Forensische Analyse auf dem PC

Mit DEFT-Linux Hacker-Angriffe erkennen und analysieren

Die Einsatzmöglichkeiten von DEFT

DEFT richtet sich gezielt an Nutzer, die einen Rechner oder speziell dessen Festplatten, vorzugsweise mit einer oder mehreren Windows-Partitionen, forensisch analysieren möchten. Bei der forensischen Analyse geht es darum, so viele der auf der Festplatte gespeicherten persönlichen Informationen des Nutzers oder gelöschte Daten wie möglich ans Tageslicht zu befördern. So lassen sich beispielsweise aus einer Analyse des Surfverhaltens, den zuletzt geöffneten Apps oder Dokumenten oder dem Rekonstruieren gelöschter Dateien Rückschlüsse auf die "Vorlieben" des Anwenders ziehen. Ferner dient die Forensik dem Sichern der Beweislage. Mit ihr lassen sich etwa Fragen beantworten wie: Hat der Nutzer illegales Material heruntergeladen oder seinen Rechner für kriminelle Aktivitäten wie Cyber-Angriffe verwendet?

Deft starten

Um aussagekräftige Daten zu gewinnen, sollte man Deft-Linux von einem USB-Stick, von CD (Deft Zero) oder DVD auf dem eigenen physischen Rechner starten statt in einer virtuellen Umgebung, es sei denn, man betreibt Windows ohnehin auf Basis einer VM. Als Systemsprache lässt sich beim Booten (via F2) zwar nur Italienisch, Spanisch oder Englisch einstellen, man kann (und sollte) aber mit F3 auf eine deutsche Tastaturbelegung umstellen. Mit F6 sind weitere Optionen zugänglich, etwa dass das System nur freie Software anbietet. Speziell Deft Zero kennt drei Boot-Modi, "DEFT-Zero Linux Live (GUI mode im RAM preload)", "DEFT-Zero Linux Live (GUI mode)" und "DEFT-Zero Linux Live (Text mode). Bei der DVD-Version gibt es außerdem die Option, DEFT direkt von der DVD auf Festplatte zu installieren.

DEFT gibt es derzeit als boot-fähige DVD und als Ligth-Version DEFT Zero, während DEFT Zero als Leichtgewicht konzipiert ist und als spezielle Startoption zum Beispiel auch direkt ins RAM booten kann.
DEFT gibt es derzeit als boot-fähige DVD und als Ligth-Version DEFT Zero, während DEFT Zero als Leichtgewicht konzipiert ist und als spezielle Startoption zum Beispiel auch direkt ins RAM booten kann.

DEFT bootet dann mit einem aufgeräumten und leichtgewichtigen Lubuntu-Desktop (LXDE). Die Bildschirmauflösung lässt sich im Menü "d / Preferences / Monitor Settings" ("d" steht hier für das Startmenü) an die eigenen Wünsche anpassen. Wer das Tastaturlayout noch nicht beim Booten eingestellt hat, kann das jetzt unter "d / Preferences > Lxkeymap" nachholen. Alle Tools, die speziell der forensischen Analyse dienen, finden sich im Menü "d /DEFT", bei der umfangreicheren DVD-Version gruppiert in zahlreiche Untermenüs.

Kleiner Schönheitsfehler: Das Desktop-Hintergrundbild bei DEFT 8.2 liegt nur in einer Version 800x600 vor, weshalb das Vergrößern der Standardauflösung mit "d / Preferences / Monitor Settings" optisch nicht ideal ist. Bei DEFT Zero besteht das Problem nicht.

Bei DEFT 8.2 ist die Softwareausstattung im Menü DEFT naturgemäß umfangreicher, allerdings gibt es hier viele thematische Überschneidungen zum Beispiel zu Kali Linux. So finden sich bei DEFT 8.2 in den Menüs OSINT und Network Forensics auch viele bekannte Penetrationstest-Tools wie Matego. Aber auch Kali Linux liefert zahlreiche Forensic-Tools; mit. DEFT Zero dagegen beschränkt sich auf die wichtigsten Forerensic-Tools.
Bei DEFT 8.2 ist die Softwareausstattung im Menü DEFT naturgemäß umfangreicher, allerdings gibt es hier viele thematische Überschneidungen zum Beispiel zu Kali Linux. So finden sich bei DEFT 8.2 in den Menüs OSINT und Network Forensics auch viele bekannte Penetrationstest-Tools wie Matego. Aber auch Kali Linux liefert zahlreiche Forensic-Tools; mit. DEFT Zero dagegen beschränkt sich auf die wichtigsten Forerensic-Tools.

Während sich das DEFT-Menü bei DEFT Zero auf die wichtigsten Forensic-Tools beschränkt und auch LXDE bei DEFT Zero nur das Nötigste mitbringt, punktet DEFT 8.2 mit einer prallen Softwareausstattung. So bietet DEFT neben den Forensikwerkzeugen unter "Hashing" und "Imaging" auch viele Tools und Funktionen aus dem Bereich Penetrationstests, wie zum Beispiel Passwort-Cracker, Antimalware, Mobil Forensics oder Data Recovery. Darüber hinaus bringt DEFT auch als gewöhnliche Linux-Distribution deutlich mehr Werkzeuge mit als DEFT-Zero, darunter LibreOffice, Wine und eine Reihe von Multimedia-Tools, sowie Programmier-Tools. Man könnte also DEFT durchaus auch als Alltags-Distribution nutzen, zumal das Paketmanagement auf Debin/Ubuntu basiert. Sogar der Paketmanager Synaptic und der Gdebi Package Installer sind vorinstalliert.