Wie kann forensisch nachgewiesen werden, dass vor 4 Monaten eine Verbindung zu einer VPN-IP-Adresse auf einem PC hergestellt wurde?

Im Betriebssystem können natürlich genauso Logs vorhanden sein, kommt aufs Setup an

Denke ich nicht, dass es Logs gibt, die jede VPN-Verbindung aufzeichnet.

Prefetch files sind da maximal nur 30 Tage.

Echt? Und wie erklärst du dir das: https://ibb.co/wMxMz0h ?

Außerdem waren es nur Beispiele - Windows hat weit über 100 forensisch interessante Artefakte.

Gibt es auch diverse Artefakte der Installation, etc.

Wenn dich das so brennend interessiert, schick den PC zu mir, gib ein Gutachten in Auftrag und ich nimm das Ding über 30-50 Stunden auseinander und schick dir dann ein 200-seitiges Gutachten mit dutzenden Funden.

Kostet dann halt ein paar tausend Euro.

Der Staatsanwalt ist wahrscheinlich gewillt dies auszugeben wenn du etwas entsprechend schlimmes angestellt hast.

Wenn man gründlich genug sucht, kann man sogar Informationsfetzen aus den Slack-Space von Dateien extrahieren.

Das kann verhindern

1. Gute Verschlüsselung. .
2. Windows reinstallieren. mit SSD

Und alle anderen haben die IP-Adresse nicht!

Die IP-Adresse ist eventuell egal wenn man mit anderen Fakten den Richter überzeugen kann, dass zB bei deinem PC 9 von 10 Merkmalen passen und damit die 99,9%ige Wahrscheinlichkeit besteht, dass du der Urheber von etwas bist.

Es geht bei der Forensik darum aus den auffindbaren Hinweisen eine schlüssige und nachprüfbare Geschichte zu erstellen die eben auf deine Schuld oder Unschuld hindeutet.

Die Aufgabe des Richters ist es sich verschiedene Geschichten anzuhören und dann zu entscheiden welcher er glaubt.

Welche Merkmale wirst du finden, um zu beweisen, dass jemand gmail besucht hat, um email zu versenden. Wenn das auf Incognito erfolgte.

Gute Verschlüsselung. .

Ja aber nur wenn dein Passwort auch sicher ist.

Windows reinstallieren. mit SSD

Ja aber damit bekommst du nicht die Spuren an den VPN-Servern, Webservern, etc. weg.

Es gibt nicht nur Spuren bei dir am System sondern auch auf anderen Systemen. Das ist das Locard'sche Prinzip - jeder der einen bestimmten Ort betritt etwas mitbringt und hinterlässt, aber auch etwas von dort wieder mitnimmt.

Verbindest du dich mit einem Server dann gibt es Spuren davon auf deinem System und auf dem Server. Du kannst deine Spuren eventuell löschen, aber nicht die am anderen System!

Welche Merkmale wirst du finden, um zu beweisen, dass jemand gmail besucht hat, um email zu versenden. Wenn das auf Incognito erfolgte.

Welche Merkmale wirst du finden, um zu beweisen, dass jemand gmail besucht hat, um email zu versenden. Wenn das auf Incognito erfolgte.

Kann ich dir gern sagen wenn ich das System untersucht habe - so ein Gutachten kostet allerdings ein paar tausend Euro.

Alles andere ist einfach nur raten und das bringt nichts.

Ich habe auch keine Zeit mich Stundenlang hinzusetzen und zu recherchieren welche zusätzlichen Möglichkeiten es gibt. Darum dauern solche Untersuchungen auch entsprechend Zeit - man muss viel recherchieren und mach Wegen suchen und alle möglichen Optionen ausschließen.

Ich kann dir es ersparen:

Du KANNST NICHT, wenn Pagefile.sys und Hilberate. sys etc deaktiviert waren.

Ich habe viele Buecher gelesen. Incognito ist sehr schlimm.

Jedoch stimmt es, dass man bei anderen System was finden kann. zb ip adresse auf gmail servers etc

Wenn das keiner kann warum fragst du dann und warum machst du dir Sorgen?!

Dein PC wird nicht umsonst beschlagnahmt worden sein. Außerdem wird sich der Staatsanwalt schon gut überlegt haben bevor er zig tausend Euro an Kosten für eine forensische Auswertung freigibt...

Aber wahrscheinlich sind Polizei, Staatsanwaltschaft und hochbezahlte IT Spezialisten alle zusammen dümmer als du und völlig machtlos gegen dich. #Ironie

Bin dann mal raus - hab noch besseres zu tun als diese sinnlosen Diskussionen.

Tausende Euros kosten sind nur wenn man eine externe Firma beauftragt.

Es handelt sich aber um die Techniker der Polizei und die bekommen sowieso ein Gehalt!

PS.: Wärst du so clever und vorausschauend gewesen, hättest du dir eine billige 20 EUR SSD gekauft, Windows und den Browser drauf installiert und dann hättest du was auch immer für Mist gebaut.

Danach hättest du die SSD einfach mit einem Hammer schrotten können und entsorgen.

Dann müsstest du jetzt nicht Angst haben, dass du was übersehen hast. Falls du nur die Pseudo-Tools wie CCleaner genutzt hast - da bleibt immer was übrig und solche Dinge motivieren Forensiker denn dann fühlen wir uns veräppelt und herausgefordert.

Tausende Euros kosten sind nur wenn man eine externe Firma beauftragt.

Es handelt sich aber um die Techniker der Polizei und die bekommen sowieso ein Gehalt!

Tausende Euros kosten sind nur wenn man eine externe Firma beauftragt.

Nein! Die Tools kosten ebenfalls tausende Euros - zB: https://www.detective-store.com/data-recovery-tool-ufed-4pc-data-recovering-from-all-mobile-phones-flash-memories-gps-trackers-and-many-others-1260.html

Ein voll ausgestatteter Arbeitsplatz kostet schnell über 100.000 EUR pro Techniker und verursacht Kosten von vielen Tausend Euro pro Jahr. Denn Lizenzverlängerungen sind auch nicht billig: https://www.detective-store.com/ufed-ultimate-license-1-year-461.html

In dem Fall kostet die Verlängerung für ein Jahr fast das Gleiche wie der Neukauf!

Dazu kommen dann Add-ons: https://www.detective-store.com/ufed-cloud-analyzer-for-cloud-data-extraction-1284.html

Damit bist du für ein Handy- und Cloud-Tool schon bei 16.000 GBP beim Kauf und bei über 10.000 GBP für die jährliche Verlängerung der Updateversorgung.

Forensiker sollen Ergebnisse mit mind. 2 versch. Methoden bestätigen - du brauchst also 2 Tools für alles um die Ergebnisse der Tools dann zu vergleichen und bei Ungereimtheiten nachforschen zu können.

Andere Software oder andere Tools sind auch nicht billig - zB ein Kopiertool für Festplatten: https://firewire-revolution.de/shop/alle/it-forensik-hardware/wiebetech/ditto-dx-forensic-fieldstation/wiebetech-ditto-dx-forensic-fieldstation/

Alle Forensik-Tools müssen auch entsprechend geprüft sein und entsprechende Nachweise erbringen bzw. bestimmte Kriterien erfüllen - du kannst also nicht einfach ein 30 EUR Doc nutzen um eine Platte zu klonen.

Es handelt sich aber um die Techniker der Polizei und die bekommen sowieso ein Gehalt!

Tausende Euros kosten sind nur wenn man eine externe Firma beauftragt.

Nein! Ein voll ausgestatteter Forensik-Arbeitsplatz kostet richtig Geld - zB für Telefone und Cloud:

• https://www.detective-store.com/data-recovery-tool-ufed-4pc-data-recovering-from-all-mobile-phones-flash-memories-gps-trackers-and-many-others-1260.html
• https://www.detective-store.com/ufed-cloud-analyzer-for-cloud-data-extraction-1284.html

Die jährliche Lizenzverlängerung ist auch nicht gerade billig: https://www.detective-store.com/ufed-ultimate-license-1-year-461.html

Dazu kommt, dass du als Forensiker deine Ergebnisse gegenprüfen musst. Meist nutzt man zwei unterschiedliche Tools um dann die Ergebnisse zu vergleichen denn die Chance, dass zwei den gleichen Fehler machen ist sehr sehr gering...

Damit kaufst du zum prüfen nochmal: https://www.detective-store.com/oxygen-forensic-kit-rugged-portable-tool-for-mobile-phone-data-recovery-509.html

Damit bis du schon bei 30.000 GBP für Mobiltelefone und Cloud und bei fast 20.000 GBP pro Jahr an Kosten.

Dazu kommen viele andere Tools - eine einfache forensische Kopierstation für Festplatten ist auch nicht billig: https://firewire-revolution.de/shop/alle/it-forensik-hardware/wiebetech/ditto-dx-forensic-fieldstation/wiebetech-ditto-dx-forensic-fieldstation/

Das liegt daran, dass Forensik-Tools spezielle Kriterien erfüllen und bestimmte Nachweise erbringen müssen. Daher kosten alle diese Tools richtig Geld!

Es handelt sich aber um die Techniker der Polizei und die bekommen sowieso ein Gehalt!

Falsch! Die bekommen neben dem Gehalt Fortbildungen und Schulungen, etc. bezahlt um auch vor Gericht nachweisen zu können am letzten Stand zu sein. Diese Kurse sind auch nicht billig:

• https://teeltech.com/mobile-device-forensics-training/pc-3000-hdd-forensic-expert-online-training/
• https://teeltech.com/mobile-device-forensics-training/sqlite-forensics/
• usw.

Damit hat der Staat für jeden IT-Forensiker und jeden Arbeitsplatz Kosten im hohen sechsstelligen Bereich und wenn man das dann auf die einzelnen Fälle herunter bricht ist es nicht so viel billiger als eine externe Firma.

Deine Beiträge sind aus der Praxis und sind daher nutzvoll.

Bleib auf Gutefrage. wir brauchen Leute wie dich, die immer Antworten aus der Praxis bringen

Danke!

"Wenn dich das so brennend interessiert, schick den PC zu mir,"

Kann er nicht, das Ding wurde nämlich von der Polizei beschlagnahmt. 😂😂😂

Er braucht Tipps von Leuten wie Dir, um seine kriminellen Machenschaften zu verstecken. Gegen den Typ liegt seit Monate eine Ausreiseaufforderung vor und diverse Anzeigen. Pass auf, wem du hier hilfst.

Ich weiß schon - es hilft Ihm ja nichts mehr und auf die Idee eine Platte zu vernichten sollte jeder selber kommen dessen IQ höher ist als die Bordsteinkannte. Die Kommentare waren ironisch gemeint...

Außerdem verrate ich nichts, was man nicht in wenigen Minuten selber in Google finden könnte...

Dann musst du doch mal unmissverständlich ausdrücken.

Auf dem eigenem PC gibt es auch Protokolle.

Wo und wie lange bleiben die?

So lange wie du es in den Einstellungen festlegst. Das können Tage oder Jahre sein... Der Standard-Wert ist glaube ich recht lange in meinem Event-Log finde ich noch Daten von 01/2022.

Selbst wenn Logs gelöscht und überschrieben werden gibt es eventuell und auswertbare Daten in Slack-Space.