{"id":1809,"date":"2022-05-16T19:29:39","date_gmt":"2022-05-16T17:29:39","guid":{"rendered":"https:\/\/kalweit-its.de\/?page_id=1809"},"modified":"2024-05-30T18:17:25","modified_gmt":"2024-05-30T16:17:25","slug":"digitale-forensik","status":"publish","type":"page","link":"https:\/\/kalweit-its.de\/leistungen\/digitale-forensik\/","title":{"rendered":"Digitale Forensik"},"content":{"rendered":"
[et_pb_section fb_built=“1″ _builder_version=“4.16″ _module_preset=“default“ custom_padding=“0px|||||“ global_colors_info=“{}“][et_pb_row _builder_version=“4.16″ _module_preset=“default“ custom_padding=“||10px||false|false“ global_colors_info=“{}“][et_pb_column type=“4_4″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_image src=“https:\/\/kalweit-its.de\/wp-content\/uploads\/2022\/05\/harddrive-2619020_960_720.jpg“ title_text=“harddrive-2619020_960_720″ _builder_version=“4.16″ _module_preset=“5556ca2a-c406-479f-b7c7-1a37901659d5″ global_colors_info=“{}“][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=“4.16″ _module_preset=“default“ custom_padding=“0px|||||“ global_colors_info=“{}“][et_pb_column type=“4_4″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ text_font=“|||on|||||“ global_colors_info=“{}“]<\/p>\n
[\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section][et_pb_section fb_built=“1″ module_id=“security-consulting“ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_row _builder_version=“4.16″ _module_preset=“8d58e759-e650-4217-8248-3d6426f90cd2″ global_colors_info=“{}“][et_pb_column type=“4_4″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n
IT-Sicherheitsvorfall in ihrem Unternehmen? Wir sammeln gerichtsfeste und revisionssichere Beweise in ihrem Auftrag. [\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=“1_2,1_2″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_column type=“1_2″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n Gerichtsfeste und revisionssichere Beweismittelsicherung in Form eines forensischen Computerberichts.<\/p>\n <\/p>\n <\/p>\n Sicherstellung aller notwendigen Dateien, die z.B. f\u00fcr weitere Digital forensische Ma\u00dfnahmen als Beweise ben\u00f6tigt werden<\/p>\n<\/li>\n<\/ul>\n <\/p>\n Wiederherstellung gel\u00f6schter oder versteckter Daten von digitalen Ger\u00e4ten, sofern diese Daten grunds\u00e4tzlich vorhanden sind mittels File Carving<\/p>\n<\/li>\n<\/ul>\n <\/p>\n Beweismittelaufnahme auf der Basis des Locard\u2018schen Prinzips f\u00fcr die Ermittlung eines Verd\u00e4chtigen und eines Motivs<\/p>\n<\/li>\n<\/ul>\n <\/p>\n Dateisicherung unter Einhaltung der Chain of Custody f\u00fcr die Integrit\u00e4t der digitalen Beweise<\/p>\n<\/li>\n<\/ul>\n [\/et_pb_text][\/et_pb_column][et_pb_column type=“1_2″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_image src=“https:\/\/kalweit-its.de\/wp-content\/uploads\/2022\/03\/image-26.jpg“ title_text=“image (26)“ module_class=“crop-img-3-2 animate-img“ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_column type=“4_4″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text module_id=“DevSecOps“ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=“1_5,1_5,1_5,1_5,1_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_column type=“1_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n Die erste Stufe impliziert die Identifizierung von Untersuchungszielen und erforderlichen Ressourcen. Wir identifizieren zuerst die Beweise und die Art der Daten, mit denen wir es zu tun haben, auch die Ger\u00e4te, auf denen die Daten gespeichert sind. Als Spezialisten f\u00fcr digitale Forensik arbeiten wir mit allen Arten von elektronischen Speicherger\u00e4ten: Festplatten, Mobiltelefone, PCs, Tablets usw.<\/p>\n [\/et_pb_text][\/et_pb_column][et_pb_column type=“1_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n In dieser Phase stellen wir sicher, dass die Daten isoliert und fachgerecht aufbewahrt werden. Dies passiert nach dem Never Touch Original Prinzip, sodass die Beweismittel gesichert werden und nur auf Images gearbeitet wird. Die gesicherten Original Ger\u00e4te bleiben bis zum Ende der Ermittlungen unber\u00fchrt.<\/p>\n <\/p>\n [\/et_pb_text][\/et_pb_column][et_pb_column type=“1_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n \u00a0Die Analysephase umfasst eine gr\u00fcndliche systematische Suche nach relevanten Beweisen. Wir arbeiten sowohl mit System- als auch mit Benutzerdateien und Datenobjekten. Basierend auf den gefundenen Beweisen beginnen wir nun mit Schlussfolgerungen.<\/p>\n \n \n <\/p>\n [\/et_pb_text][\/et_pb_column][et_pb_column type=“1_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n \u00a0In dieser Phase werden alle gefundenen relevanten Beweise dokumentiert. Es wird eine Why-Because-Analyse zur Verf\u00fcgung gestellt, welche den Beh\u00f6rden bei der Ermittlung neue Impulse gibt.<\/p>\n \n \n <\/p>\n [\/et_pb_text][\/et_pb_column][et_pb_column type=“1_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n In der Endphase werden alle Beweise und Schlussfolgerungen gem\u00e4\u00df den forensischen Protokollen gemeldet, die die Methoden und Verfahren der Analyse und deren Erl\u00e4uterungen enthalten.<\/p>\n \n \n \n <\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section][et_pb_section fb_built=“1″ module_id=“devsecops“ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_row _builder_version=“4.16″ _module_preset=“8d58e759-e650-4217-8248-3d6426f90cd2″ global_colors_info=“{}“][et_pb_column type=“4_4″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n Vielseitig einsetzbar: Ob zur Kl\u00e4rung der Schuldfrage vor Gericht, gegen\u00fcber ihrer Gesch\u00e4ftspartner oder zur Vorlage bei ihrem Versicherer. [\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=“2_5,3_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_column type=“2_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n [\/et_pb_text][\/et_pb_column][et_pb_column type=“3_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n Timeline-Analyse: <\/u><\/b><\/p>\n \u2022 Auflistung von Systemereignissen nach Zeit, um die Identifizierung von Aktivit\u00e4ten zu erleichtern<\/p>\n Schl\u00fcsselwortsuche: <\/u><\/b><\/p>\n \u2022 Mit Textextraktions- und Indexsuchmodulen k\u00f6nnen wir Dateien finden, die bestimmte Begriffe beinhalten oder unseren regul\u00e4ren Ausdrucksmustern entsprechen (RegEx)<\/p>\n Webartefakte: <\/u><\/b><\/p>\n \u2022 Wir extrahieren Webaktivit\u00e4ten aus g\u00e4ngigen Browsern, um Benutzeraktivit\u00e4ten zu identifizieren<\/p>\n Registrierungsanalyse: <\/u><\/b><\/p>\n \u2022 K\u00fcrzlich aufgerufene Dokumente und USB-Ger\u00e4te k\u00f6nnen so identifiziert werden<\/p>\n LNK-Dateianalyse: <\/u><\/b><\/p>\n \u2022 Identifizierung von Verkn\u00fcpfungen und aufgerufenen Dokumenten<\/p>\n E-Mail-Analyse: <\/u><\/b><\/p>\n \u2022 Analyse von Nachrichten, die auf dem System identifiziert wurden<\/p>\n EXIF-Daten: <\/u><\/b><\/p>\n \u2022 Extrahiert Standort- und Kamerainformationen aus JPEG-Dateien<\/p>\n Dateisystemanalyse: <\/u><\/b><\/p>\n \u2022 Unterst\u00fctzung f\u00fcr g\u00e4ngige Dateisysteme, einschlie\u00dflich NTFS, FAT12\/FAT16\/FAT32\/ExFAT, HFS+, ISO9660 (CD-ROM), Ext2\/Ext3\/Ext4, Yaffs2<\/p>\n Unicode String Extraction: <\/u><\/b><\/p>\n \u2022 Extraktion von Strings aus nicht zugeordnetem Speicherplatz und von unbekannten Dateitypen in allen g\u00e4ngigen Sprachen<\/p>\n Dateityperkennung:<\/u><\/b><\/p>\n \u2022 Basierend auf Signaturen indexieren wir das System und erkennen nicht \u00fcbereinstimmende Erweiterungen, wie es z.B. bei Schadsoftware der Fall ist<\/p>\n Android und iOS System-Analyse: <\/u><\/b><\/p>\n \u2022 Extrahieren von Daten unter anderem aus SMS, Anrufprotokollen, Kontakten, Tango und mehr<\/p>\n \n <\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section][et_pb_section fb_built=“1″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_row _builder_version=“4.16″ _module_preset=“default“ custom_padding_phone=“30px||0px||false|false“ global_colors_info=“{}“][et_pb_column type=“4_4″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=“2_5,3_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_column type=“2_5″ _builder_version=“4.16″ _module_preset=“default“ custom_css_main_element=“z-index: 3;“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ text_orientation=“right“ custom_margin=“40px|-90px|||false|false“ custom_margin_tablet=“0px|0px|||false|false“ custom_margin_phone=“0px|0px|||false|false“ custom_margin_last_edited=“on|desktop“ text_orientation_tablet=“left“ text_orientation_phone=“left“ text_orientation_last_edited=“on|tablet“ global_colors_info=“{}“]<\/p>\n [\/et_pb_text][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n <\/p>\n Durch das Interpretieren von Zeichenfolgen, dem Untersuchen von Windows-API-Aufrufen oder Identifizieren von gepackter Malware und dem Erkennen von hostbasierten Signaturen verschaffen wir uns einen ersten \u00dcberblick. Anschlie\u00dfend bringen wir die Malware in einer kontrollierten Umgebung zur Explosion, um Netzwerksignaturen zu sammeln und b\u00f6sartige Dom\u00e4nen und Payloads der zweiten Stufe zu identifizieren.<\/u><\/b><\/p>\n <\/p>\n [\/et_pb_text][\/et_pb_column][et_pb_column type=“3_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_image src=“https:\/\/kalweit-its.de\/wp-content\/uploads\/2022\/05\/footprint-3482282_960_720.jpg“ title_text=“footprint-3482282_960_720″ module_class=“crop-img-3-2 animate-img“ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=“3_5,2_5″ module_class=“ff-t-col-custom-order“ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_column type=“3_5″ module_class=“ff-t-col-order-2″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_image src=“https:\/\/kalweit-its.de\/wp-content\/uploads\/2022\/05\/magnifying-glass-450691_960_720.jpg“ title_text=“magnifying-glass-450691_960_720″ module_class=“crop-img-3-2 animate-img“ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][\/et_pb_image][\/et_pb_column][et_pb_column type=“2_5″ module_class=“ff-t-col-order-1″ _builder_version=“4.16″ _module_preset=“default“ custom_css_main_element=“z-index: 3;“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ custom_margin=“40px|||-90px|false|false“ custom_margin_tablet=“0px|||0px|false|false“ custom_margin_phone=“0px|0px|||false|false“ custom_margin_last_edited=“on|desktop“ global_colors_info=“{}“]<\/p>\n Analyse der Malware in x86-Assemblersprache <\/u><\/b><\/span><\/p>\n <\/p>\n [\/et_pb_text][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n Durch die x86-Assemblierung k\u00f6nnen wir nun erweiterte Analysen durchf\u00fchren. Hierzu verwenden wir Tools wie Cutter und x32dbg, um wichtige Einblicke in die Malware auf der niedrigstm\u00f6glichen Ebene zu erhalten. Durch das Steuern des Ausf\u00fchrungsablaufs der Malware und der Bearbeitung seiner Low-Level-Anweisungen in einem Debugger erhalten wir nun alle M\u00f6glichkeiten zur erweiterten Analyse.<\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=“2_5,3_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_column type=“2_5″ _builder_version=“4.16″ _module_preset=“default“ custom_css_main_element=“z-index: 3;“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ text_orientation=“right“ custom_margin=“40px|-90px|||false|false“ custom_margin_tablet=“0px|0px|||false|false“ custom_margin_phone=“0px|0px|||false|false“ custom_margin_last_edited=“on|desktop“ text_orientation_tablet=“left“ text_orientation_phone=“left“ text_orientation_last_edited=“on|tablet“ global_colors_info=“{}“]<\/p>\n [\/et_pb_text][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n <\/p>\n Auch b\u00f6sartige Dokumente und von Dokumenten bereitgestellte Malware wird von unseren Experten analysiert, einschlie\u00dflich b\u00f6sartiger Makros und Remote-Vorlageninjektionen.<\/p>\n Eingebetteter Shellcode kann ebenfalls durch uns identifiziert und herausgearbeitet werden. Identifizierung auch bei skriptgesteuerten oder verschleierten Malware-Bereitstellungstechniken.<\/p>\n <\/p>\n [\/et_pb_text][\/et_pb_column][et_pb_column type=“3_5″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_image src=“https:\/\/kalweit-its.de\/wp-content\/uploads\/2022\/05\/art-ga3ec464f1_1920.jpg“ title_text=“art-ga3ec464f1_1920″ module_class=“crop-img-3-2 animate-img“ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][\/et_pb_image][\/et_pb_column][\/et_pb_row][et_pb_row _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_column type=“4_4″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“]<\/p>\n Weitere T\u00e4tigkeitsfelder:<\/strong><\/p>\n <\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section][et_pb_section fb_built=“1″ _builder_version=“4.16″ _module_preset=“default“ saved_tabs=“all“ global_colors_info=“{}“ theme_builder_area=“post_content“][et_pb_row _builder_version=“4.25.1″ _module_preset=“default“ global_colors_info=“{}“ theme_builder_area=“post_content“][et_pb_column type=“4_4″ _builder_version=“4.25.1″ _module_preset=“default“ global_colors_info=“{}“ theme_builder_area=“post_content“][et_pb_divider color=“#cc2e3e“ _builder_version=“4.17.6″ _module_preset=“default“ min_height=“19px“ global_colors_info=“{}“ theme_builder_area=“post_content“][\/et_pb_divider][et_pb_text _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“ theme_builder_area=“post_content“]<\/p>\n Uns erreichen Sie immer pers\u00f6nlich. Weil uns partnerschaftliche Treue weitaus wichtiger ist als kurzfristiger Erfolg.<\/p>\n [\/et_pb_text][\/et_pb_column][\/et_pb_row][et_pb_row column_structure=“1_2,1_2″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“ theme_builder_area=“post_content“][et_pb_column type=“1_2″ _builder_version=“4.16″ _module_preset=“default“ global_colors_info=“{}“ theme_builder_area=“post_content“][et_pb_team_member name=“Philipp Kalweit“ position=“Gesch\u00e4ftsf\u00fchrender Gesellschafter“ image_url=“https:\/\/kalweit-its.de\/wp-content\/uploads\/2024\/05\/1Y2A6279-scaled-e1717084934875.jpg“ linkedin_url=“https:\/\/de.linkedin.com\/in\/philippkalweit“ _builder_version=“4.25.1″ _module_preset=“default“ inline_fonts=“EuclidCircularB Light“ global_colors_info=“{}“ theme_builder_area=“post_content“]<\/p>\n <\/p>\n +49 40 285 301 257<\/p>\n
<\/span><\/p>\n\n
\n
\n
\n
\n
Vorgehensweise<\/h2>\n
1.<\/h4>\n
2. <\/h4>\n
3. <\/h4>\n
4.<\/h4>\n
5. <\/h4>\n
<\/span><\/p>\nWir verwenden unter anderem folgende Techniken:<\/h4>\n
Konkrete Usecases<\/h3>\n
Grundlegende Analyse<\/span><\/h3>\n
<\/h3>\n
<\/h3>\n
Dokumente<\/h3>\n
\n
Ihre Ansprechpartner<\/h3>\n