Computer-Forensik mit Open-Source-Tools

Seite 3: Mehr Komfort

Mehr Komfort

Das Open-Source-Projekt AIR-Imager (automated image and restore) bemüht sich um ein wenig mehr Komfort beim Einsatz dieser Tools und entwickelt dafür eine grafische Benutzeroberfläche zur Steuerung von dd & Co. Sie bietet eine komfortable Auswahl von Quell- und Ziellaufwerken, den Einsatz von Kompression, Netzwerktransfer, automatische Authentifizierung sowie das Löschen von Devices an. AIR-Imager kann wahlweise das normale dd oder auch dcfldd verwenden.

Screenshot von AirImager — Die TK-Oberfläche von AirImager vereinfacht den Einsatz von Tools wie dd, md5sum und netcat.

Das noch in einem frühen Entwicklungsstadium befindliche Projekt ODESSA (Open Digital Evidence Search and Seizure Architecture) bindet in den Prozess der Image-Erstellung erste Analysefunktionen ein. Dabei setzt es auf eine Client/Server-Struktur auf, die ein forensisches Arbeiten innerhalb eines LAN ermöglicht. Über eine Plug-in-Schnittstelle bindet es unter anderem Module zur Hash-Berechnung, String-Suche oder auch zur Extraktion von Dateien anhand von Header- und Footer-Signaturen ein.

Forensische Analyse

Nachdem forensische Kopien aller betroffenen Datenträger erstellt wurden, sollten man die Originale sicher verwahren. Weitere Analysen erfolgen nur noch auf den Kopien. Damit ist sichergestellt, dass ein unabhängiger Dritter später die gefundenen Ergebnisse wirklich sauber nachvollziehen und überprüfen kann. Des Weiteren empfiehlt es sich, die Images zur Untersuchung immer nur im Read-only-Modus zu mounten - schon um versehentliche Änderungen zu vermeiden.

Auch auf dem Gebiet der Analyse bietet Linux von Haus aus viele Werkzeuge und Mechanismen zum Durchsuchen der Daten. Im praktischen Einsatz erweist sich das Loopback Device als besonders nützlich. Damit ist es möglich, ein forensisches dd-Image read only zu mounten:

mount -o loop,ro hda1.dd /mnt/test1

Danach kann man für die weitere Untersuchung damit arbeiten, als wäre der physische Datenträger im System vorhanden. Handelt es sich bei dem Image um das Abbild einer ganzen Platte, muss man Partitionen mit passenden Offsets mounten oder via dd extrahieren [2]. Mehr Komfort bietet hier das von NASA-Mitarbeitern erweiterte Enhanced Loopback Device, das die Partitionsinformationen in einem Imagefile automatisch interpretiert.

Bei der Analyse setzen auch Experten gern System-Tools wie grep, strings, find, file oder hexedit ein. Da die Größen der zu untersuchenden Speichermedien jedoch sehr schnell ansteigen und auch der beste Forensiker keine 200-GByte-Festplatte mit einem Hexeditor in akzeptabler Zeit untersuchen kann, sind aber auch spezielle Werkzeuge gefragt, die Teile der Analyse automatisieren und die Handarbeiten auf ein vertretbares Maß reduzieren.

Spürhunde am Werk

Für die Postmortem-Analyse eines Unix-Systems nach einem Sicherheitsvorfall gibt es im Open-Source-Bereich seit 1999 eine von Dan Farmer und Wietse Venema entwickelte sehr umfangreiche Werkzeugkollektion mit dem bezeichnenden Namen The Coroner’s Toolkit (TCT, Werkzeugkasten des Leichenbeschauers). Darin sind unter anderem Analyse-Tools wie grave-robber oder mactime enthalten, die Informationen über im Dateisystem enthaltene Zugriffsdaten auch von gelöschten Dateien preisgeben. unrm und lazarus stellen gelöschte Dateien wieder her. Dabei ist TCT plattformspezifisch - Analyse- und Untersuchungsplattform müssen gleich sein.

Eine Weiterentwicklung des TCT, die diesen Nachteil behebt, stammt von Brian Carrier. Das Sleuth Kit, bis vor kurzem unter dem Namen TASK bekannt, läuft unter verschiedenen Unix-Versionen inklusive Linux. Es analysiert DOS-, BSD- und MAC-Partitionen sowie Sun-Slices, kann zurzeit allerdings nur die Dateisysteme NTFS, FAT, FFS, ext2fs sowie ext3fs lesen.

Die Kommandozeilenwerkzeuge des Sleuth Kit benötigen keine Betriebssystemfunktionen für die Analyse der Images. Statt sie zu mounten, greifen sie auf eine eigene Infrastruktur zur Interpretation von Daten und Metadaten zurück. Sie spüren auch Daten auf, die zwischen Partitionen versteckt wurden, und unterstützen alle Attribute von NTFS-Dateien wie zum Beispiel alternative Dateiströme.

Im Bereich der Computer-Forensik bestehen relevante Informationen nicht nur aus Dateiinhalten. In einigen Fällen ergeben sich wertvolle Beweise aus den im Dateisystem enthaltenen Zugriffsmustern, den so genannten Media-Access- kurz MAC-Times. Das Sleuth Kit bietet hier sehr gute Werkzeuge, um eine Timeline der Aktivitäten unter Berücksichtigung der ursprünglichen Zeitzone sowie von eventuellen Zeitversätzen (Skews) zu erstellen. Dazu kann es auch andere zeitbasierte Ereignisprotokolle, beispielsweise Log-Dateien von Proxy-Servern, Firewalls et cetera, importieren und in die Timeline einbeziehen.

Die heute untersuchten Medien enthalten oft sehr große Datenmengen. Schon allein die verwendeten Betriebssysteme bringen jede Menge eigene Dateien mit. So enthält beispielsweise eine Windows-2000-Installation allein knapp 6000 Bilddateien. Für eine effiziente Analyse derartiger Medien kann es deshalb sehr wichtig sein, bekannte Dateien sicher herauszufiltern und nur den Rest weiter zu betrachten oder aber - zum Beispiel bei der Suche nach Raubkopien - diese positiv zu identifizieren.

Die US-Regierung betreibt dazu eine umfangreiche Datenbank, in der die jeweiligen Hash-Werte einer Vielzahl von bekannten Dateien hinterlegt sind. Diese Datenbank ist frei zugänglich und die Sleuth-Kit-Werkzeuge können sie in die Untersuchung miteinbeziehen. [3]

Beliebte Bestenlisten

Alle bestenlisten

Top 10: Das beste Mini-Tablet bis 9 Zoll im Test

Top 10: Die beste Powerstation im Test

Top 10: Der beste günstige Mini-PC mit Windows 11

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}