Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Forensik-Tools patzen bei neuer Windows-Kompression

Mit Hilfe einer noch weitgehend unbekannten Dateikompression namens "Compact OS" könnten sich Schad-Programme und andere Beweismittel einer forensischen Untersuchung eines PCs entziehen. Wir haben sechs Standard-Forensik-Tools getestet.

In Pocket speichern vorlesen Druckansicht 21 Kommentare lesen
Forensik-Tools patzen bei neuer Windows-Kompression
Lesezeit: 6 Min.
Security
Von
  • Heiko Rittelmeier
Inhaltsverzeichnis

Windows 10 führte eine neue Form der dateibasierten, transparenten Kompression namens "Compact OS" ein. Da bislang lediglich Windows 10 diese NTFS-Erweiterung von Haus aus unterstützt, sind damit komprimierte Dateien auf vielen Systemen nicht mehr lesbar.

Standardmäßig komprimiert Windows lediglich System-Dateien mit Compact OS und nur dann, wenn das System auf einer SSD installiert ist. Doch Anwender – oder Schadprogramme – können auch gezielt einzelne Dateien komprimieren. Das kann etwa mit dem Befehl

compact /c /exe screenshot.bmp

erfolgen, wenn die Datei screenshot.bmp auf einem NTFS-Laufwerk liegt. Anders als bei der regulären NTFS-Kompression mit LZNT1 erfolgt die Kompression mit dem XPRESS-Verfahren. Unter Windows 10 lässt sich die Datei ganz normal öffnen; wird die Festplatte oder der USB-Stick jedoch auf einem anderen System als Windows 10 untersucht, lässt sich die komprimierte Datei nicht öffnen. Das Modul für NTFS-3G System Compression stellt zumindest experimentelle Compact-OS-Unterstützung als Open Source bereit (bislang read-only).

Forensik-Tools im Test

Damit stellt sich natürlich zwingend die Frage nach den Auswirkungen auf forensische Untersuchungen. Schließlich könnten sich auf diesem Weg Dateien einer Untersuchung etwa zum Zweck der Beweismittelsicherung entziehen, wenn die eingesetzten Tools das neue Format nicht vollständig unterstützen. Um einen ersten Überblick zu bekommen haben wir eine einfache Teststellung aufgebaut: Drei Fotos, ein Textdokument und ein Word-Dokument wurden in unterschiedlichen Verzeichnissen jeweils einmal unkomprimiert und einmal komprimiert abgespeichert. In einem dritten Verzeichnis wurden die Dateien zunächst komprimiert und anschließend im Explorer gelöscht, um die Funktion von Dateiwiederherstellungstools ("Carving") zu testen. Bei der Auswahl der Testobjekte spielten vorwiegend Erfahrungen aus der Forensik eine Rolle: Die gewählten Dateitypen sind im Rahmen von forensischen Untersuchungen oft von Relevanz.

Anschließend wurde der Datenträger als vollständiges Image in einen EWF-Container gesichert und unter Nutzung mehrerer marktüblicher Tools untersucht. Konkret kamen Magnet Forensics Axiom, Belkasoft Evidence Center, X-Ways Forensics, EnCase, Autopsy (Sleuthkit) und BlackLight in den jeweils aktuellen Versionen zum Einsatz. Die ersten Untersuchungen fanden unter Nutzung eines Rechners mit Windows 10 (aktueller Patchlevel) statt, da dies eine möglichst hohe Kompatibilität mit Compact OS gewährleisten sollte. Um das Ergebnis gleich vorwegzunehmen: Kein einziges der getesteten Tools war in der Lage, die Dateien zu verarbeiten, die mit der neuen Kompressionsmethode komprimiert wurden. Die dann nur noch als Stichproben durchgeführten Tests mit älteren Windows-Versionen lieferten dann die (erwarteten) gleichen Ergebnisse.

Forensik-Tools und Compact OS (7 Bilder)

Magnet Axiom

Unter Windows 10 erscheinen beide Bilder identisch; Magnet Axiom präsentiert jedoch zu der gepackten Version keine brauchbaren Informationen.

Zugriff verweigert

Konkret wurden weder die Textdateien durchsuchbar indiziert, noch war es möglich, bekannte Dateien durch Vergleiche der Hash-Werte zu identifizieren. Grundsätzlich war allerdings für diese kein anderes Verhalten zu erwarten: Der tatsächlich auf dem Datenträger vorhandene Inhalt der Datei wird durch die Komprimierung verändert, so dass ein Vergleich der Prüfsummen letztlich keine identischen Werte ergeben kann, so lange tatsächlich mit den komprimierten Daten gearbeitet wird.

Die Darstellung der Testdateien wurde von den Tools völlig unterschiedlich umgesetzt. X-Ways Forensics wies beim Anklicken einer komprimierten Datei immerhin darauf hin, dass "diese Art der dateisystembasierten Dateikompression oder -verschlüsselung" nicht unterstützt wird. Die meisten Programme verarbeiteten die Dateien jedoch klag-, aber auch ergebnislos. Den Inhalt darstellen oder die Dateien lesbar exportieren konnte jedoch kein einziges. Einige zeigten zumindest Hinweise auf vorhandene "Alternate Data Streams" mit dem Bezeichner "WofCompressedData", die dann aber nicht interpretiert werden konnten. Bei den Hex-Ansichten waren sich die meisten Tools einig und zeigten überwiegend komplett leere Dateien an, beim Export wurden in letzter Konsequenz auch genau solche angelegt. Die Darstellung der Dateien in den Metadaten zeigte sich uneinheitlich: Teilweise wurden die Attribute der Dateien als "ReparsePoint, SparseFile" dargestellt, teilweise wurden keine speziellen Attribute erkannt.

Tipps für Forensiker

Eine automatische Verarbeitung der zu untersuchenden Dateien erscheint zumindest bis zum Erscheinen angepasster Versionen der Forensik-Programme unmöglich. Um sich einen ersten Überblick zu verschaffen könnte man auf dem Untersuchungsobjekt erst mal nach "ReparsePoints" oder "SparseFiles" suchen. Dies sollte in den meisten Tools möglich sein und die verdächtigen Dateien identifizieren. Auch möglich wäre die Suche nach den Alternate Data Streams "WofCompressedObjects", die aber genauso wenig wie die vorher genannten Attribute von allen Tools gleichermaßen angezeigt werden. Die mit Hilfe der Suche gefundenen Dateien muss man derzeit manuell überprüfen beziehungsweise weiterverarbeiten.

Als nutzbarer Weg bietet sich an, die relevanten Dateien von einem in ein Windows-10-System gemounteten E01-Image in eine leere Partition zu kopieren und davon ein "Logical Evidence File" zu erstellen. Die bislang durchgeführten Tests deuten darauf hin, dass die Dateien beim Kopieren vom Betriebssystem transparent entpackt werden. Dies war bei allen durchgeführten Test sowohl bei Dateien, als auch beim Kopieren ganzer Ordner der Fall. Um die weitere Verarbeitung der Dateien nicht unnötig zu erschweren, sollte man dabei darauf achten, dass die Meta-Daten der kopierten Dateien unverändert für die Kopien übernommen werden. Andernfalls müssen die Meta-Daten gegebenenfalls mit denen der entsprechenden Dateien im E01-Image abgeglichen werden.

Zwangsläufig wird sich diese Möglichkeit auf die Verarbeitung von aktiven (im Sinne von "nicht gelöschten") Dateien beschränken müssen. Derzeit scheint es noch keine verfügbaren Carving-Mechanismen zu geben, die mit den mittels Compact OS komprimierten Dateien umgehen können. Auch wenn Compact OS derzeit nicht von außerordentlich großer Relevanz für forensische Untersuchungen sein dürfte, sollten die Hersteller der Tools unbedingt ihre Hausaufgaben machen und die Programme möglichst zeitnah aktualisieren. Die Hersteller der getesteten Programme wurden von uns über die durchgeführten Tests und deren Ergebnisse bereits in Kenntnis gesetzt.

Produkt Version Hersteller
Magnet Axiom 1.0.11.4067 Magnet Forensics
Belkasoft Evidence Center 8.3 Build 1962 Belkasoft
X-Ways Forensics 19.1 SR-4 X-Ways AG
Autopsy 4.3.0 sleuthkit.org
Encase Forensic 8 Guidance Software
BlackLight 2016 R 3.1 BlackBag Technologies

Getestete Versionen:
(ju)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten