Forensische Analyse auf dem PC

Mit DEFT-Linux Hacker-Angriffe erkennen und analysieren

Windows-Partitionen mounten

Um Datenverluste durch die Nutzung von Forensik-Tools muss sich der Anwender im Umgang mit DEFT - einen gewissen Sachverstand vorausgesetzt - keine Sorgen machen, denn DEFT hängt zum Beispiel per Default keine der von der Hardwareerkennung identifizierten Partitionen automatisch ein. Wer außerdem darauf achtet, keine temporären Daten auf den zu untersuchenden Datenträgern zu speichern, kann daher nichts falsch machen.

Eine Benutzeranmeldung ist bei der Live-CD/DVD nicht notwendig, was schlichtweg bedeutet, dass der Nutzer nach dem Booten automatisch "root" und auch in der Lage ist, die Partitionen des zu untersuchenden Systems einzubinden. Zum Einhängen der zu analysierenden Windows-Partitionen stellt DEFT Linux-unerfahrenen Nutzern wahlweise das grafische "Tool MountManager" (nur in der DVD-Version) oder den grafischen Dateimanager "PCManFM", wahlweise über das Panel, das Desktop-Icon oder im Menü unter "d / Accessories" zur Verfügung. PCManFM führt alle durch die Hardwareerkennung identifizierten Laufwerke (zum Beispiel 100 GByte Volume) links bei "Places" auf. Zum Einhängen der gewünschten Partition genügt ein Rechtsklick darauf, und der Nutzer kann das Laufwerk wahlweise mit "Mount Volume" oder "Mount in protected mode (read only)" einhängen. Letzteres gewährleistet, dass DEFT unter keinen Umständen Daten an den bestehenden Volumes verändert.

DEFT mountet vorhandene Partitionen nie automatisch, sondern nur bei Bedarf, was etwa mithilfe des Dateimanagers erfolgen kann.
DEFT mountet vorhandene Partitionen nie automatisch, sondern nur bei Bedarf, was etwa mithilfe des Dateimanagers erfolgen kann.

Der Dateimanager mountet Laufwerke per Default nach "/media/root/<Dev-ID>". Erfahrene Linux-Anwender können die betreffenden Partitionen auch manuell mounten. Praktischerweise hat DEFT dazu passende Mount-Punkte c, d, e, raw1, raw2, raw3 und smb im Linux-Datesystem unter /mnt vorbereitet, die sich zum Einhängen der betreffenden Windows-Partitionen besser eignen als ein temporäres Verzeichnis mit der Dev-UID, um nicht die Orientierung zu verlieren und nachher die falsche Partition zu bearbeiten.

Mount Manager und GParted

Beim nur in der DEFT-Fullsize-Version in DEFT 8.2 enthaltenen MountManager (zu finden unter "d / DEFT") kann der Nutzer die zu verwendenden Mountpunkte bequem in einer grafischen Oberfläche zuweisen und dazu ebenfalls die vorbereiteten Mountpoints unter /mnt benutzen. Leider fehlt MountManager in DEFT Zero.

Mit dem grafischen Mount-Manager gelingt das Einbinden von Windows-Partitionen auch wenig Linux-erfahrenen Nutzern ganz leicht.
Mit dem grafischen Mount-Manager gelingt das Einbinden von Windows-Partitionen auch wenig Linux-erfahrenen Nutzern ganz leicht.

Selbstverständlich stellt DEFT im Menü "d / System Tools" mit Gparted auch ein grafisches Partitionierwerkzeug zur Verfügung, das wahlweise im Menü "d / DEFT /Gparted" oder über ein Symbol im Panel erreichbar ist. GParted warnt beim Start, dass durch die Verwendung möglicherweise Daten auf den Datenträgern verändern werden könnten. Hat man das bestätigt, was übrigens nicht unbedingt im Sinne des Forensikers ist, identifiziert Gparted die Partitionsliste und aktualisiert sie dynamisch.