PS EDV Beratung Peter Schnoor Kiel, Fachbuchautor und IT-Coach

Computerforensik ist die Aufklärung von sicherheitsrelevanten Vorgängen in Computersystemen. Dazu gehört das Sammeln, Analysieren und Rekonstruieren digitaler Daten im Zuge eines Ermittlungsprozesses.

Aufbau der Inhalte

Die Inhalte dieser Seite werden in drei Kategorien aufgeteilt: Gefahren, Schutz und Einsatz von Forensik-Werkzeugen.
Schauen Sie doch mal wieder vorbei ...

Gefahren

Hier geht es darum, Gefahrenpotentiale zu erkennen und diese zu vermeiden.

Gefahren lauern überall – besonders aber im Internet!
Wer seine Daten nicht schützt, macht es Feinden einfach, diese bei der Übertragung mitzulesen, zu verändern oder sogar zu löschen.
Anstecken kann sich Ihr PC immer dann, wenn Sie Dateien aus dem Internet auf Ihren Rechner laden. Bereits das Laden bestimmter Internetseiten kann zum Virenbefall führen.
Viren können aber auch über CD-ROMs, Sticks und anderen Datenträgern auf Ihren PC gelangen. In jeder ausführbaren Datei, wie zum Beispiel *.exe oder *.com, kann sich ein Virus verstecken. Auch Textdokumente oder Tabellen können virenverseucht sein.

Unterschiedliche Vierenarten

Boot-Viren:
setzen sich in dem Bereich einer Festplatte oder Diskette fest, der beim Starten eines Computers in den Arbeitsspeicher gelesen wird.
Datei-Viren:
infizieren Programmdateien, wie beispielsweise Betriebssysteme oder Spiele. Wenn der Anwender die befallene Datei startet, infiziert der Virus weitere Dateien und pflanzt sich so fort.
Makro-Viren:
können sich auch unabhängig vom eingesetzten Betriebssystem fortpflanzen und sind relativ einfach zu programmieren.

Ein Virus besteht in der Regel aus drei Programmteilen: Mit dem Erkennungsteil stellt der Virus fest, ob die Datei bereits befallen ist. Der Infektionsteil wählt ein Programm aus und fügt den Programmcode des Virus ein. Das ausgewählte Programm ist nun infiziert und kann von da an selbst bei einem Aufruf weitere Programme infizieren. Der Funktionsteil legt fest, was im System manipuliert werden soll.

PDF entseuchen

In PDF Dateien wird häufig Schadcode verteilt.
Virenprogramme tun sich schwer, diese zu entdecken. Mit einem HEX Editor können Sie die Dateien selbst analysieren. Es gibt viele dieser Programme kostenlos. Ein Beispiel:
Hex-Editor MX http://hexedit.nextsoft.de/
Gefährliche Einträge, auf nach denen Sie in PDF-Dateien aus unbekannter Herkunft suchen sollten:
/OpenAction /AA: Autostart Funktionen
/Action: Autorun Funktionen /JavaScript : Ausführbar
/Launch: Startet ein Programm
/URI: Zugriff auf Internetadressen
/Submit Form /GoToR: verschickt Daten
/RichMedia: Flash innerhalb PDF
/ObjStm: Versteckt Objekte in einem Objekt - Stream

Zum Suchen nach gefährlichen Einträge wählen Sie den Menübefehl „Suchen“.
Aktivieren Sie in dem Dialogfenster das Registerblatt „Text“.
Durch den Slash (/) vor dem Schlüsselbegriff können Sie gezielt nach
Einträge suchen und diese gegebenenfalls ändern.

Schutz

Wenn die Gefahren erkannt sind, sollten möglichst effektive Schutzmaßnamhen ergriffen werden.

Einsatz von Forensik-Werkzeugen

Wenn es zu spät ist. Hier geht es um Schadensbegrenzung, Beweismittelaufnhame und forensische Werkzeuge.

Für Fragen und Anregungen stehe ich Ihnen gerne zur Verfügung.