Synthetische Erzeugung von Datensätzen

Zum Testen von forensischen Tools und für die Aus- bzw. Weiterbildung in der digitalen Forensik werden realitätsnahe, individuelle und dynamisch konfigurierbare Datensätze sowohl von persistenen Datenträgern, volatilen Hauptspeicherinhalten als auch vom zugehörigen Netzwerkverkehr benötigt. Mit hystck und ForTrace konzeptionieren, implementieren und evaluieren wir zwei Frameworks zur Bereitstellung solcher Datensätze.

 

hystck

Das hystck-Framework dient zur Erzeugung synthetischer Datensätze mit einer realitätsnahen Ground Truth. Das Framework unterstützt die automatische Erzeugung von synthetischem Netzwerkverkehr sowie von Betriebssystem- und Anwendungsartefakten durch die Simulation von Mensch-Computer-Interaktionen. Das Ziel ist es die synthetisch erzeugten Daten ähnlich bis nahezu gleich zu den Daten, die durch normale Mensch-Computer-Interaktionen erzeugt würden, aussehen zu lassen. Die modulare Struktur und der offene Source Code des Frameworks ermöglicht es das bestehende Framework nach Belieben zu erweitern.

 

hystck Github-Link

 

ForTrace

ForTrace stellt eine Erweiterung zu hystck dar. Mit ForTrace verfolgen wir einen ganzheitlichen Ansatz bei der Datensynthese, d.h. die Synthese von persistenten, flüchtigen und Netzwerkspuren. Da in einer modernen forensischen Auswertungen häufig mehrere Datenquellen eine wichtige Rolle spielen, werden den verschiedenen Layern Festplatte, Arbeitsspeicher und Netzwerk nun auch bei der Synthese durch ForTrace Beachtung geschenkt. ForTrace ist in der Lage verschiedene bereits vorhandene realistische und komplexe Szenarien nachzustellen oder durch das modulare Design die Datensynthese nach eigenen Wünschen dynamisch zu konfigurieren und zu erweitern. Wir werden auch ForTrace zeitnahe Open Source zur Verfügung stellen.

 

ForTrace Github-Link