitsweise

Digitale Computer-Forensika Begriffe

535552

115

905



Forensik allgemeina Begriffe

Wikipedia

bdquoUnter dem Begriff Forensik werden die Arbeitsgebiete zusammengefasst in denen systematisch kriminelle Handlungen identifiziert analysiert oder rekonstruiert werdenldquo


systematisch

kriminell

identifizieren

analysieren rekonstruieren

635652

115

905



Es geht um Digitale Beweise

gerichtliche Verwertbarkeit

Zum Zeitpunkt der Entdeckung

kein Wissen uumlber Taumlter bull intern externbull Motivation

Schaden

Schlussfolgerunga Begriffe

735752

115

905



Jeder und alles am Tatort

nimmt etwas mit und laumlsst

etwas zuruumlck

Locards Austauschprinzipa Begriffe

835852

115

905



Disclaimer Ich bin kein Anwalt

Freistellungsauftrag -)a Begriffe

935952

115

905



sorgfaumlltigFluumlchtiges zuerst sichern

Dann Nicht-Fluumlchtiges

kein Zerstoumlren

sicheres Aufbewahren

Dokumentieren (Wer wann was wo wie)

Umgang mit Beweisenb Arbeitsweise

10351052

115

905



Dokumentation Hintergrund

Beweiskette fuumlr Gericht

Strafverfahren

Zivilanspruumlche

Nachvollziehbarkeit fuumlr Nicht-Profis

vier Augen beweisen mehr

Gerichtsfestigkeit

Versetzen in die Rolle des

BeschuldigtenAngeklagten

b Arbeitsweise

11351152

115

905



Dokumentation technisch

bdquo5 x Wldquo Wer Wann Was Wo Wie

digital date(1) [2x]

script(1) screen(1) log

Pruumlfsummen

nicht digital

Zeit

Unterschrift

Seitennummerierung (Luumlckenlosigkeit)

b Arbeitsweise

12351252

115

905



Einen PlanStrategie haben (ggf machen)

Firma (Sicherheitsrichtlinien Notfallkonzept)

technischer Ablaufplan

Handlungsweiseb Arbeitsweise

13351352

115

905



Notfallkonzept

Organisatorisch (Meldung Handling)

Betrieb + Verfuumlgbarkeit

Umgang mit personenbezogenen Daten +

Betriebsgeheimnissen waumlhrend IR

BSI-Grundschutzhandbuch-kataloge

B 13 B 18 Notfallvorsorge-Konzept Behandlung von

Sicherheitsvorfaumlllen

M 6 Maszlignahmenkatalog

c Prozeduren

Firma CERT

14351452

115

905



erstes RK 1990 fuumlr SunOS 411

Rootkit manipuliert

Prozesse

Verzeichnisse Dateien (Binaumlr Libs)

Sockets

Log-Manipulation

Speicher

Meistens Hintertuumlr zur Fernsteuerung

automatisiert

a Verdachtserkennung

Kleine Lehre d Versteckens

15351552

115

905



A) haumlufig Kernel-RK

Kernel-Modul

Umlenken syscalls ndashgt Sichtbarkeit Netz Dateien

wenig im Dateisystem zu finden

B) seltener reines User-Level-RK

mehr Spuren

C) Fies in-memory Rootkits (=non-persistent)


Artenvielfalt Rootkits

16351652

115

905



Erkennung nicht trivial

IDS (Host Netzwerk)

Log-Meldungen Tageszeiten fehlende Art

Netzwerkverbindungen (Peers Anzahl)

bdquokomischeldquo Prozesse Dateien

Statusveraumlnderungen (PROMISC

fehlerhaftefehlende Dateien)


Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port

bdquoHubbing outldquo

Mithorchen bdquoin der Mitteldquo

Firewall- Routermitschnitt

ettercap (MITM)

Problem

Tageszeit des Netzwerkverkehrs

Verschluumlsselung

b Verdachtserhaumlrtung

Netz minimal invasiv

18351852

115

905




Am System invasiv

Ziele bei PM-Analyse

Auffinden geloumlschter Dateien evtl Loumlschdatum

Timeline-Analyse Rekonstruktion wann was passiert ist atime mtime ctime

Jeder Zugriff ab nun (ErhaumlrtungDuplizierung) zerstoumlrt uU Beweise

19351952

115

905




Am System Vorsicht

ist die Mutter des Forensikersfind | xargs strings h8ckm3 gtsbindateilog

mount shyo remountnoatime ltdirgt

evtl killall hald

Separation im Netz

Nicht herunterfahren

Vertraue dem System nichtBinaries

Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt

woherCDDVD (manipuliersicher)

USB-Stick (-Platte)

kopiertes Verzeichnis

falls vorhanden und eingehaumlngt NFS CIFS AFS

hackedmntStaticshyBinarieslinux_x86 0 ldd uptime

not a dynamic executable

hackedmntStaticshyBinarieslinux_x86 1 file uptime

uptime [] statically linked stripped

21352152

115

905




Womit

Helix

wwwe-fensecomhelix (GPL)

Drei Zwecke Beweis erhaumlrten Volatile Daten sichern PM-Forensik

keine Solaris-Bins mehr (Windows ja)

procget pcat pd

evtl selbst erweitern

22352252

115

905




Anfang der Suche

schoumln waumlre bash shyshynoprofile shyshynorc

mount ltHelixshyCDgt mnt

PATH=mntStaticshyBinarieslinux_x86 HISTFILE=devnull

unset LD_LIBRARY_PATH (LD_PRELOAD)

lsof (shyi) shyPn netstat shyatupn

last shyaix who shya ps shyefwly

fehlt MARK im Syslog (laumluft Daumlmon) dmesg anschauen

ls shyla roothistory (Laumlnge Null Link devnull Anschauen)

ls shyla homehistory ua Benutzer wie wwwshy

ifconfig | grep PROMISC

ls shyulrt ls shylrt

23352352

115

905




Nuumltzlich

binrpm shyVa (nicht auf Helix-CD noatime-Mount)

(debsums shys fuumlr Debian-Dialekte)

beides lokale DB Nur Anhaltspunkte

Log-Dateien im Netz

Proxy

IDS IPS

Mail

Firewall Router Switch Netflow

bdquoSeuchengefahrldquo Scan des Intranets (Inter-)

24352452

115

905



ok Jetzt weiszlig ich Rechner ist kompromittiert

Und nun

CERT involvieren

Daten sichern

a) Fluumlchtige Daten

b) Rechner auszliger Betrieb

c) Forensisches Duplikat

a Vorgehensweise

25352552

115

905



ie bdquoDead Acquisitionldquo

Prinzipiell auch moumlglich

Erst forensische Duplikation

Dann auszliger Betrieb

bdquoLive Acquisitionldquo

Bietet sich an bei nicht-gaumlngigen PlattenHBAs

Skepsis wegen Kernel

a Vorgehensweise

26352652

115

905



Beweissicherung

nicht uumlberstuumlrzt

Beweishandhabung

It looked insanely complicated and this

was one of the reasons why the snug pla-

stic cover it fitted into had the words

DONT PANIC printed on it in large friendly

letters The other reason was that this de-

vice was in fact that most remarkable of all

books ever to come out of the great pu-

blishing corporations of Ursa Minor - The Hitchhikers Guide to the Galaxy

a Vorgehensweise

27352752

115

905



b Fluumlchtige Daten sichern

Wie

Anzahl Kommandos

Ausgaben

Stempel korrektes Datum (Tag+Uhrzeit)

bdquoHinreichendeldquo Pruumlfsummen (md5sum sha1(deep) sha256deep)

Tools

Helix-CD (USB)

aumlhnliches bzw eigener Werkzeugkasten

Skepsis

28352852

115

905




Wie

Vorsicht Helix linuxshyirsh

uumlberfluumlssigerweise nicht-fluumlchtige Daten

atime (remountnoatime killall hald)

besser nicht ganz perfekt

iX 72007 httpcomputer-forensikorgtoolsix

oder httpsoftwaredrwetterdeir

29352952

115

905




Was alles (Plan)

RAM

Anderes Fluumlchtiges wo Neustart=Verlust

Info + Status

Verschluumlsselte Dateisysteme ()

(ggf Swap)

30353052

115

905



USBFirewire (ext Platte -Stick devkcore)

Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905



netcat bdquoSchweizer Forensikmesser Ildquofwsforensikcase1 0 netcat shylp 42 gtdateitxt

hacked~ 0 cat procversion | netcat fws 42

Nachteil Empfaumlnger weiszlig nichts von Senderdateiname netcat unverschluumlsselt-authenifiziert besser

bull cryptcat (shyk passphrase) (Blowfish)

bull socat sehr maumlchtig x509-Key-Auth sinnvoll

bull [sbd aesshynetcat ncat (Proxy AES )]


Netz

32353252

115

905




Wie

date (UhrzeitDatum korrekt)

PATH=mntStaticshy

Binarieslinux_x86usrbinbinsbinusrsbin

HISTFILE=devnull

unset LD_LIBRARY_PATH LD_PRELOAD

Platte df shykT mount shyl pvvglvdisplay mmls

Prozesse ps shyeflwy lsof shyPn top shybn1

Netz ifconfig shya arp shya arp shyn netstat shyatunp

lsof shyi shyPn iptablesshysave

Status uptime dmesg sysctl shyA (evtl who last)

33353352

115

905




Was alles

devkcore (memdump (tct) memget mempeek)

proc

modules cmdline version kallsysmsswaps mount

devices uptime diskstats misc

jeden einzelnen Prozess proc[0shy9] (pd pcat)

geht immer amp spart Platz gzip shyc

ggf Krypto-Dateisysteme sichern

Pruumlfsumme(n) und Datum nicht vergessen

34353452

115

905



Runterfahren

Fasst Hunderte von Dateien an (atime)

Modifiziert nicht wenige (pid log )

Unvorhersagbar Reallozierung Platz geloumlschter Dateien

Ausschalten

Dateisysteme unsauber (erschwert stellenw Analyse)

Durch Netzstecker nicht bdquoPowerldquo-Knopf

ggf SYSRQ-[SSUB] (ggf sysctl shyw kernelsysrq=1)

SYSRQ-[TMP] via Konsole

) Vorsicht wg Reboot ggf geht O statt B

c Rechner auszliger Betrieb

Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ

Viel Daten = lange Wartezeit

100 GB = 27 h bei 100 Mbits langsame USB-Platte

Platte (=Beweis) ausbauen+mitnehmen

In Ruhe forensisches Duplikat erstellen

Schreiben unter allen Umstaumlnden verhindern

(Profis Write-Blocker)

Original unter Verschluss

36353652

115

905



Die ganze Platte

Nicht partitionsweise

Luumlcken (absichtlich) unbenutze Bereiche

Beispiel aus dem Leben (mmls)

d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0

Units are in 512shybyte sectors

Slot Start End Length Description

00 shyshyshyshyshy 0000000000 0000000000 0000000001 Primary Table (0)

[]

21 shyshyshyshyshy 0196780186 0196780247 0000000062 Unallocated

22 0700 0196780248 0213552044 0016771797 Linux LVolManager (0x8e)


d Forensische Kopie

Was

38353852

115

905



fws~ 0 fdisk shyu shyl devsdb

[]

devsdb7 186948468 188956529 1004031 82 Linux swap Solaris

devsdb8 188956593 196780184 3911796 83 Linux

devsdb9 196780248 213552044 8385898+ 8e Linux LVM

Partition table entries are not in disk order

frnsshyws~ 0 dd if=devsdb skip=213552045 count=1 | xxd

1+0 records in

1+0 records out

512 bytes (512 B) copied 81855eshy05 s 63 MBs

0000000 c774 96e1 1ecd 8923 ebea f7bf c737 731c t7s

0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st

0000030 eaab af2e f66d 488d 8427 25c4 75ba 6e7b mHun

0000040 f82d fb75 8e87 b180 5245 bb11 afba 5105 shyuREQ

[]

d Forensische Kopie

Was

39353952

115

905



Frisches Dateisystem auf Sicherungsplatte

Einhaumlngen (hier mnt)

d=mntmmls_hdX_`date +FT`

mmls devhdX gt$d $sum $d gt $d$sum

$sum devhdX gtmnthdX$sum

$dd if=devhdX gtmnthdXimg

$sum mnthdXimg (sollte gleich sein)

$sum md5sum sha1 sha1deep sha256deep

d Forensische Kopie

Kopie der ganzen Platte

40354052

115

905



$dd (disk dump)

Standard Blockgroumlszlige 512 Bytes ist zu langsam

bdquoStandard-ddldquo (fileutils) conv=noerror

sdd (Schily) bdquoverbessertes ddldquo schneller

dd_rescue besser bei Lesefehler und Spulen (Kurt Garloff Suse)

dcfldd

shyhash=md5|sha1|sha256sha512 (shyhashlog) shystatus

Forensik Acquisition dd Zeitstempel plus Pruumlfsumme leider kein Quellcode Linux-Support

d Forensische Kopie

Schweizer Forensik-Messer II

41354152

115

905



dcflddhost~|0 dcfldd if=devurandom of=devnull

count=768 hash=sha256

256 blocks (8Mb) written


768 blocks (24Mb) writtenTotal (sha256) 70554677ac031dshy

d45da2b9de6ba3fe8661c8d75af8aa61d65b479f6143284f55

768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905



Eigene bdquoImagerldquo (uvm)

EnCase (prop Format)

X-Ways Forensics

Forensic Tool Kit

alles Windows-Programme (auch ext3 reiserfs)

(Linux PM-Tools

The Sleuth Kit (TSK)

The Coroners Tool Kit (TCT tctutils)

)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun

1 Original-Beweis sicherstellen

2 Post-Mortem-Analyse von der Kopie

Zeitgleichdanach

Rechner neu aufsetzen

Neue Passwoumlrter

Konsequenzen aus PM schlieszligen

d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin

Cronjobs + Mail fuumlr PatchstandDebianUbuntu aptshyget update gtdevnull ampamp

aptshyget shyshydryshyrun upgrade 2gtamp1

SuseSLES zypper patches | grep | Needed

RedHatFedora yum update (update shyu RHEL2-4)

Nicht 4200 Hosts zur selben Zeit -)

Nachsicht

Patches

45354552

115

905



KISSAutomatisieren (Installationen Maintenance Checks )

Wenig bdquoselbstgeb(r)autesldquo

Zeitsynchronisation (alle OS) NTP

Zentrales System-Logging (alle OS)

Hackers worst enemy

syslog-ng (Server+Client) MARK messages TCP

Bastion-Host fuumlr Logs (Backups)

HandwerkszeugNachsicht

46354652

115

905



zentrales Host-IDS (file integrity)

AIDE Tripwire von Bastian-Host Master-DB Remote (oder CD) Remote Execution (SSH-Key)

Weniger ist mehr SUID-root-Dateien find shyperm +4000 Eintrittsvektor-Binaries (Server-Dienste) uumlbliche User-RK-Verdaumlchtige ps ls netstat ldshylinuxso

libc top kill(all) (lsof strace ) wichtige configs ua etchostsshadow

modprobeconfsshsyslogshyng

Tipps zur Verhuumltung

bdquoPeter amp der Wolfldquo-Effekt False Positives

Nachsicht

47354752

115

905



fuumlr exponierte RechnerDienste

Server-Dienste im Sandkasten (MAC) AppArmor SELinux (Jails Container RBAC TX )

Applikationsebene

XSS CSRF Session Riding Race Cond File Inclusion

zB Suhosin Quellcode-Audit-Werkzeuge

CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde

Alle Infos (inkl der Benutzer) auf dem Silbertablett

atime

Index servicesNachsicht

49354952

115

905



wwwforensicswikiorg

wwwforinsectdeforensicsforensics-toolshtml

wwwsleuthkitorg wikisleuthkitorg

wwwporcupineorgforensics

(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905



wwwdfrwsorg (Forensik-Konferenz)

forensicssecurityfocuscom

(evtl incidents+log-analysis)

bdquoComputer-Forensikldquo dpunkt

der Standard bdquoForensik Discoveryldquo per Download

wwwporcupineorgforensicsforensic-discovery

vielversprechend 2008 (wwwlobde)

Famous last words

Infos Lesestoff

Danke fuumlr die Aufmerksamkeit Fragen

Dirk Wetter Dr Wetter IT-Consultingmaildrwetterde

Sicherheitsanalysen Digitale Forensik


Agenda

I Einleitung

II Begriffe + Arbeitsweise

III Verdacht erkennen + erhaumlrten

IV Beweissicherung

V Vorbeugen ist besser als

335352

115

905




Methodik




Um was gehts

435452

115

905



Unterscheidet

Live-Forensik




535552

115

905




Wikipedia



systematisch

kriminell

identifizieren


635652

115

905







Schaden


735752

115

905





etwas zuruumlck


835852

115

905





935952

115

905





kein Zerstoumlren




10351052

115

905





Strafverfahren

Zivilanspruumlche



Gerichtsfestigkeit



b Arbeitsweise

11351152

115

905







Pruumlfsummen

nicht digital

Zeit

Unterschrift


b Arbeitsweise

12351252

115

905







13351352

115

905



Notfallkonzept









c Prozeduren

Firma CERT

14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





335352

115

905




Methodik




Um was gehts

435452

115

905



Unterscheidet

Live-Forensik




535552

115

905




Wikipedia



systematisch

kriminell

identifizieren


635652

115

905







Schaden


735752

115

905





etwas zuruumlck


835852

115

905





935952

115

905





kein Zerstoumlren




10351052

115

905





Strafverfahren

Zivilanspruumlche



Gerichtsfestigkeit



b Arbeitsweise

11351152

115

905







Pruumlfsummen

nicht digital

Zeit

Unterschrift


b Arbeitsweise

12351252

115

905







13351352

115

905



Notfallkonzept









c Prozeduren

Firma CERT

14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





435452

115

905



Unterscheidet

Live-Forensik




535552

115

905




Wikipedia



systematisch

kriminell

identifizieren


635652

115

905







Schaden


735752

115

905





etwas zuruumlck


835852

115

905





935952

115

905





kein Zerstoumlren




10351052

115

905





Strafverfahren

Zivilanspruumlche



Gerichtsfestigkeit



b Arbeitsweise

11351152

115

905







Pruumlfsummen

nicht digital

Zeit

Unterschrift


b Arbeitsweise

12351252

115

905







13351352

115

905



Notfallkonzept









c Prozeduren

Firma CERT

14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





535552

115

905




Wikipedia



systematisch

kriminell

identifizieren


635652

115

905







Schaden


735752

115

905





etwas zuruumlck


835852

115

905





935952

115

905





kein Zerstoumlren




10351052

115

905





Strafverfahren

Zivilanspruumlche



Gerichtsfestigkeit



b Arbeitsweise

11351152

115

905







Pruumlfsummen

nicht digital

Zeit

Unterschrift


b Arbeitsweise

12351252

115

905







13351352

115

905



Notfallkonzept









c Prozeduren

Firma CERT

14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





635652

115

905







Schaden


735752

115

905





etwas zuruumlck


835852

115

905





935952

115

905





kein Zerstoumlren




10351052

115

905





Strafverfahren

Zivilanspruumlche



Gerichtsfestigkeit



b Arbeitsweise

11351152

115

905







Pruumlfsummen

nicht digital

Zeit

Unterschrift


b Arbeitsweise

12351252

115

905







13351352

115

905



Notfallkonzept









c Prozeduren

Firma CERT

14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





735752

115

905





etwas zuruumlck


835852

115

905





935952

115

905





kein Zerstoumlren




10351052

115

905





Strafverfahren

Zivilanspruumlche



Gerichtsfestigkeit



b Arbeitsweise

11351152

115

905







Pruumlfsummen

nicht digital

Zeit

Unterschrift


b Arbeitsweise

12351252

115

905







13351352

115

905



Notfallkonzept









c Prozeduren

Firma CERT

14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





835852

115

905





935952

115

905





kein Zerstoumlren




10351052

115

905





Strafverfahren

Zivilanspruumlche



Gerichtsfestigkeit



b Arbeitsweise

11351152

115

905







Pruumlfsummen

nicht digital

Zeit

Unterschrift


b Arbeitsweise

12351252

115

905







13351352

115

905



Notfallkonzept









c Prozeduren

Firma CERT

14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





935952

115

905





kein Zerstoumlren




10351052

115

905





Strafverfahren

Zivilanspruumlche



Gerichtsfestigkeit



b Arbeitsweise

11351152

115

905







Pruumlfsummen

nicht digital

Zeit

Unterschrift


b Arbeitsweise

12351252

115

905







13351352

115

905



Notfallkonzept









c Prozeduren

Firma CERT

14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





10351052

115

905





Strafverfahren

Zivilanspruumlche



Gerichtsfestigkeit



b Arbeitsweise

11351152

115

905







Pruumlfsummen

nicht digital

Zeit

Unterschrift


b Arbeitsweise

12351252

115

905







13351352

115

905



Notfallkonzept









c Prozeduren

Firma CERT

14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





11351152

115

905







Pruumlfsummen

nicht digital

Zeit

Unterschrift


b Arbeitsweise

12351252

115

905







13351352

115

905



Notfallkonzept









c Prozeduren

Firma CERT

14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





12351252

115

905







13351352

115

905



Notfallkonzept









c Prozeduren

Firma CERT

14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





13351352

115

905



Notfallkonzept









c Prozeduren

Firma CERT

14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





14351452

115

905




Rootkit manipuliert

Prozesse


Sockets

Log-Manipulation

Speicher


automatisiert



15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





15351552

115

905




Kernel-Modul




mehr Spuren




16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





16351652

115

905




IDS (Host Netzwerk)







Anomalien

ausg

ekl

uumlgelt

17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





17351752

115

905



Mirror Port




ettercap (MITM)

Problem


Verschluumlsselung



18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





18351852

115

905




Am System invasiv





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





19351952

115

905




Am System Vorsicht



evtl killall hald

Separation im Netz



Libs

Kernel

20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





20352052

115

905




rarr Externe Tools

statisch gelinkt


USB-Stick (-Platte)







21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





21352152

115

905




Womit

Helix




procget pcat pd


22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





22352252

115

905




Anfang der Suche












23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





23352352

115

905




Nuumltzlich




Log-Dateien im Netz

Proxy

IDS IPS

Mail



24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





24352452

115

905




Und nun

CERT involvieren

Daten sichern




a Vorgehensweise

25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





25352552

115

905










a Vorgehensweise

26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





26352652

115

905



Beweissicherung


Beweishandhabung









a Vorgehensweise

27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





27352752

115

905




Wie

Anzahl Kommandos

Ausgaben



Tools

Helix-CD (USB)


Skepsis

28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





28352852

115

905




Wie







29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





29352952

115

905




Was alles (Plan)

RAM


Info + Status


(ggf Swap)

30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





30353052

115

905




Einfach

Sicher (well)

Zugaumlnglichkeit

Netz


Wohin

31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





31353152

115

905










Netz

32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





32353252

115

905




Wie


PATH=mntStaticshy


HISTFILE=devnull







33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





33353352

115

905




Was alles


proc







34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





34353452

115

905



Runterfahren




Ausschalten







Generelles

35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





35353552

115

905



d Forensische Kopie

In-situ (am Objekt)

Ex-situ








36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





36353652

115

905



Die ganze Platte




d Forensische Kopie

Was

37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





37353752

115

905



fws~ 0 mmls devsdb

DOS Partition Table

Offset Sector 0




[]




d Forensische Kopie

Was

38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





38353852

115

905




[]


devsdb8 188956593 196780184 3911796 83 Linux




1+0 records in

1+0 records out



0000010 f83a 195d 9582 b742 63b7 fb2e f20e 17a4 ]Bc

0000020 2eea da92 2202 259c 6f37 fb73 1311 e574 o7st



[]

d Forensische Kopie

Was

39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





39353952

115

905











d Forensische Kopie


40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





40354052

115

905



$dd (disk dump)





dcfldd



d Forensische Kopie


41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





41354152

115

905









768+0 records in

768+0 records out

host~|0

d Forensische Kopie

Mein Favorit (YMMV)

42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





42354252

115

905





X-Ways Forensics

Forensic Tool Kit


(Linux PM-Tools



)

d Forensische Kopie

andere Werkzeuge

43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





43354352

115

905



Nun



Zeitgleichdanach


Neue Passwoumlrter


d Forensische Kopie

Weiteres

44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





44354452

115

905



Patch-Policy

Firma

Admin






Nachsicht

Patches

45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





45354552

115

905







Hackers worst enemy




46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





46354652

115

905










Nachsicht

47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





47354752

115

905





Applikationsebene



CONFIG_MODULES=n

HaumlrtenNachsicht

48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





48354852

115

905



beagle und Freunde


atime


49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





49354952

115

905



wwwforensicswikiorg




(TCT Wietse Venema)

Famous last words

Infos Webseiten

50355052

115

905










Famous last words

Infos Lesestoff





50355052

115

905










Famous last words

Infos Lesestoff







