Partnerseite / Sponsor:
Logo-Banner www.gutachten.info: EDV-Gutachten, EDV-Sachverständiger, EDV-Gutachter
Computer Forensik: Linux als Plattform

Forum
Open Source Computer Forensik

Computer Forensik Open Source Linux-Plattform Imaging-Tools Analyse-Tools Dokumente Ressourcen

Computer Forensik: Analyse-Tools

Forensische Untersuchungen werden nach Möglichkeit nur auf den erstellten forensischen Kopien und im Read-Only-Modus durchgeführt. Die Originalsysteme sollten - falls möglich - sicher verwahrt werden. Dadurch wird eine spätere, unabhängie Überprüfung der Analysen möglich. (Falls es aber in der Praxis so sein sollte, dass die Systeme so schnell wie möglich weiter benutzt werden müssen, ist ganz besonders auf die Vollständigkeit und Qualität der erstellten Images zu achten!)

Im Open Source Bereich bietet Linux schon von Haus aus eine Vielzahl von Werkzeugen und Programmen, die für eine Untersuchung eingesetzt werden können (grep, strings, find, file, hexedit,...). Besonders nützlich bei der Arbeit mit Imagedateien ist das loopback device. Damit wird es möglich mit einer Imagedatei so zu arbeiten, als wäre ein entsprechender Datenträger im System vorhanden. (Mit dem normalen loopback device können nur Images einzelner Partitionen gemountet werden. Diese können z.B. mit dd aus dem Gesamtimage herauskopiert werden. Wesentlich komfortabler gestaltet sich der Prozess mit dem Enhanced Loopback Device, das von NASA Mitarbeitern entwickelt wurde, als Open Source zu Verfügung steht und die in einer Imagedatei enthaltenen Partitionsinformationen automatisch interpretiert.)

Das Sleuth Kit

Für die Postmortem-Analyse eines Unix-Systems entwickelten Dan Farmer und Wietse Venema eine Anzahl von Werkzeugen, die unter dem Namen The Coroners Toolkit (TCT) bekannt wurde. TCT ist jedoch plattformspezifisch, d.h. Analyse- und Untersuchungsplattform müssen gleich sein. Das Sleuth Kit von Brian Carrier ist eine plattformunabhängige Weiterentwicklung und Erweiterung des TCT. Es kann unter verschieden Unix-Versionen inklusive Linux eingesetzt werden und analysiert DOS-, BSD- und MAC-Partitionen sowie Sun-Slices. An Dateisystemen können zurzeit NTFS, FAT, FFS, ext2fs sowie ext3fs untersucht werden.

Autopsy

Eine komfortable grafische Benutzeroberfläche zum Einsatz des Sleuth Kits bietet der ebenfalls von Brian Carrier entwickelte Forensic Browser Autopsy. Über einen gesicherten HTML-Server können mittels Autopsy auch mehrere Ermittler, örtlich unabhängig, gemeinsam an einem Fall arbeiten. Autopsy stellt dafür ein umfangreiches Case-Management bereit.


Das Sleuth Kit und damit auch Autopsy verlassen sich zur Interpretation der Dateisysteme nicht auf Betriebssystemfunktionen. Sie sind dadurch in der Lage auch Dateien und Informationen aufzuspüren, die außerhalb der normelen Zugriffsmöglichkeiten der jeweiligen Betriebsysteme liegen (z.B. zwischen Partitionen versteckt sind).



Neben sehr umfangreichen Möglichkeiten, Informationen aus allen Ebenen des Medien- sowie Dateisystemmanagements zu analysieren, können auch Aktivitäts-Timelines erstellt und mit anderen zeitbasierten Protokollen abgeglichen werden. Die Zusammenarbeit mit Hash-Datenbanken bekannter Programme (NSRL, Hashkeeper,...), erleichter das Finden bzw. Aussortieren von für die konkrete Untersuchung wichtigen / unwichtigen Dateien.

Foremost

Geht es darum bestimmte Dateitypen (z.B. Bilder, Filme, Word- oder Exel-Dokumente) unabhängig vom Dateisystemmanagement z.B. in nicht mehr zugeordneten Bereichen, kann eine Suche nach definierten Heard- und Footer Signaturen weiterhelfen. Für diesen Zweck wurde von den Special Agents der US Air Force Kendall und Kornblum das Werkzeug Foremost entwickelt (ähnlich CarvThis des amerikanischen Defense Computer Forensic Labs).

Foremost kann sowohl physikalische Datenträger als auch dd-Images analysieren. Über eine einfache Konfigurationsdatei können die Header- und Footer-Signaturen der gesuchten Dateien, sowie eine maximale Dateigröße angegeben werden. Das Werkzeug kopiert alle gefundenen Dateien , die den eingestellte Signaturen entsprechen. Naturgemäß funktioniert dies nur dann korrekt, wenn die Dateien nicht fragmentiert vorliegen. Es ist also durchaus möglich, dass Foremost Dateistücke extrahiert, die dann von Hand weiter bearbeitet werden müssen.

Dieses Forum wird betreut und unterstützt von unserer Partnerseite: http://www.gutachten.info/ Dort finden Sie Informationen und Ansprechpartner zum Themenbereich Computer Forensik insbesondere in Verbindung mit EDV-Gutachten. Der EDV-Sachverständige Morgenstern ist offentlich bestellt und vereidigt und auf diesem Gebiet als EDV-Gutachter und Berater tätig.
EDV-Gutachten / EDV-Sachverständiger Morgenstern: Impressum