Forensische Analyse auf dem PC

Mit DEFT-Linux Hacker-Angriffe erkennen und analysieren

Guymager und dd

In der Forensik ist es allerdings üblich, nicht mit originalen Datenträgern (auch nicht readonly) zu arbeiten, sondern von diesen zunächst eine bit-genaue Kopie auf ein Imagefile herzustellen. "Bit-genau" heißt in diesem Zusammenhang, dass der Datenträger Bit-für-Bit beziehungsweise Byte-für-Byte ausgelesen und beschrieben wird, unabhängig vom Inhalt oder Dateisystem. Unter Linux kann dazu beispielsweise das Tool "dd" (dump device) verwendet werden.

DEFT erleichtert Forensikern auch diesen Vorgang mithilfe eines grafischen Tools namens Guymager, ebenfalls über das Panel, das Desktop-Icon oder Menü "d / DEFT / Imaging" erreichbar. Hier finden sich aber auch eine ganze Reihe weiterer Imaging-Tools für die Kommandozeile, darunter das auch von Guymager verwendete "dd". Bei diesem Tool markiert man die betreffende Partition und wählt im Kontextmenü den Eintrag "Aquiere Image", mit der Optionsschaltfläche bei "File format" das gewünschte Image-Format (zum Beispiel "Linux/dd" oder "Guymager") und schließlich bei "Destination" mit einem Klick auf "Image directory" das gewünschte Zielverzeichnis. Dies darf nicht auf der zu untersuchenden Partition liegen.

Grafische Tools wie Guymager erlauben in DEFT das komfortable, bit-genaue Kopieren von Datenträger - ein Vorgang, der jeder forensischen Untersuchung vorausgeht.
Grafische Tools wie Guymager erlauben in DEFT das komfortable, bit-genaue Kopieren von Datenträger - ein Vorgang, der jeder forensischen Untersuchung vorausgeht.

Empfehlenswert ist ein externer Datenträger (USB) oder ein Netzwerklaufwerk. Hierzu wählt man in Dateimanager den Menüeintrag "Go / Connect to Server" oder "Go / Network" beziehungsweise "Go / Go to location". Für die Nutzung der Funktion mit PCManFM ist allerdings das gvfs-Backend erforderlich. Das Paket ist unter DEFT vorinstalliert und erlaubt zum Beispiel das Adressieren einer Windows-Freigabe via "sbm:\\<Server>\<Freigabe>". Im ersten Fall lässt sich mithilfe eines grafischen Dialoges eine Serververbindung via WebDAV, SSH oder FTP einrichten. Im zweiten Fall gibt man den Pfad zum Beispiel zu einer SMB-/CIFS-Freigabe an. Ist das Image erstellt, ist DEFT einsatzbereit, und der Fahnder kann auf Spurensuche gehen.

The Sleuth Kit

DEFT ist in erster Linie für forensische Analysen konzipiert und liefert dazu die CLI-Tool-Sammlung The Sleuth Kit mit. Mit den Sleuth Kit-Tools lassen sich unterschiedlichste Informationen über PC-Systeme zusammenstellen oder im Rahmen einer manuellen forensischen Analyse Speicherabbilder erstellen. Ferner können einzelne Analyseschritte mit Skripten automatisiert werden, was die Analyse im Bedarfsfall beschleunigt. Auch die grafische Benutzeroberfläche "Autopsy Forensic Browser" greift auf die Skripting-Funktionen zurück. Sleuth Kit unterstützt die Dateisysteme NTFS, FAT, Ext2, Ext3, UFS 1, UFS 2, HFS und ISO 9660. Die Tool-Sammlung gliedert sich in Tools zur Analyse von Dateisystemen, Dateisystem-Journalen, Dateinamen, Metadaten und Dateneinheiten.

So findet beispielsweise "ffstat" Details des zu analysierenden Dateisystems. Mit "ffind" untersucht der Forensiker Dateistrukturen und kann allozierte und un-allozierte Dateinamen, die auf Metadaten-Strukturen verweisen, identifizieren, während "fls" allozierte und gelöschte Dateinamen im angegebenen Verzeichnis anzeigt. Tools zur Analyse der Metadaten-Ebene sind am vorangestellten "i" zu erkennen. So listet etwa "ils" die Metadaten-Strukturen und den zugehörigen Inhalt auf. "Icat" dagegen extrahiert Dateneinheiten einer Datei anhand ihrer Metadaten-Adressen, während "ifind" zu einem gegebenen Dateinamen die passenden Metadaten findet, ebenso wie die Metadaten, die auf eine bestimmte Dateneinheit verweisen. Statistiken und Details zu einer gegebenen Metadaten-Struktur lassen sich mit "istat" ermitteln. Eine Beschreibung aller Sleuth-Kit-Tools findet sich auf der Projektseite.