Computer-Forensik mit Open-Source-Tools

Seite 4: Zeit für eine Autopsie

Zeit für eine Autopsie

Ebenfalls von Brian Carrie stammt der Forensic Browser Autopsy, der die Sleuth-Kit-Werkzeuge unter einer grafischen Benutzeroberfläche zusammenfasst. Autopsy stellt nach dem Start einen gesicherten HTML-Server bereit, durch den es auch übers Netz zu bedienen ist.

Ein Vorteil dieser Architektur liegt darin, dass sich mehrere Ermittler von unterschiedlichen Orten beteiligen können. Um die forensische Korrektheit dennoch zu gewährleisten, integriert Autopsy ein umfangreiches Host- und Case-Management und protokolliert zusätzlich alle durchgeführten Aktionen getrennt nach Ermittlern, Medium und Fall.

Des Weiteren kann es umfangreiche Datei-, Inhalts- und Dateityp-Analysen durchführen. Da-zu stellt Autopsy eine Art Dateimanager-Interface bereit und präsentiert dort auch Details zu gelöschten und versteckten Dateien sowie zu internen Dateisystemstrukturen.

Screenshot: Autopsy — Dateianalyse und Suchfunktionen gehören zu einem leistungsfähigen Toolkit wie Autopsy.

In die von Autopsy aus dem Dateisystem extrahierte Aktivitäts-Timeline kann man auch weitere zeitbasierte Ereignisse einarbeiten und kommentieren, was für eine verständliche, gerichtstaugliche Darstellung der Ergebnisse nützlich ist. Neben der Zusammenarbeit mit der Hash-Datenbank bekannter Dateien der US-Regierung kann der Benutzer auch eigene Hash-Daten integrieren und als gut oder böse deklarieren. Eine Anwendung dafür wäre zum Beispiel ein Hash-Set von einer Installation eines sauberen Vergleichssystems.

Eine eingebaute Suchfunktion durchsucht ein Dateisystem nach vorgegebenen Zeichenfolgen, die auch grep-like als reguläre Ausdrücke angegeben werden können. Eine vorher erstellte Indexdatei beschleunigt diesen Vorgang erheblich. Im Anschluss daran kann man die jeweiligen Fundstellen mittels ASCII oder Hexeditor näher untersuchen.

Finden mit Köpfchen

Eine besonders effiziente Suche nach bestimmten Datentypen wie Bilder oder Videos ermöglicht das Open-Source-Tool Foremost. Die Special Agents der US Air Force Kendall und Kornblum haben es dem DOS-Programm CarvThis des amerikanischen Defense Computer Forensic Labs nachempfunden. Neben dem Linux-Original gibt es mittlerweile auch eine Windows-Version.

Auch Foremost kann sowohl physische Datenträger als auch dd-Abbilder untersuchen. Eine Konfigurationsdatei spezifiziert dabei Header- und Footer-Signaturen der gesuchten Dateien sowie eine maximale Dateigröße. Foremost extrahiert danach automatisch alle Dateien, die dem Suchmuster entsprechen. Allerdings funktioniert das nur dann korrekt, wenn die Dateien nicht fragmentiert sind. Ansonsten erhält man unter Umständen nur Fragmente der ursprünglichen Datei. Eine Log-Datei protokolliert dabei alle verwendeten Parameter, alle durchgeführten Aktionen und die Offsets aller Fundstellen.

Die hier vorgestellten Open-Source-Tools brauchen den Vergleich mit kommerziellen Produkten nicht zu scheuen. Darüber hinaus gibt es eine Vielzahl von Erweiterungen und eigenständigen Werkzeugen, die hier keinen Platz mehr gefunden haben. Dazu kommt die Erkenntnis, dass gerade in diesem sensiblen Bereich offene Standards, transparente Analysen und wirklich unabhängige Experten mehr als nur technische Vorteile bieten.

Holger Morgenstern arbeitet als öffentlich bestellter und vereidigter EDV-Sachverständiger auf dem Gebiet der Computer-Forensik.