Interactive normalization and model-object generation for digital forensic artifacts. An extension to the Direct Report Correlation Tool, Christoph Beckmeyer

Christoph Beckmeyer

Kurzfassung

In der Digitalen Forensik müssen Artefakte und Informationen von einer Vielzahl von mobilen Geräten, PCs und Datenbanken extrahiert, normalisiert und korreliert werden, um ein vollständiges Bild für Ermittlungen zu bilden. Geräte und ihre Formate, und folglich die Formate von forensischen Extraktions-Werkzeugen sind schnellen Änderungen und Neueinführungen unterworfen. In dieser Bachelorarbeit werden eine Methode und ein Software-Prototyp, die eine schnellere Integration von alten und neuen Formaten erlauben, beschrieben. Kernkonzept ist die Abstraktion des Dateiformats von den darin enthaltenen forensischen Artefakten und die graphische Korrelation und Normalisierung dieser Artefakte. Die graphische Korrelation erlaubt die Struktur der Artefakte anzupassen und den Informationsgehalt der Artefakte durch Nutzung zusätzlicher Datenquellen zu erhöhen. Das Ergebnis der Korrelation sind Klassen und Objekte in der Sprache der Problemdomäne, die für weitere Analyse und den Export genutzt werden können

Schlagwörter: Digitale Forensik, Korrelation, Normalisierung, Import, Artefakte

Abstract

In digital forensics artifacts and information from a plethora of mobile devices, destop computers and governmental databases has to be extracted, normalized and correlated to gain a complete picture to conduct investigations. Devices, their formats, and following report formats of digital forensics extraction tools, undergo a fast rate of change and a fast emergence of new formats. In this thesis a method and prototype implementation that enables faster integration of new and old formats is described. Core concepts are to abstract the file format from the contained forensic artifact and to graphically correlate and normalize those artefacts. The graphical correlation also allows to customize the artifacts structure to create more expressive artifacts by shaping and adding information through pulling it from other sources. The results of this method of correlation are model objects. As a result of the correlation classes and objects in the language of the problem domain are generated (model objects), which then can be used in future analysis and export functionality.

Keywords: Digital forensics, correlation, normalization, import artifacts