Digitale Forensik Schulung Bundespolizeiakademie März 2009

Größe: px

Ab Seite anzeigen:

Download "Digitale Forensik Schulung Bundespolizeiakademie März 2009"

Martina Bauer
vor 8 Jahren
Abrufe

1 Digitale Forensik Schulung Bundespolizeiakademie März 2009 Teil 11+12: Datenträgersicherung (inklusive Übung) Dipl-Inform Markus Engelberth Dipl-Inform Christian Gorecki Universität Mannheim Lehrstuhl für Praktische Informatik 1 Name und Datumwww.uni-mannheim.de Seite Dr. Kay Schumann Universität Bonn Institut für Strafrecht

Christian Gorecki Universität Mannheim Lehrstuhl für Praktische Informatik 1 Name

2 Motivation Durchspielen des Sicherungsprozesses Normalerweise machen das die Tools (fast) automatisch Trotzdem wichtig zu wissen, wie das geht Übung: Sicherung eines Datenträgers mit dd

3 Übersicht Verwendung von dd Integritätssicherung Verwendung von BackTrack

4 Sicherung mittels dd dd (disk dump) ist ein einfaches und flexibles Werkzeug zum Sichern von Festplatten Kommandozeilenorientiert, viele Optionen Ursprünglich aus der Unix-Welt, aber auch Windows- Versionen verfügbar dd kopiert Datenblöcke von einer Datei in die andere dd kümmert sich nicht um die Daten, die kopiert werden dd kennt keine Dateisysteme, nur Dateien In Unix ist alles eine Datei Standard-Blockgröße ist 512 Byte, sollte jedoch immer explizit angegeben werden (nicht auf Standardverhalten verlassen)

Datenblöcke von einer Datei in die andere dd kümmert sich nicht um die Daten, die kopiert werden dd kennt keine Dateisysteme,

5 Parameter: Quelle (input file): if=... Beispiel Falls keine Quelle angegeben, wird Standardeingabe verwendet Ziel (output file): of=... Falls kein Ziel angegeben, wird Standardausgabe verwendet Blockgröße (block size): bs=... Beispiel: dd if=file1.dat of=file2.dat bs=512

6 Quellen In Linux gibt es für jedes Speichermedium und jede Partition eine Gerätedatei in /dev Beispiel: ATA Master auf erstem Kanal ist /dev/hda In Windows benutzt man die Notation \\.\ Beispiel: \\.\PhysicalDrive0 Blocksize kann beliebig sein (Anzahl von Bytes) Von 1 bis 1 GB, Platte liest aber immer einen Block Parameter zu klein: Vergeudet Zeit beim Lesen Parameter zu groß: Dauert lange, bis interne Puffer voll sind Für schnelles Kopieren Werte zwischen 2K und 8K gut [Carrier, p. 61]

$\PhysicalDrive0 Blocksize kann beliebig sein (Anzahl von Bytes) Von 1 bis 1 GB, Platte liest aber immer einen Block$

7 Ziele Ziel kann entweder eine neue Datei oder ein Laufwerk sein Beispiele: dd if=/dev/hda of=/mnt/hda.dd bs=2k dd if=/dev/hda of=/dev/hdb bs=2k

8 Standardausgabe Wenn kein Ziel angegeben wird, dann wird die Standardausgabe verwendet Verwenden weiterer Tools zur Analyse möglich Beispiele: MD5-Summen: md5sum Lesbare Zeichenfolgen extrahieren: strings Daten über das Netzwerk schicken: ssh, netcat, cryptcat

möglich Beispiele: MD5-Summen: md5sum Lesbare Zeichenfolgen

9 Netcat Netcat und Cryptcat sind Werkzeuge zum (verschlüsselten) Senden von Daten über das Netz Beispiel: forensische Workstation mit IP Einen Port aufmachen, eingehende Daten in eine Datei schreiben nc -l -p 7000 > disk.dd Auf dem untersuchten Rechner von CD Booten und Ausgabe von dd über das Netz schicken dd if=/dev/hda bs=2k nc -w

0.0.1 Einen Port aufmachen, eingehende Daten in eine Datei schreiben nc -l -p 7000 > disk.

10 md5sum Berechnet MD5 einer Datei Hash-Summen md5deep: Berechnet MD5 eines Verzeichnisbaums

11 Verwendung (Quelle: Dornseif)

12 Alternativen zu dd dd ist sehr mächtig, hat aber auch Nachteile: Überschreibt Ausgabedatei Keine erneuten Leseversuche bei Lesefehlern Keine Fortschrittsanzeige Keine Netzwerkfähigkeit Zu viele Features Alternativen: dd_rescue: Kann mehrere Leseversuche unternehmen Kann rückwärts lesen Fortschrittsindikator sdd: ftp://ftp.berlios.de/pub/sdd/readme Deutlich schneller als dd, hilfreichere Ausgaben dcfldd: Hashing eingebaut pcopy: Peter s Disk-to-Disk Copying Tool

de/kurt/linux/ddrescue/ Kann mehrere Leseversuche unternehmen Kann rückwärts lesen Fortschrittsindikator sdd: ftp://ftp.berlios.

13 Übersicht Verwendung von dd Integritätssicherung Verwendung von BackTrack

14 Sichere Arbeitsumgebung Ideal: abgesicherte forensische Workstation mit viel Plattenplatz, vielen Laufwerken/Schnittstellen, und allen Tools, die man gerne hat. Falls nicht zur Verfügung, sind Live CDs eine gute Wahl Kann man immer dabei haben Sollte immer eine aktuelle Version sein

15 Live/Boot CDs Forensic and Incident Response Environment (F.I.R.E.) Als ISO-Image erhältlich, inkl. Sleuthkit, Autopsy, Incident Response Tools, Virusscanner, Pentestsoftware Basiert auf Red Hat Hybrid-CD: auch lauffähige Windows-Tools enthalten Knoppix Security Tools Distribution (STD) Gute Hardware-Erkennung, viele Security- und Forensiktools Incident Response & Forensics Live CD (Helix) Knoppix-basiert, Hybrid-CD Enthält alle gängigen Forensik-Tools

16 Helix früher

17 Helix heute Quelle:

18 Helix heute Quelle:

20 Sleuthkit Sammlung von quelloffenen Kommandozeilentools von Brian Carrier Zur Geschichte: Ursprünglich eine Erweiterung des TCT (Coroners Toolkit) Erlaubt auch Analyse von FAT und NTFS Für Experten mit Hintergrundwissen über Dateisysteme Jetzt auch Merchandise erhältlich Für Unix/Linux bzw. cygwin

http://org/informer/sleuthkitinformer-1.

21 Sleuthkit Übersicht mmls: Ausgabe der Partitionstabelle eines Laufwerks fsstat: Dateisystemlayout anzeigen ffind: findet (auch gelöschte) Dateinamen, die auf eine Metadatenstruktur (z.b. Inode) zeigen fls: listet alle Dateinamen im Verzeichnis (auch gelöschte) icat: wie bei TCT ifind: findet Metadaten mit gewünschten Eigenschaften ils: listet Metadatenstrukturen und ihre Inhalte istat: Übersicht über Metadateneintrag dcat: Extrahiert Inhalt eines Datenblocks dls: Informationen über Datenblöcke, kann auch alle unbelegten Datenblöcke extrahieren dstat: Übersicht über Datenblock

22 Autopsy HTML-basiertes grafisches Frontend zum Sleuthkit Open Source, geschrieben in Perl und C, auch von Brian Carrier Mittlerweile starke Konkurrenz zu kommerziellen Produkten Features: Case Management Suchen nach Schlüsselwörtern auf der ganzen Platte Prüfsummen-Datenbank Dateitypanalyse (Befehl file) Timeline-Analyse (Befehl mactimes) Datenexport in verschiedene Formate Unterstützung für das Anfertigen von Berichten (z.b. History- Datei, Notizmöglichkeit)

23 Quelle:

24 Data Carver etc. Analysieren unbelegte Datenblöcke nach typischen Mustern Dateiheader, -footer, interne Datenstrukturen Foremost Ursprünglich von der US Air Force entwickelt, jetzt frei Kann dd/encase/xyz-images durchsuchen oder direkt die Platte Gute und aktuelle Übersicht über weitere Tools auf Alexander Geschonnecks Webseite zum Buch

25 Verwendung von BackTrack BackTrack stellt die zuvor betrachteten Werkzeuge / Programme bereit Wir haben BackTrack bereits ausprobiert Linux Exkurs Forensik mit BackTrack

26 Zusammenfassung Verwendung von dd Integritätssicherung Verwendung von BackTrack Jetzt Übung...

27 Erste Übung (leicht) Sie bekommen eine Diskette Fertigen Sie ein lokales dd-image der Diskette an Prüfen Sie die Integrität des Images Sichern Sie anschliessend das Image über das Netz mittels netcat Prüfen Sie wieder die Integrität

28 Erste Übung (für Fortgeschrittene) Analysieren Sie die erstellten Images Die notwenidgen Werkzeuge haben wir besprochen Auf dem Image sind verschlüsselte Daten versteckt Finden Sie diese Daten Entschlüsseln Sie die Daten

29 Communications of the ACM, 48(8), 2006 Ausblick Partitionen, Dateisysteme Analyse weiterer Images Fragen? Name und Datumwww.uni-mannheim.de Seite

Ähnliche Dokumente

Digitale Forensik. Teil 5: Datenträgersicherung (inklusive Übung) Schulung Bundespolizeiakademie Juli 2007

Digitale Forensik. Teil 5: Datenträgersicherung (inklusive Übung) Schulung Bundespolizeiakademie Juli 2007 Digitale Forensik Schulung Bundespolizeiakademie Juli 2007 Teil 5: Datenträgersicherung (inklusive Übung) Name und Datumwww.uni-mannheim.de Seite 1 Prof. Dr. Felix Freiling Universität Mannheim Lehrstuhl