Live Response für Windows 8, Alpaslan Aktas

Alpaslan Aktas

Kurzfassung

Diese Bachelorarbeit befasst sich mit der IT-forensische Analyse vom neuen Microsoft Betriebssystem Windows 8, welches am 29.Februar 2012 als Consumer Preview (Beta-Version) erschienen ist. Mit Windows 8 bringt Microsoft einige Neuerungen und Veränderungen mit sich, welche IT-forensisch untersucht werden sollten. Der Fokus dieser Arbeit liegt auf Live Response-Analyse der Neuerungen. Die Live Response ist ein Teilgebiet der IT-Forensik und beschäftigt sich mit der Sicherung der flüchtigen Daten eines Systems und die Dokumentation der Ergebnisse mit anschließender Untersuchung. Für die Sicherung von flüchtigen Daten existieren viele verschiedene Kommando-Tools, die diese Informationen aus dem System abrufen und ausgeben bzw. speichern. Durch solche Tools wird der Ermittler an seiner Arbeit unterstützt, aber durch die Menge der Tools und händische Eingabe der Kommando-Befehle wird die Arbeit verlängert und fehleranfällig. Selbstgeschriebene Skripte, womit die Möglichkeit gegeben ist, Kommando-Befehle hintereinander auszuführen, beschleunigen die Ausführung und senken evtl. die Fehleranfälligkeit, aber sind nicht so komfortabel wie eine Benutzeroberfläche. Durch eine Benutzeroberfläche wird die Benutzung einfacher und komfortabler. Außerdem müsste man sich nicht mehr um den Bericht kümmern, weil der Bericht automatisch erstellt werden würde. All diese Vorteile werden nach Möglichkeit in einer Benutzeroberfläche umgesetzt.

Schlagwörter: Windows 8, Analyse, IT-Forensik, Live Response, GUI

Abstract

This thesis deals with the IT forensic analysis of the new Microsoft operating system, Windows 8, which was published on Feb 29, 2012 as Consumer Preview (beta version). Microsoft Windows 8 is a new operating system and brings some new features and changes. The focus of this work is to make a live response analysis of the innovations. Live response is a branch of computer forensics and deals with the extraction of volatile system data, its documentation and analysis of the results. For extracting volatile data many different command tools exist that retrieve information from the system. The use of these tools is not so comfortable with self written scripts and can easily lead to errors. A report of the results would get a better overview. This can be improved by a user interface, that will be programmed.

Keywords: Windows 8, live response, user interface, volatile system data