heise PlusAbo
Anzeige

In letzter Minute

Falls nach einem Datenverlust Backups nicht mehr helfen können, gibt es auf die Datenrettung spezialisierte Programme und Dienstleister. Die Beschreibung einer systematisch-technischen Vorgehensweise zur Post-mortem-Analyse von Dateisystemen nebst passender Open-Source-Tools will helfen, gegebenenfalls selbst Hand anlegen zu können.

vorlesen Druckansicht
Lesezeit: 5 Min.
iX Magazin
Von
  • Oliver Tennert

Datenverlust kann Unternehmen ruinieren und die Arbeit von Jahren zunichte machen. Backups sind sicher die übliche Vorsorgemaßnahme, doch können diese nicht jede versehentliche Löschaktion ausgleichen. Dieser Artikel beschreibt daher eine systematische technische Vorgehensweise und einige Open-Source-Tools, die es Betroffenen gestattet, Hand ans verendete Gerät anzulegen und so unter Umständen größere Ausgaben für Dienstleistungen oder Programme zu sparen.

Schicht um Schicht im Leichenschauhaus

Oft spricht man in diesem Zusammenhang von forensischer Analyse. Im engeren Sinne bezeichnet man damit die gerichtliche beziehungsweise ermittlungsdienstliche Untersuchung von Rechnern im Falle von Computerdelikten. Im weiteren Sinne ist aber die grundsätzliche Analyse eines Schadensfalles irgendeiner Art gemeint, beispielsweise nach Hackereinbrüchen. Diese können auch erfahrene Systemadministratoren durchführen.

Ein spezielles Thema in der Computerforensik ist die Dateisystemforensik, also die Analyse eines Dateisystems. Da die vorgestellten Analyse- und Rekonstruktionsverfahren üblicherweise nicht am laufenden System („Live-Analyse“) arbeiten, sondern vielmehr die zu untersuchende Festplatte oder ein Image hiervon an einem unabhängigen System untersuchen, spricht man von einer Post-mortem-Analyse. Die Analogie zur Pathologiesektion in einer Klinik ist offensichtlich.

Schichtenmodell Informationsspeicherung: Jeder Layer bietet einen höheren Abstraktionsgrad als der nächsttiefer gelegene und besitzt im Allgemeinen einen so genannten Slack Space. Auf diesen kann man nur über die nächsttiefere Schicht zugreifen. Ebenfalls zu beachten ist, dass ein reiner Lesezugriff oft die Metadaten verändert (Abb. 1).

Die Rekonstruktion ganzer Dateisysteme, erfordert das Durchlaufen einer Hierarchie von Abstraktionsschichten, wie sie Abbildung 1 zeigt. Die Wiederherstellung eines Layers bedingt im Allgemeinen die vorhergehende Rekonstruktion der nächsttieferen Schicht.

Schicht 0 könnte man als die physikalische bezeichnen. Sie verfügt über einen komplexen Aufbau und subsumiert an dieser Stelle die eigentliche Festplattenhardware - von der physikalischen Beschaffenheit der Plattenoberfläche bis hin zur Position der Jumper. Im Allgemeinen ist eine Analyse auf dieser Ebene dem Festplattenhersteller beziehungsweise Spezialdienstleistern vorbehalten, weil sie entweder die Kenntnis von undokumentierten Befehlen, Firmware-Eigenschaften und Jumperstellungen oder aber teures Spezialgerät erfordert. Eine systematische Übersicht der weiteren Analyse beginnt im Folgender daher mit Schicht 1, dem Festplatten-Device.

HPA und DCO dreiteilen ein Festplatten-Device gewissermaßen. Während viele Treiber die HPA berücksichtigen, lassen sie DCO noch weitgehend ungenutzt (Abb. 2).

Ein Platten-Device bildet die Schnittstelle zwischen Festplatte und Betriebssystem. Für eine Rekonstruktion muss man wissen, dass vor allem ATA-Festplatten jede Menge Möglichkeiten bieten, Bereiche auszublenden und Daten zu verstecken. Die wichtigste, die ATA-Platten seit der Verabschiedung des ATA-4-Standards 1998 besitzen, ist die so genannte Host-Protected Area (HPA) (Abbildung 2).

Über das ATA-Kommando SET_MAX_ADDRESS wird der Festplatte mitgeteilt, welche Kapazität sie nach einer IDENTIFY-DEVICE-Abfrage, die üblicherweise bei der Hardwareerkennung des Betriebssystems erfolgt, mitteilen soll. Die HPA ist also ein einfacher Trick, einen oberen Bereich der Festplatte zu verstecken - allerdings ein schlechter: das ATA-Kommando READ_NATIVE_MAX_ADDRESS liest immer die maximale obere Sektoradresse aus, auch wenn sie innerhalb einer HPA liegt. Eine HPA lässt sich mit weiteren ATA-Kommandos zurücksetzen - entweder vorübergehend bis zum nächsten Reset oder dauerhaft ab dem nächsten Reset - und die Festplatte hat wieder ihre volle Kapazität. Aktuelle Linux-Kernel setzen grundsätzlich eine beim Booten detektierte HPA temporär zurück, sodass sie auf alle Sektoren bis zur nativen Maximaladresse zugreifen können.

Mehr Infos

Quellen

Wesentlich subtiler als die Verwendung einer HPA ist das mit dem ATA-6-Standard eingeführte Device Configuration Overlay (DCO). Subtiler deswegen, weil nach Kenntnis des Autors kein Betriebssystem diese Eigenschaft in seinen Festplattentreibern berücksichtigt und sie sich daher zurzeit nur per Spezialsoftware nutzen lässt. DCO erlaubt es, softwaremäßig nicht nur die nach außen hin „vorgegaukelte“ Größe der Platte zu ändern, sondern auch, einzelne andere optionale Funktionen der Platte auszublenden. Ein Open-Source-Tool zur Manipulation von DCO gibt es nach Kenntnis des Autors zurzeit nicht.

Für die forensische Analyse im engeren Sinne, nicht so sehr für die Datenrettung, sind weitere Eigenheiten und undokumentierte Möglichkeiten relevant, die Arne Vidström in einem ausführlichen Report [1] aufführt, allen voran die Beeinflussung der Forensik durch das platteneigene Defektmanagement, das seit ATA-3 vorhandene Security Feature Set sowie die Einschränkung des Plattenzugriffs durch die Verwendung von Passwörtern. Das im Normalfall sehr nützliche S.M.A.R.T.-Interface, über das sich zur Laufzeit Statusinformationen der Festplatte auslesen lassen, ist für die forensischen Analyse oft ebenfalls eher hinderlich [2]. Teilweise sind, wie bei der Verwendung von DCO, die Auswirkungen auf die forensische Analyse noch gar nicht vollkommen verstanden.

Wie sich Daten im so genannten Slackspace wirkungsvoll verstecken lassen und welche Stolperfalles sich beim Wiederherstellen von Dateisystemen auftun, können Sie in der gedruckten Ausgabe der iX nachlesen.

[1] Arne Vidström; Computer Forensics and the ATA Interface; www.foi.se/upload/rapporter/foi-computer-forensics.pdf

[2] Steven McLeod; SMART Anti-Forensics; members.ozemail.com.au/~steven.mcleod/SMART_Anti_Forensics.pdf

[3] Nikolai Bezroukov; Unix dd Command and Image Creation; www.softpanorama.org/Tools/dd.shtml

[4] The Grugq; The Art of Defiling; blackhat.com/presentations/bh-europe-05/bh-eu-05-grugq.pdf

[5] The Grugq; Defeating Forensic Analysis on Unix; www.phrack.org/phrack/59/p59-0x06.txt

[6] Brian Carrier; File System Forensic Analysis; Addison-Wesley 2005

[7] Florian Buchholz, Eugene Spafford; On the Role of File System Metadata In Digital Forensics; Journal of Digital Investigation, 1(4), S. 297-308, Dezember 2004

[8] Dan Farmer, Wietse Venema; Forensic Discovery; Addison-Wesley 2005

[9] Alexander Geschonneck; Forensik-Tools; Zurückgezaubert; Welche Analysewerkzeuge wann einsetzen; iX 3/2006, S. 46

Mehr Infos

iX-TRACT

  • Oberste Grundregel bei forensischen Untersuchungen ist, möglichst nie mit dem Originaldatenträger, sondern mit Kopien zu arbeiten.
  • Analysen, die nicht auf undokumentierte Eigenschaften von Festplatten setzen, kann jeder Anwender mit freien Tools selbst durchführen.
  • Dynamische Strukturen moderner Filesysteme wie NTFS oder ReiseFS erschweren die Arbeit der Wiederherstellung erheblich.

(avr)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten