Entwicklung einer Anwendung zur automatisierten forensischen Beweismittelextraktion aus Netzwerkverkehrsdaten

Abstract

Netzwerkanalysetools wie z. B. Wireshark erlauben es dem Anwender den in einem Netzwerk fließenden Datenverkehr mitzuschneiden und einer forensischen Analyse zu unterziehen. Ist das zur Übertragung der Daten verwendete Protokoll jedoch nicht bekannt, bieten diese Tools keinerlei Unterstützung zum Auffinden verwertbarer Datenobjekte als Beweismittel, etwa von Bildern oder Zip-Archiven. Diese Bachelorarbeit umfasst den Entwurf und die Realisierung eines Tools, welches auch wenig erfahrenen Anwendern eine forensische Analyse ermöglicht. DesWeiteren wird untersucht, ob eine Klassiffikation von Daten anhand ihrer Entropie Vorteile bei der Erkennung von Datenobjekten bieten kann.

Network analyzers like Wireshark allow the user to capture network traffic data and apply forensic analysis operations on them. Without knowledge about the protocols being used, these tools fail to assist in finding utilizable data objects as evidence, such as images or zip-archives. This bachelor thesis covers design and realization of a tool, that will assist even less experienced users in performing a forensic analysis. Furthermore, it determines the benefits of classifying data by it’s entropy to find data objects.