Reporting/Korrelations-Tool für Mobile Forensik, Martin Pfeiffer

Martin Pfeiffer

Kurzfassung

Die vorliegende Bachelorarbeit befasst sich mit der Konzeption eines Softwaretools zur Korrelation von forensischen Berichten sowie der Implementation einiger Beispiel Module zu dem vorgestellten Konzept. IT-Systeme werden nach Sicherheitsvorfällen oder bei Ermittlungen mit Hilfe von verschiedenen speziellen forensischen Tools analysiert und zu forensischen Berichten ausgewertet. Es werden zu den jeweiligen Fragestellungen, mit verschiedenen forensischen Methoden sowie von allen in den Vorfall involvierten IT-Systemen hierzu jeweils forensische Analysen durchgeführt und zu diesen forensische Berichte erstellt. Die einzelnen Berichte können zum Teil ähnliche oder identische Inhalte enthalten oder im Zusammenhang zueinander stehen. Diese Arbeit beschreibt ein Konzept, mit welchem sich die Inhalte zusammenfassen, korrelieren, ltern, sortieren sowie visualisieren lassen und sich somit die Arbeit, welche durch die Auswertung anfällt, reduzieren lässt. Es wird anhand von Beispiel Implementationen gezeigt, wie sich das vorgestellte Konzept beliebig erweitern lässt.

Schlagwörter: Korrelation, Visualisieren, mergen, forensische Berichte, mobile Endgeräte, Daten

Abstract

This bachelor thesis describes the design of a software tool for the correlation of forensic reports and the implementation of some example modules as described in the design. IT systems are analyzed after security incidents or during criminal investigations using a variety of special forensic tools which output forensic reports. Forensic extractions are performed on all IT systems relevant to the case with di erent specialised tools, each of which produces its own forensic report in a non standardised format. This thesis describes a software design which makes it possible to merge, correlate, fi lter, sort, and visualize the content of di erent forensic reports and reduce manual analysis workload. Example implementations show how to expand the design into many di erent directions.

Keywords: correlation, visualization, merge, forensic reports, mobile device, data