Forensische Analyse auf dem PC
Mit DEFT-Linux Hacker-Angriffe erkennen und analysieren
Die Einsatzmöglichkeiten von DEFT
DEFT richtet sich gezielt an Nutzer, die einen Rechner oder speziell dessen Festplatten, vorzugsweise mit einer oder mehreren Windows-Partitionen, forensisch analysieren möchten. Bei der forensischen Analyse geht es darum, so viele der auf der Festplatte gespeicherten persönlichen Informationen des Nutzers oder gelöschte Daten wie möglich ans Tageslicht zu befördern. So lassen sich beispielsweise aus einer Analyse des Surfverhaltens, den zuletzt geöffneten Apps oder Dokumenten oder dem Rekonstruieren gelöschter Dateien Rückschlüsse auf die "Vorlieben" des Anwenders ziehen. Ferner dient die Forensik dem Sichern der Beweislage. Mit ihr lassen sich etwa Fragen beantworten wie: Hat der Nutzer illegales Material heruntergeladen oder seinen Rechner für kriminelle Aktivitäten wie Cyber-Angriffe verwendet?
Deft starten
Um aussagekräftige Daten zu gewinnen, sollte man Deft-Linux von einem USB-Stick, von CD (Deft Zero) oder DVD auf dem eigenen physischen Rechner starten statt in einer virtuellen Umgebung, es sei denn, man betreibt Windows ohnehin auf Basis einer VM. Als Systemsprache lässt sich beim Booten (via F2) zwar nur Italienisch, Spanisch oder Englisch einstellen, man kann (und sollte) aber mit F3 auf eine deutsche Tastaturbelegung umstellen. Mit F6 sind weitere Optionen zugänglich, etwa dass das System nur freie Software anbietet. Speziell Deft Zero kennt drei Boot-Modi, "DEFT-Zero Linux Live (GUI mode im RAM preload)", "DEFT-Zero Linux Live (GUI mode)" und "DEFT-Zero Linux Live (Text mode). Bei der DVD-Version gibt es außerdem die Option, DEFT direkt von der DVD auf Festplatte zu installieren.
DEFT bootet dann mit einem aufgeräumten und leichtgewichtigen Lubuntu-Desktop (LXDE). Die Bildschirmauflösung lässt sich im Menü "d / Preferences / Monitor Settings" ("d" steht hier für das Startmenü) an die eigenen Wünsche anpassen. Wer das Tastaturlayout noch nicht beim Booten eingestellt hat, kann das jetzt unter "d / Preferences > Lxkeymap" nachholen. Alle Tools, die speziell der forensischen Analyse dienen, finden sich im Menü "d /DEFT", bei der umfangreicheren DVD-Version gruppiert in zahlreiche Untermenüs.
Kleiner Schönheitsfehler: Das Desktop-Hintergrundbild bei DEFT 8.2 liegt nur in einer Version 800x600 vor, weshalb das Vergrößern der Standardauflösung mit "d / Preferences / Monitor Settings" optisch nicht ideal ist. Bei DEFT Zero besteht das Problem nicht.
Während sich das DEFT-Menü bei DEFT Zero auf die wichtigsten Forensic-Tools beschränkt und auch LXDE bei DEFT Zero nur das Nötigste mitbringt, punktet DEFT 8.2 mit einer prallen Softwareausstattung. So bietet DEFT neben den Forensikwerkzeugen unter "Hashing" und "Imaging" auch viele Tools und Funktionen aus dem Bereich Penetrationstests, wie zum Beispiel Passwort-Cracker, Antimalware, Mobil Forensics oder Data Recovery. Darüber hinaus bringt DEFT auch als gewöhnliche Linux-Distribution deutlich mehr Werkzeuge mit als DEFT-Zero, darunter LibreOffice, Wine und eine Reihe von Multimedia-Tools, sowie Programmier-Tools. Man könnte also DEFT durchaus auch als Alltags-Distribution nutzen, zumal das Paketmanagement auf Debin/Ubuntu basiert. Sogar der Paketmanager Synaptic und der Gdebi Package Installer sind vorinstalliert.