Forensische Untersuchung von Windows 7 mit PowerShell

Daniel Neus

Kurzfassung

Im Rahmen dieser Bachelorarbeit wird das Windows 7 Betriebssystem auf forensisch wichtige Beweismittel untersucht. Der generelle Fokus der Untersuchung liegt auf den flüchtigen Daten. Man spricht in diesem Fall von einer Live-Analyse am laufenden Rechner. Ein Kapitel dieser Arbeit ist auch der Post-Mortem Analyse gewidmet, welche die Analyse der persistenten Daten beschreibt. Des Weiteren wurde im Rahmen dieser Arbeit mit Hilfe der Skriptsprache PowerShell das Windows 7 Forensic Toolkit (W7FTK) entwickelt. Dieses dient der Live-Analyse von Windows 7 und kann die Beweismittel automatisiert aus dem System extrahieren. Die Ergebnisse der Analyse werden von dem Toolkit auf einem externen Datenträger gespeichert und als Website aufbereitet.

Schlagwörter: Computer-Forensik, IT-Forensik, Digitale-Forensik, Windows 7 Forensik, forensische Analyse, Live-Analyse, Post-Mortem-Analyse, Toolkit, Windows PowerShell

Abstract

Within the scope of this bachelor thesis the Windows 7 operating system is investigated for forensically importent evidence. The general focus of the investigation is on the volatile data. This kind of investigation is called live analysis. One chapter of this thesis concentrates on the post-mortem analysis, which describes the analysis of persistent data. Furthermore, as part of this work, a toolkit for live-analysis on Windows 7 was developed by using the scripting language PowerShell. The toolkit can automatically extract the volatile evidence from the system. The results of the analysis are saved on an external disk and processed as a website.

Keywords: computer-forensic, IT-forensic, digital-forensic, Windows 7 forensic, forensicanalysis, live-analysis, post-mortem-analysis, toolkit, Windows PowerShell

x