In unserem Papier [1] und dem technischen Report [2] beschreiben wir die untersuchten internen Strukturen und deren dahinterstehenden Konzepte von Microsofts Resilient File System (ReFS). Ausgehend von diesen Erkenntnissen entwickelten wir Techniken, um gelöschte Dateien wiederherzustellen.Ausgehend dieser beiden Arbeiten sollen in dieser Abschlussarbeit Data Hiding Techniken entwickelt werden. Zum einen können Konzepte aus den Papieren [3,4,5] angepasst auf ReFS übernommen werden. Andererseits können auch neue Konzepte speziell für ReFS entwickelt werden.
Am Ende soll ein forensisches Tool entwickelt werden, dass Analysten dabei unterstützt versteckte Daten in einem ReFS zu entdecken.
[1] Paul Prade, Tobias Groß & Andreas Dewald, Forensic analysis of the Resilient File System (ReFS) version 3.4, Forensic Science International: Digital Investigation
[2] Paul Prade, Tobias Groß, Andreas Dewald, “Forensic Analysis of the Resilient File System (ReFS) Version 3.4” Friedrich-Alexander-Universität Erlangen-Nürnberg, Dept. of Computer Science, Technical Reports, CS-2019-05, December 2019. https://opus4.kobv.de/opus4-fau/files/12526/refs_report.pdf
[3] Thomas Goebel and Harald Baier. 2018. Anti-forensics in ext4: On secrecy and usability of timestamp-based data hiding. Digital Investigation 24 (2018), S111 – S120. DOI:http://dx.doi.org/10. 1016/j.diin.2018.01.014
[4] Ewa Huebner, Derek Bem, and Cheong Kai Wee. 2006. Data hiding in the NTFS file system. Digital Investigation 3, 4 (2006), 211 – 226. DOI:http://dx.doi.org/10.1016/j.diin.2006.10.005
[5] Göbel, Thomas, Jan Türr, and Harald Baier. "Revisiting Data Hiding Techniques for Apple File System." Proceedings of the 14th International Conference on Availability, Reliability and Security. 2019.