Einbruch? Der vergessene Weg. Flüchtigkeitsfalle

Größe: px
Ab Seite anzeigen:

Download "Einbruch? Der vergessene Weg. Flüchtigkeitsfalle"

Transkript

1 Einbruch? Es ist das Dilemma der digitalen Forensik: Rechner herunterfahren und die Festplatte in Ruhe durchsuchen? Oder am lebenden Objekt forschen und unter Zeitdruck flüchtige Spuren im RAM verfolgen? Besser wäre es, den RAM-Inhalt für spätere Analysen zu konservieren. Der erste Schritt dazu: Rechner aus! Achim Leitner 29 Tatort Serverraum: Der Einbrecher benötigt weder Dietrich noch den Schutz der Nacht. Er kommt und geht übers Internet und sorgt sich nicht um Verhaftung auf frischer Tat. Aber er hinterlässt Spuren! Die zu finden und zu deuten, auch wenn der Angreifer sie verschleiert oder zu löschen versucht, ist in solchen Fällen die dringlichste Aufgabe des Admin und der Strafverfolgungsbehörden. Das Forensik genannte Fachgebiet hält hierfür Tools bereit, die auch bei ganz banalen Problemen helfen, etwa als Undelete-Ersatz bei versehentlich gelöschten Files. Selbst wenn nur ein Serverdienst verrückt spielt, ohne dass ein Saboteur im Spiel war, empfehlen sich forensische Methoden bei der Aufklärung SO Uve-Forensik Forensik muss sich nicht im Labor abspielen, nachdem alles vorbei ist. Manchmal ist es besser, am kontaminierten, aber lebenden Objekt mitzuvollziehen, was gerade passiert. Windows-Analyse Ein BKA-Ausbilder erklärt, wie Beamte mit Hilfe von Linux-Bordmitteln interessante Details aus sichergestellten Windows-Festplatten extrahieren. OCFA für Reihenuntersuchungen Die niederländische Polizei hat mit der Open Computer Forensics Architecture einen Werkzeugsatz geschaffen, der wesentliche Schritte automatisiert. File-Carving Foremost, Scalpel & Co. erkennen Datenstrukturen und setzen aus dem Puzzle Files zusammen, ohne das Dateisystem zu kennen. Fundgrube Flash Flashspeicher und deren Dateisysteme halten prinzipbedingt besonders viele Chancen bereit, an gelöschte Daten heranzukommen. Der forensischen Vielfalt geschuldet widmet sich diese Linux-Magazin-Ausgabe den wichtigsten Aufgaben, vor denen Admins und Privatanwender stehen. Im Vordergrund stehen die Analyse am lebenden Objekt sowie die Untersuchung von Festplatten-Images. Beide Ansätze haben ihre Vorund Nachteile, zum Beispiel hat bei Image-Analysen der Ertappte keine Chance mehr, seine Spuren zu verwischen. Freilich gehen bei der rabiaten Methode die Inhalte des Hauptspeichers flöten und damit eventuell die einzigen Hinweise auf den Täter. Der vergessene Weg Es gibt einen dritten Weg, der zu Unrecht wenig Beachtung findet: Speicheranalyse per RAM-Dump. Die ist nur in der traditionellen Variante so unsicher wie die anderen. Wer sich erst am Rechner anmelden muss, um»/dev/mem«auszulesen und auf einen Datenträger zu kopieren, läuft Gefahr, dass ihn der Eindringling entdeckt und sich augenblicklich zurückzieht. Oder ein Kernel-Rootkit manipuliert das Mem-Device und gaukelt dem Forensiker ein blütenreines System vor. Einem gehackten System ist nicht zu trauen, auch nicht seinem Kernel. Dennoch implementieren kommerzielle Forensik-Programme eigene Speicheranalyse-Techniken ([1], [2]) und es gibt entsprechende Open-Source-Tools, etwa von Tobias Klein ([3], [4]) oder George M. Garner Jr. [5]. Die sind durchaus sinnvoll, da die meisten Eindringlinge eben doch nicht so versiert vorgehen. Glücklicherweise existieren moderne Wege, um an den Speicherinhalt zu kommen. Einen gibt die Virtualisierung vor: Knackt ein Angreifer ein Gastsystem und schafft es nicht, aus diesem in den Host auszubrechen, dann hat der Admin leichtes Spiel. Aus dem Host heraus kann er in Ruhe den Speicher des Gastsystems sichern. Zum Beispiel bei Xen mit dem simplen Aufruf»xm save VM1 VMl.chk«. Nach Lust und Gespür kann er das System sogar weiterlaufen lassen und mehrere Snapshots anfertigen. Flüchtigkeitsfalle Für nicht virtualisierte Systeme gibt es spezialisierte Hardware-Erweiterungen, die den RAM-Inhalt kopieren [6]. Verblüffenderweise kann man Speicher sogar via Firewire kopieren [7]: Der IEEE Standard schreibt einen DMA-Zugriff vor (Direct Memory Access), infolge dessen ein fremdes Gerät den kompletten Speicher lesen kann, ohne dass das Betriebssystem involviert wäre. Den Knüller lieferten Ende Februar aber Forscher der Princeton University zusam-

2 : I men mit einigen Kollegen. Ihnen gelang es, den RAM-Inhalt selbst nach einem Kaltstart des Rechners noch auszulesen [8]. In ihrem Forschungspapier [9] legen sie detailliert dar, wie sie einen Rechner ausschalten, wieder einschalten, den alten Hauptspeicherinhalt auslesen und daraus kryptographische Schlüssel rekonstruieren. Zwar zielt die Princeton-Gruppe auf Angriffstechniken ab, ihr Ansatz eignet sich aber auch für die Forensik. Für Insider war die Tatsache, dass der Speicherinhalt einen Kaltstart übersteht, nicht überraschend ([1], [11], [12]). Nur genutzt hat dies bisher offenbar kaum jemand. Es ist verblüffend, wie lange die Daten erhalten bleiben. Je nach RAM-Typ überdauern sie einige Sekunden bis mehrere Minuten. Das genügt, um einen Rechner aus- und gleich wieder einzuschalten. Danach darf natürlich kein normales System booten, da dies den Speicher sofort wieder überschreibt. RAM-Dumper für jeden Da die Princeton-Gruppe ihre Tools nicht veröffentlicht, schrieb Robert Wesley McGrew kurzerhand ein eigenes Programm. Msramdump [13] nutzt einen simplen USB-Stick als Bootmedium sowie zur Ablage des RAM-Dump. Um dabei möglichst wenig Speicher zu zerstören, lädt bei McGrew der Bootloader Syslinux keinen Kernel, sondern nur ein knapp 3,5 KByte großes COM32-Executable, das den RAM-Inhalt auf den Stick überträgt (Abbildung 1). Der Quelltext des Tools ist nur gut 2 Zeilen lang. Entsprechend simpel ist die Kopierfunktion, sie beschreibt eine eigene Partition, ohne ein Dateisystem zu nutzen. Mit»dd«sind die Daten später schnell in ein File umkopiert. Da nach dem Wiedereinschalten der RAM seinen Inhalt behält, ist ab diesem Zeitpunkt keine Eile mehr nötig. Es empfiehlt sich, zuerst in die Bios-Einstellungen des Rechners zu gehen und dort den RAM- Test abzuschalten oder, je nach Bios, Quick Boot zu aktivieren. Beim RAM-Test würde das Bios sonst den Speicher überschreiben. Außerdem muss der Rechner vom USB-Device booten. Wer ganz sicher gehen will, dass er jede RAM-Zelle rettet und das Kopierprogramm nichts überschreibt, sollte das Video der Princeton-Forscher [8] als SYSLINUX BB8-82-B3 EBIOS Copyright (C) BB8 H. Peter flnvin MsraMdnp - McGrew Security Ban Dunper - v B.5 Jittp://Hcgrewsecuritj>.coM/projects'Msrandrip/ Robert Uesley McGrew: MesleyOMcgreHsecurity.coM Found MsraMdMp partition at disk 8x88 : partition 2 Partition isn't Marked as used. Using it. Marked partition as used. Uriting section fron BxBBBBBBBB to Bx8BB9FFFF writing section fron 8x to 8x Donet You can turn off the Machine and renove your drive. boot: Abbildung 1: Das Mini-Bootsystem Msramdump kopiert den kompletten RAM-Inhalt auf den USB-Stick. Selbst nach einem Neustart bleiben Daten vom vorherigen System erhalten. (Quelle: [13]) Handlungsvorlage nutzen. Mit einem simplen Luftdruckspray kühlen sie die RAM-Chips und schaffen es so, den Inhalt über viele Minuten bis Stunden zu konservieren (Abbildung 2). Damit bleibt Zeit, die Chips in einen anderen Rechner einzubauen - zusätzlich zum dort schon vorhandenen RAM. Praxistauglicher ist aber der Ansatz mit dem USB-Stick. Zur vollständigen Daten-Akquisition gehört auch, anschließend den Inhalt der Festplatte in ein Daten-Image umzukopieren, um mit RAM- und Disk-Inhalt eine breite Basis für die anschließende Analyse zu besitzen. Spurensuche Je nach Zielsetzung ist beim Untersuchen des RAM-Dump beliebig viel Aufwand nötig. Eine einfache Analyse mit»strings«gibt dem Forensiker vielleicht schon den entscheidenden Hinweis, etwa wenn er den Inhalt einer oder einer IRC- Sitzung findet. Sogar die Carving-Tools, die ein eigener Artikel in diesem Heft vorstellt, helfen hier weiter. Programme, die auch die Struktur des Speichers beachten, sind vor allem für Windows-RAM-Dumps verfügbar, selbst wenn viele unter Linux laufen. Zum Beispiel das PM-Dump-Tool aus Joe Stewarts Truman-Projekt [14], es rekonstruiert aus einem physikalischen Speicherabbild den virtuellen Adressraum. Oder PT-Finder von Andreas Schuster ([15], [16]), der die Prozesstabelle aus einem Dump ermittelt. Auch Harlan Carvey hat für sein Buch Windows Forensic Analysis" RAM- Analysetools geschrieben [17], Chris Betz entwickelte Memparser [18]. Einen Abstraktionsschritt weiter gehen Tools wie das in Python geschriebene Volatility-Framework [19]. Es erkennt nicht nur die Prozesse, sondern auch deren Sockets und Netzverbindungen, die Abbildung 2: Sieht nach einem Defekt aus, ist aber nur ein tiefgekühlter Speicherchip. In diesem Zustand hält er seine Daten minutenlang auch ohne Stromversorgung. (Quelle: [8])

3 I python volatility Volatile Systeas Volatility Fraaeuork»1.1.1 Copyright (C) 27 VolaUle Systeas Copyright (C) 27 Koaoloi. Inc. This Is free softtiare; see the source for copying conditions. There Is NO Marranty: not «yen for (CRCHftKTMILITY or FITNESS FOR A PARTICULAR PURPOSE. usage: volatility cad [cad_opts] Run coaaand cad uith options cad_opts For help on a specific coamnd. run 'volatility cad help* Supported Coaaands: connections detetiae dlllist files ldent aodules pslist sockets strings thrdscan vadinfo vadaalk Exaaple: volatility pslist -f /path/to/ay/flle Print list of open connections Scan for connection objects Get dete/tlse Information for image Print list of loaded alls for each process (VERY verbose) Print list of open files for each process (VERY verbose) Identify laaje properties such as DTB and VN type (aay take a uhlle) Print list of loaded aodules Print list of running processes Scan for EPROCESS objects Print list of open sockets Scan for socket objects Hatch physical offsets to virtual addresses <aay take a «hlle. VERT Scan for ETHREAD objects Ouap the Vad sections to files Ouap the VAD info Halk the vad tree Abbildung 3: Die Tools aus dem Volatility-framework analysieren Wimfows-Speidierabzüge, zum Beispiel zeigen sie Verbindungen, Sockets, Systemzelt, DLLs, geöffnete Files und vieles mehr. gelinkten DLLs und die geöffneten Files (Abbildung 3). Außerdem extrahiert es die geladenen Kernelmodule und kümmert sich um das Mapping von virtuellen zu physikalischen Adressen. Leider versteht auch dieses Tool nur Dumps von Windows-Systemen. Vorteil nicht genutzt Obwohl die Analyse unter Linux deutlich einfacher sein sollte, weil nicht nur die Strukturen vollständig bekannt sind, sondern sich eine Analysesoftware sogar beim Kernelcode bedienen darf, ist entsprechende Software schwer zu finden. Als wohltuende Ausnahme ist die Masters Thesis von Jorge M. Urrea [2] zu nennen, die den RAM-Dump und Swapspace eines Open-Suse-1-Systems analysiert. Im Anhang seiner Arbeit befindet sich auch der Perl-Code, mit dem er seine Analysen durchführte. Auch Mariusz Burdach beschreibt eine Linux-Analyse [21] und veröffentlicht die Idetect-Tools dazu auf seiner Seite [22] zusammen mit Windows-Analysewerkzeugen wie dem Windows Memory Forensic Toolkit (WMFT). In Zukunft könnte Fatkit, das Forensic Analysis Toolkit, die Lücke schließen. Es ist laut Homepage [23] stark modularisiert und analysiert sowohl Windows- als auch Linux-Dumps. Dabei zeigt es die Informationen auf verschiedenen Abstraktionsebenen. Leider ist Fatkit derzeit noch nicht für die Allgemeinheit erhältlich, die Entwickler Aaron Walters und Nick L. Petroni Jr. kündigen aber bereits die Features der ersten Version an. Tools gefragt Neue Techniken, um zuverlässige RAM- Dumps von gekaperten Systemen zu ziehen, machen Speicheranalysen zunehmend interessant. Leider mangelt es noch an freien Werkzeugen, die nach dem Vorbild der Festplattenanalyse dem Forensiker helfen. Bleibt zu hoffen, dass sich die Situation bessert und die wenigen vorhandenen Tools reifen - damit das Schnüffeln in den RAM-Innereien Spaß macht oder wenigstens Erfolg hat. Infos [1] Knttools und Kntlist: [http://www. gmgsystemsinc.com/knttools/] [2] Encase: [http://www.guidancesoftware.com] [ 3] Process Dumper: [http://www.trapkit.de/ research/forensic/pd/] [4] Memory Parser: [http://www.trapkit.de/ research/forensic/mmp/] [5] Forensic Acquisition Utilities (FAU): [http://www.gmgsystemsinc.com/fau/] [6] Brian D. Carrier und Joe Grand, A Hardware-Based Memory Acquisition Procedure for Digital Investigations": [http://www.digital-evidence.org/papers/ tribble-preprint.pdf] [7] Becher, Dornseif und Klein, FireWire - all your memory are belong to us": [http://md.hudora.de/presentations/ ttfirewire-cansecwest] [ 8] Princeton University, Center for Information Technology Policy, RAM-Analyse: [http://citp.princeton.edu/memory/] [9] Halderman, Schoen, Heninger, Clarkson, Paul, Calandrino, Feldman, Appelbaum, Feiten, Lest We Remember - Cold Boot Attacks on Encryption Keys": [http://citp. princeton.edu/pub/coldboot.pdf] [1] Dan Farmer und Wietse Venema, Forensic Discovery": Addison-Wesley 25: [http://www.porcupine.org/forensics/ forensic-discovery/chapter8.html] [11] Peter Gutmann, Secure Deletion of Data from Magnetic and Solid-State Memory": [http://www.cs.auckland.ac.nz/~pgutoo1/ pubs/secure_del.html] [12] Peter N. Biddle, Attack isn't news, and there are mitigations": [http://peternbiddle.wordpress.com/ 28/2/22/attack-isnt-news-and-thereare-mitigations/] [13] Msramdmp: [http://mcgrewsecurity.com/ projects/msramdmp/] [14] Truman - The Reusable Unknown Malware Analysis Net: [http://www.secureworks. com/research/tools/t ruman.html] [15] Andreas Schuster, PTFinder Version.3. verfügbar": [http://computer.forensikblog.de/26/ 9/ptfinder 3_.html] [16] PTFinder FE: [http://sourceforge.net/ project/showfiles.php?groupjd=21596] [17] Windows IR/CF Tools: [http://sourceforge. net/projects/windowsir/] [18] Memparser: [http://www.dfrws.org/2oo5/ challenge/memparser.shtml] und [http:// sourceforge.net/projects/memparser] [19] Volatility - Volatile memory artifact extraction utility framework: [https://www. volatilesystems.com/default/volatility] [ 2] Jorge M. Urrea, An Analysis of Linux RAM Forensics", Masters Thesis, Naval Postgraduate School Monterey, California: [http://cisr.nps.navy.mil/downloads/ theses/6thesis_urrea.pdf] [21] Mariusz Burdach, Digital forensics of the physical memory": [http://forensic. seccure.net/pdf/mburdach.digitaljorensics_of_physical_memory.pdf] [22] Idetect: [http://forensic.seccure.net] [23] 4tphi Research Laboratories, Fatkit - The Forensic Analysis ToolKit": [http://www.4tphi.net/fatkit/] Is" 31

4 Am offenen Herzen 32 Forensik muss sich nicht nur in abgeschirmten Laboren abspielen, nachdem alles vorbei ist. Manchmal ist auch am kontaminierten, aber lebenden Objekt mitzuvollziehen, was gerade passiert,nüsmagnus 1 3 Qi) OS do 6 7? #!/bin/s* cd /proc for p in Die Aufgabengebiete eines Computer- Forensikers sind vielfältig, zu seinen häufigsten Aufgaben gehören aber bestimmt Post-Mortem-Analysen von Festplatten. Das liegt nicht zuletzt daran, dass es oft eine ganze Weile dauert, bis Anwender einen Vorfall, etwa einen Einbruch in einen Server, überhaupt entdecken. Wer dann kein geschultes Personal oder keinen Notfallplan hat, der genau festlegt, was in solchen Situationen zu tun ist, wird im besten Fall den Rechner ausschalten und einem Experten übergeben. 1 Listing 1: DIYS-Ersatz für»ps«[-9]* proc=$(cat $p/cmttline) user= $(ls -Id $p cut -d\ echo done "$user $p $proc" -f3) Es gibt jedoch auch Fälle, in denen dies explizit nicht gewünscht ist. Manchmal ist es wichtiger, herauszufinden, wer der freventliche Angreifer ist oder wie er vorgeht, als die Daten selbst zu schützen. Ein solcher Fall könnte bei einer Testinstallation vorliegen, die durch ihre Firewallregeln eigentlich keinen externen Zugriff erlauben soll. In dieser Situation ist die Spezialdisziplin der Live-Forensik gefragt. Sie findet am laufenden System, mitunter zeitgleich zum Angriff statt. Offen oder verdeckt? Es gibt eine Reihe von Fragestellungen der Forensik, die sich letztlich nur aus dem Kontext der Untersuchung heraus beantworten lassen. Dazu gehört die Überlegung, ob eine Ermittlung offen - und damit auch für den Angreifer ersichtlich - geführt werden soll oder ob dieser unter keinen Umständen davon etwas mitbekommen soll [1]. Forensisch untersuchte Computer verhalten sich in einigen Aspekten wie Teilchen der Quantenmechanik: Wer sie anschaut, ändert schon damit ihren Zustand. Ein»ps«-Kommando kann auch der Angreifer sehen, ein»find«über die komplette Festplatte nach verräterischen Dateien überschreibt im Regelfall die wertvollen»atime«-records des Filesystems, die angeben, wann zuletzt ein Benutzer auf eine Datei zugegriffen hat. Aus dieser Erkenntnis folgt, dass sich ein System nicht vollständig ohne Spuren sichern lässt. Ist der Forensiker sich jedoch seiner Aktivitäten bewusst, kann er sie bei seiner Auswertung berücksichtigen. Gelegentlich wiegt also das Interesse, die Vorgänge aufzuklären, schwerer als der Versuch, den Angreifer in Sicherheit zu wiegen. Dazu kommt die Erkenntnis, dass sowieso automatisierte Skripte und Programme die Mehrzahl aller Angriffe ausführen. Einen Angreifer in flagranti mit den Fingern an der Konsole zu erwischen ist eher unwahrscheinlich. Schnelle Spurensicherung am Tatort Am konkreten Tatort steht also zuerst die Frage an, ob Rücksicht auf Beweisbarkeit und minimale Spuren des Forensikers genommen werden soll. Ist dies der Fall, bietet es sich tatsächlich an, das System möglichst umgehend vom Netz zu trennen und mit Low-Level-Tools Abzüge der Festplatten und anderer für die Analyse wichtiger Komponenten (im Wesentlichen des Hauptspeichers) auf externe Sicherungsspeicher anzufertigen. Für einen Low-Level-Dump kann sich»dd«eignen, nützlich sind hinreichend dimensionierte USB-Festplatten oder per Netzwerk ansprechbare Volumes. Einige

5 / * " ' ' ' ' ' - ' " ' ' ' " - " " ' ' Experten raten auch dazu, mit einem simplen»netcat«daten auf ein im selben Netz eingebrachtes Sicherungssystem zu überspielen und dort zu speichern. Bei der weiteren Betrachtung sollen diese Variante und die diversen Auswertungsverfahren und -Werkzeuge jedoch ausgeklammert bleiben. Stattdessen stellt sich die Frage, wie sich möglichst umfangreiche Informationen über das laufende System herausfinden lassen. Den aktuellen Systemzustand erkunden Eine gewisse Systematik ist nützlich, um keine Details zu übersehen [2]. Es ist oft sehr verlockend, einer scheinbar heißen Spur nachzugehen, aber ärgerlich, wenn sich diese hinterher als falsch herausstellt. Wer also eine Liste von Prozessen untersucht, etwa mit dem Befehl ps gauxwww sollte diese Liste auch speichern und komplett bearbeiten. Das Kommando zeigt alle Prozesse und alle Aufrufargumente mit allen Optionen an. Ähnliches lässt sich bereits mit einem kleinen Shellskript bewerkstelligen, das aus»/proc«daten ausliest (siehe Listing 1). Individuelle Erweiterungen lassen sich in solche Skripte schnell und einfach einbauen. Dies ist gerade dann nützlich, wenn etwa dem»ps«-kommando nicht mehr zu trauen ist. Ein guter Sanity-Check besteht darin, das Ergebnis durch ein ähnliches Werkzeug wie das ebenfalls oft installierte»pstree«zu überprüfen. Forensiker bedenken aber außerdem, dass Programme in der Lage sind, ihre Argumentliste»argv[]«per Programm zu ändern (siehe Listing 2). Zum Kern vorstoßen gx Edit ü«w So Cuxuc. Jnaliae»«wies Uolp Biitti a ä O -< UQ & * O Q ghi & U &. Frau* 12 (774 byte«on wir«, 774 bytes captured) Ethernet II, Src: WistronJ^s^ü (:ie:d3:gfcü?$i), Ost: Int«L_2S:»-l3 (QQ:dS:b7:25:i * Internat Protocol, Src: ( ), Ost: fc W ( Ü. « ) Version: 4 Baader length: 2 bytes Differentiated Services Field: x (DSCP x: Default; ECN: x) Total Length: 76 Identification: x2471 (9329) 3 ii ' U v «* * *,,, * > 4» «f m *~. 1 M -M '."..."...sq.. 4 be aa 5 4f f f 6c 6f e..POST / ap/login 5 2* f 31 2e 31 Od Da 55.php HIT P/1.1..U d Oe 74 3a 2 4d 6* 7e 9 Sc wr-agen t: Hozil DO7O 6c612f352e f 6d la/s.o { coapatib 8 Sc 65 3b 2 4b 6f 6e fl5 72 6f 72 2f 33 2e le; Konq ueror/ b24c96a b48544d4c2f 5; Linux ) KHTH_; Rta rtmp/atherxxxmvxat' *9 KB Oft Oft IS 1 j P: 39 D: 17 H; Drops; g]<idc Abbildung 1: Der Netzwerkmonitor Wireshark erlaubt die Überwachung von Netzwerkinterfaces. Das Tool listet jedes Paket in einer Zeile im oberen Fensterdrittel auf, ganz unten sind die Binärdaten zu erkennen. Neben Prozessen sind auch Netzwerkverbindungen sehr interessant. Sie lassen erkennen, von welcher Adresse aus sich der Angreifer auf das untersuchte System verbindet - und wo das Einfallstor ist. Zunächst gilt es erneut, einen Überblick zu gewinnen. Mit»netstat -ip -pan«zeigt Linux - Manipulationen am Kommando oder dem Kernel einmal außer Acht gelassen - alle lokalen IP-Sockets, deren Protokoll (TCP oder UDP) und eventuell einen Kommunikationspartner bei verbundenen Sockets ah (siehe Listing 3). Nach dem Status, der besonders für TCP Übersetzen mit gec -o changecommand changecommand.c Wartet drei Sekunden, ändert dann seine Kommandozeile, wartet erneut drei Sekunden und terminiert. Sie angegebenen Kommandos werden nicht ausgeführt, sie sollen nur den Administrator erschrecken, der das Verbindungen von Bedeutung ist, zeigt das Tool auch die Prozess-ID und den Beginn der Kommandozeile an, sofern Root den Befehl absetzt. Netzwerkzentrale An der Ausgabe lässt sich auch ablesen, wie gut das System gesichert ist: Das im Beispiel gezeigte ist offenbar ein Datenbankserver mit zwei RDBMS- Installationen, eine mit MySQL, eine mit PostgreSQL. Nimmt MySQL am TCP- Port 336 explizit nur Verbindungen auf } int main(int arge, char **argv) 26 { } *arg++ = w; char ao[] = "/bin/rm"; ehar al[] = "-ff"; 33 > Gegen Kernel-Rootkits jedoch ist eine solche einfache Methode zwangsläufig machtlos. Rootkits modifizieren bereits den Kernel so, dass dieser erst gar nicht die Informationen über bestimmte Prozesse im»/proc«-filesystem oder über andere Informationsmechanismen bereitstellt [3]. Andererseits ist es oft erstaunlich, wie unvorsichtig viele Angreifer dabei sind, ihre Spuren zu verschleiern. Einen Versuch ist es allemal wert. 9 ps-kommando ausführt. 1 */ void overwrite(char *arg, char *new) { 13 char w; while (*arg) 16 { 17 if (*new) 18 w = *new++; 19 eise 2 w = x; } char a2[] = "*"; usleep(3); overwrite(argv[], ao); overwrite(argv[l], al); overwrite(argv[2], a2); usleep(3); return ;

6 dem konfigurierten Interface mit der IP entgegen, lauscht Postgre- SQL auf jedem Interface nach Verbindungsanfragen (»SYN«-Paketen) für seinen Port Hat ein System nur ein echtes Interface, ist dies weitgehend egal, sind aber in der Umgebung Firewall-Regeln etwa mit»iptables«gesetzt, so kann dies einen Unterschied ergeben 14]. Belastbare Indizien Das»netstat«-Kommando erhält in Listing 3 explizit den Parameter»-n«, um zu verhindern, dass das DNS die IP-Adressen in Namen auflöst. Dies bietet sich an, weil dadurch kein unnötiger und verdächtiger Netzverkehr zum Nameserver entsteht. Wer im Rahmen der Live-Analyse parallel auch das Netzwerk überwacht, weiß diesen Umstand zu schätzen. Im Zweifelsfall lassen sich die IP-Adressen auch später noch in Namen auflösen; es kommt nur selten vor, dass diese Informationen allzu flüchtig sind. Mehr Informationen über die IP-Adressen zeigen die Kommandos»whois«und»traceroute«an. Der erste Befehl fragt eine von mehreren zentral im Internet betriebenen Datenbanken ab, in der Registrierungsdaten des Netzbereichs hinterlegt sind. Diese Angaben haben oft hohe A^sqabe von»netstat«^^^h 1 Proto fiecv-qsend-q Local Address Foreign Address 2 tcp 3 tcp 5 tcp 5 tcp 6 tcp 7 tcp 8 tcp 9 udp 1 # strace -p :336...: : : : : : :143 2 Process 376 attached - interrupt to quit...:*...;*...:* : : : : :143 Glaubwürdigkeit und sind von Angreifern ohne Zusammenarbeit mit Internet-Service-Providern vergleichsweise schwer zu fälschen. Die Verlässlichkeit der Angaben schwankt freilich mit dem Land oder der Region, aus der sie stammen. Weltweite Verstrickungen Nicht zuletzt sollte der Forensiker beachten, dass der Ausgabepunkt einer TCPoder UDP-Verbindung nicht mit dem Standort des Angreifers übereinstimmen muss. Oft nutzen diese nämlich andere gekaperte Systeme als Sprungbrett für ihre Machenschaften. Besondere Vorsicht ist angeraten, wenn die Verbindung von einem System ausgeht, dass netzwerktechnisch nahe dem eigenen System steht. Eine kurze Liste von Zwischenstopps in der Ausgabe von»tcpdump Zieladresse«offenbart dies. Wer ausschließen kann, dass es sich dabei um einen regulären Anwender handelt, hat einen starken Hinweis darauf, dass sich der Angreifer bereits in die Nähe vorgearbeitet hat. Aus demselben Subnetz heraus ist es viel einfacher, etwa Passwörter oder Zugangskennungen abzuhören als aus dem Internet. Kombiniert der Forensiker die gewonnenen Erkenntnisse aus der Prozessanalyse State LISTEN LISTEN LISTEN VERBUNDEN VERBUNDEN VERBUNDEN VERBUNDEN VERBUNDEN PID/Program name 26914/mysqld 26675/postmaster 2298/master 26914/mysqld 26914/mysqld 26914/mysqld 6413/postgres: demo 26675/postmaster 3 select(24, [ ], [], [ ], {37, 288}) = 1 (in [6], left {35, 3O)) 1 aceept(6, {sa_family=afjnet, sin_port=htons(6327), sin_addr=inet_addr(" ")}, [16]) = 5 getpeername(9, {sa_family=af_inet, sin_port=htons(6327), sin_addr=inet_addr("l92.l68.l4.23")}, [16]) - 6 geteuid32() = 13 7 getuid32() = 13 8 open("/etc/hosts", o_rdonly) = 2 9 mmap2(null, 496, PROT.READ PROT_WRITE, MAP_PRIVATE MAP_ANONYMOUS, -1, ) = xb7fdd 1 read(2, " \tlocalhost.localdomain\t"..., 496) = read(2, "", 496) = 12 close(2) = und den Netzverbindungen, stellt sich als Nächstes die Frage, was ein Schadprogramm eigentlich tut. SpurenSUCfie Dient es nur als Sprungbrett für weitere Angriffe? Dann sollte ein unbekannter Prozess einen Eintrag in der Socket-Liste hinterlassen haben. Hört es vielleicht bestimmte Daten im Netzverkehr ab? Dann wäre ein Netzwerkinterface in den Promiscous Mode gegangen. Dies erzeugt im Kernel-Ringbuffer typischerweise einen Audit-Eintrag [5]. Er lässt sich mit dem Aufruf»dmesg«anzeigen: device etho entered promiscuous mode audit( s4:2): dev=etho 7 prom=256 old_prom= auid= device etho left promiscuous mode audit( :3): dev=etho 7 prom= old_prom=256 auid=429729s Was aber tun, wenn offenbar ein Prozess läuft, aber unklar ist, was er tut? Zunächst ist es günstig, das Programm an sich zu sichern. Mittels»ps gauxwww«oder durch einen Blick in»/proc/hd/ cmdline«lässt sich das Executable zumeist lokalisieren. Was aber, wenn der Angreifer ein Werkzeug gestartet und danach sofort wieder gelöscht und auf der Festplatte überschrieben hat? Solange das Programm noch läuft, besteht Hoffnung: Ebenfalls in»/proc/pjd/ exe«hält der Kernel einen virtuellen Symlink auf das Executable vor, selbst wenn der Angreifer es im Dateisystem gelöscht hat. Sichert das Untersuchungsteam diese Datei an einem verlässlichen Ort, sind später genauere Analysen möglich. Stochern im Datenmüll Einfach, aber oft effektiv ist es, sich das Binary selbst einmal näher anzusehen. Der Befehl»strings -a Binärdatei«forscht in Files nach druckbaren Zeichen. Sollte sich das Schadprogramm etwa mit FTPoder Webservern verbinden, die ein Passwort verlangen, gäbe es die Möglichkeit, dass dies als Klartext im Programmcode verborgen ist. Ein Schuss Intuition vom Schlage Sherlock Holmes gehört allerdings dazu, die digitalen Brotkrumen vom Binärmüll zu trennen. Viel Zeit hingegen muss mitbringen, wer mit den Tools der Binutils, etwa die Symboltabellen ausle-

7 36 I c«> > t 1LMMi -1 M< Hadfc» fruafau «I *m*» kh*«r lucpid kuocuro khubd pdfluh gmrim 3 no m x I l B 1 m x W 1 I * q 1 1 Ajuto jj PO«, PPID E> t> I USER i * \m I» cml ttd txt man mum mm iram ran ram mm NOFD J ITYPE unknovin ur*no«unkno«reg REG BEG RES REG RES REG DEVICE * x33 *99 x33 1(93 x33 see « * JNUNK MUMM ^iggiom. JNODE NAI If" /pro It" Ma [h* 1C2M9 m i«o» m* 1294 M rtw 1C2K *H (pn 111^ Abbildung 2: Offene Dateien zeigt»isof«an, hier in der grafischen Variante»glsof«. So findet der Forensiker Hinweise darauf, an welchen Files sich ein Schadprogramm zu schaffen macht oder wo es Daten ablegt. übernehmen und weitere Querverbindungen zutage fördern. Das Kommando arbeitet nicht nur auf einzelnen Dateien, sondern untersucht ganze gemountete Partitionen, wenn es zusätzlich den Parameter»-m Gerät«erhält. Das Pendant zur Kemelschnittstelle ist das Überwachen der Netzwerkinterfaces. Werkzeugkästen wie Wireshark enthalten viele Tools, um Netzverkehr aufzuzeichnen und zu visualisieren (siehe Abbildung 1). So lassen sich einzelne Pakete in einem ansonsten zerstückelten Datenstrom von Wireshark wieder zusammensetzen. Auch so ließe sich eine Passwortübertragung sichtbar machen - der Angreifer wäre mit seinen eigenen Waffen geschlagen [7]. Puzzle mit vielen Teilen sen möchte (das geht mit»nm«) oder gar den Maschinencode disassemblieren will (hier hilft»objdump«etwas weiter). Zumeist ist dieses Verfahren nur den ganz harten Fällen vorbehalten. Wir gehen rein! Für das ultimative Echtzeiterlebnis stehen auch Kommandos bereit, die auf vielen Linux-Systemen installiert sind - oder zumindest sein sollten. Ein laufender Prozess lässt sich einfach beobachten. Root darf nämlich den Systemaufruf»ptraceO«auf jeden Prozess anwenden. Hat er das getan, erhält sein Programm jedes Mal eine Nachricht, wenn der überwachte Prozess einen Systemaufruf tätigt [6]. Das passiert häufig. Mit»strace -p PID«klinkt sich der Forensiker in den Prozess über seine ID ein. In der ersten Zeile in Listing 4 hängt sich»strace«an den Prozess 376. Nach einer Weile geht auf Socket 6 eine Verbindung von mit TCP-Port 6327 ein (Zeile 4). Der Kernel erteilt ihr Deskriptor 9, von dem der Prozess später lesen kann. Der Prozess öffnet die Datei»/etc/hosts«, gibt ihr das Handle 2 (Zeile 8) und liest sie dann aus (Zeilen 1 und 11). So ist recht gut nachzuvollziehen, was ein Prozess tut. Aus den Systemaufrufen lassen sich alle Dateien heraussuchen, die Prozesse geöffnet haben. Weil dies jedoch äußerst mühsam ist, zeigt das Tool»Isof«alle offenen Deskriptoren an [8]. Wegen der Fülle an Informationen ist auch hier eine Filterung angebracht. Die Option»-p PID«präsentiert eine Übersicht der Dateihandies, die der angegebene Prozess geöffnet hat. So lassen sich Dateien, verwendete Shared Libraries, Devices oder sogar Handies auf gemeinsam genutzten Speicher erforschen. Hier zahlt sich das Datei-Paradigma von Unix aus. Mit ihm findet der Forensiker Konfigurationsdateien von Schadcode, zusätzlich genutzte Bibliotheken oder Data-Dumps, in denen diese Programme Passwörter vor dem Hochladen an einen Server horten. Für das Kommandozeilentool gibt es sogar eine bequeme grafische Oberfläche namens»glsof«(abbildung 2). Arbeitet der Forensiker direkt am untersuchten System, ist das Werkzeug eine praktische Alternative, ist er jedoch übers Netz per Xll oder anderen Terminalclients verbunden, erzeugt der Einsatz zu viele verräterische Spuren im Netzwerk-Log. Den umgekehrten Weg geht»fuser«: Wem eine Datei verdächtig vorkommt, der kann damit herausfinden, welcher Prozess darauf zugreift. So zeigt»fuser -v /usr/lib/libcrypto.so..9.8«an: USES PID ACCESS COMMAND /usr/lib/libcrypto.so..9.8: den» 6149 m kded demo 9742 m kio_imap4 Die vorgestellten Werkzeuge zur Dateioder Prozessanalyse können nun wieder Wer sich auf seinem Linux-System auskennt, dem bleibt wenig verborgen. Eine Vielzahl von Systemdiagnose-Werkzeugen lässt sich auch zur Live-Forensik verwenden. Viele Aktivitäten von Angreifern werden so nachvollziehbar. Die Entscheidung, solche Untersuchungen durchzuführen, sollten sicherheitsbewusste Admins aber bereits vorher treffen. Im Eifer des Gefechtes ist der Adrenalinpegel hoch - schlechte Voraussetzung für eine Operation am offenen Herzen. Infos [1] Alexander Geschonneck, Computer- Forensik - Systemeinbrüche erkennen, ermitteln, aufklären": Dpunkt Verlag, 2. Auflage 26 [ 2] Nils Magnus, Forensik: Einbettung in präventive und reaktive Unternehmensprozesse": Gl Tagungsband IT-Incident Management & IT-Forensics, 23 [ 3] Amir Alsbih, Tarnwaffe: Rootkits für den Linux-Kernel 2.6": Linux-Magazin 6/6, S.56 [ 4] Ralf Spenneberg, IPsec und IPtables": Linux-Magazin 8/6, S. 86 [5] Linux Audit: [http://people.redhat.com/sgrubb/audit/] [ 6] Uwe Schneider, Strace: Software-Endoskop": Linux-Magazin 9/2, S. 96 [7] Thomas Leichtenstern, Aufgedeckt: Wireshark": LinuxUser 7/7, S. 89 [ 8] Caspar Clemens Mierau, Besserwisser: Lsof": Linux-Magazin 3/7, S. 74

8 Fenster-Kit 38 S Wenn nach der Durchsuchung Beamte eine Festplatte mitnehmen, landet sie bei einem professionellen Forensiker in einer Behörde. Auf den folgenden Seiten erklärt ein Ausbilder, wie Beamte mit Hilfe von Linux-Bordmitteln interessante Details aus sichergestellten Windows-Festplatten extrahieren. Hans-peterM^,MarkusFeimer Spezialisierte Live-CDs wie Helix [1] oder FCCU [2] haben eine große Auswahl an nützlichen Forensik-Werkzeugen an Bord. Aber auch die herkömmlichen Debian- oder Ubuntu-Distributionen helfen den Ermittlern der Kriminalbehörden dabei, mit freien Forensik-Tools und einer kleinen Portion Shell-Know-how wichtige Informationen aus dem Dateisystem eines Windows-Systems zu sammeln und wiederherzustellen. Image erstellen Bevor es jedoch an die forensische Analyse geht, erstellt der Fahnder zunächst eine Kopie des sichergestellten Datenträgers, entweder in Form einer l:l-kopie oder indem er ein oder mehrere Images erstellt. Dafür stehen ihm unter Linux gleich zwei geeignete Verfahren zur Verfügung, und zwar Raw-Images mit»dd«oder Abbilder im Expert-Witness-Format. EWF ist ein proprietäres, von Guidance Software (Encase, [3J) entwickeltes Format, das auch die kommerzielle Forensic-Software von X-Ways [4] beherrscht. Es ist komprimiert und erzeugt damit deutlich kleinere Images als Raw. Für die Erzeugung von EWF-Images gibt es unter Linux Tools wie Linux Encase (Linen) oder Ewfacquire [5]. Linen ist in der Helix-CD als kostenlose Dreingabe von Guidance Software enthalten, aber das in jeder Distribution mitgelieferte DD reicht unter Linux fast immer aus. Mit dem Unix-Urgestein erstellte Images haben noch den Vorteil, dass sich ein so kopiertes Windows-System problemlos in einer Virtualisierung wie VMware starten lässt, was bei EWF schon wegen der Kompression nicht ohne proprietäre Zusatzsoftware funktioniert. Ein passendes DD-Image erzeugt beispielsweise der Befehl»dd if = /dev/sda of = win_hd.dd bs = 496 conv = noerror, sync«. An der Stelle von»/dev/sda«trägt der Admin die richtige Festplatte ein. Die Blocksize»bs = 496«beschleunigt den Kopiervorgang, da das Speichern eines ganzen Clusters effizienter ist als das eines einzelnen Sektors. Die»conv«-Parameter stellen unter anderem sicher, dass der Kopiervorgang nicht aufgrund von defekten Sektoren abbricht. Ein derartiges Raw-Image lässt sich wie eine normale Festplatte mit dem Befehl»fdisk -lu«analysieren. Dazu muss der Admin lediglich zusätzlich den Namen des Image angeben: # fdisk -lu winjid.dd Disk winjid.dd: MB, bytes 12 heads, 63 sectors/track, cylinders,? total sectors Units = sectors of 1 * 512 = 512 bytes Disk identifier: x84b84b Device Boot Start End 7 Blocks Id System winjld.ddl * HPFS/NTFS In diesem Beispiel enthält das Image also eine Partition, das verwendete Dateisystem ist NTFS. Weitere Informationen liefert das Programm»disktype«aus den Standard-Debian-Repositories: # disktype winjid.dd --- winjid.dd Regular file, size 3.21 GiB 7 ( bytes) DOS/MBR partition map Partition 1: 3.17 GiB ( bytes,? 63276S7 sectors from 63, bootable) Type x7 (HPFS/NTFS) Windows NTLDR boot loader NTFS file system Volume size 3.17 GiB 7 ( bytes, sectors) Auf der Partition ist offensichtlich der Windows-Bootloader installiert. Um jetzt Zugriff auf dieses Dateisystem zu erhalten, muss der Admin es zunächst

9 mounten. Die Partition beginnt, wie bei Festplatten üblich, bei Sektor 63. Eine Ausnahme ist Microsofts jüngster Spross Windows Vista, hier liegt er erst bei Sektor 247. Der Mountbefehl erfolgt somit über den passenden Offset: # losetup -o $((63*512)) /dev/loopo 7 win_hcldd # mount -o ro.noatime.noexec /dev/loopo /mnt Jetzt liefert ein Blick nach»/mnt«die Startdateien und das Dateisystem des Windows-Laufwerks. Ein kurzer Blick in die Datei»boot.ini«offenbart einen Windows 2 Server (Listing 1). Forensikers Liebling: Find Die typische Arbeit eines Strafverfolgers ist die Suche nach Dateien mit illegalen oder beweiskräftigen Inhalten auf sichergestellten PCs. In den meisten Fällen rufen die Forensiker dabei ihre Werkzeuge über»-exec«- oder»xarg«-konstrukte des Linux-Befehls Find auf, ein Workaround, der den rekursiven Einsatz praktisch jedes Befehls ermöglicht. Nach dem Image-Erstellen und -Einbinden könnte»find /mnt -type f«eine detaillierte Liste aller Files erstellen. Aber weil dieser Ansatz Dateinamen mit Leerzeichen oder Sonderzeichen nicht berücksichtigt, ist für den Forensiker der Aufruf»find /mnt -type f -printo xargs - ls -al«besser geeignet. Hashwerte leisten gute Dienste, um identische Files zu identifizieren und verfängliche Dateien auf Systemen zu finden. Automatisch erzeugen lassen sie sich zum Beispiel mit»find /mnt -type f -printo xargs - md5sum«, die Hashes können dabei schon on the Fly mit vorhandenem Referenzmaterial verglichen werden. Sinnvoller ist es allerdings, eine Datei zu erstellen, die die Hashwerte aller Dateien beinhaltet (Abbildung 1). Hashes ermitteln Duplikate In den meisten Fällen liegen dem Ermittler ohnehin bereits Hashes von Dateien vor, die er in einem Pool von anderen Hashwerten suchen soll. Eine typische Anwendung dieses Szenarios ist ein Fall, bei dem es eine Datenbank mit bekannten Files gibt, etwa die Suche nach strafbarem pornographischem Material. Auch Sitzung Bearbeiten Ansicht Lesezeichen Einstellungen Hilfe 3aefalc534d869675e58bl75e4 f6ccf6655d5ae345dof9falaale8af8 a83295e9f4a5595b22bcfo99b226e b5e4Off63dd9137affa55f lc3a3358ae9648a268e63e46e99ee7 3a765fcdd74c2ac8a3d74568bce2afb 36a133a*J5fccca271lf34499cd8 ce72869decec8a6!9621d68e7253b3 973a97bb48b5b39e7567b6f88c36e b5f69bl4db26bc85fba55ed6ed381f8 2515a821e23eafa34aca5858bbad4a d1784b9ad a45ad5c 117f 24e la6cfelb784d>76m27e as41csc385a4339c597ge3b c5dala786aec9a2c369337acded7fe7 a9b59188f256dfaad2127alc7d c7a814d9cl6cle99c fb52 522el4956dS447959dc9e56d b lee3652cd79bcbeeda3deiue4e 6667d7854a3ae7715d22b82761cfe7 73d9a54e33a9dcf23aa48a367bcb4e24 69f2594dafbb d49ecb5f91 4B315f8452a7db59a56aca28541eab92 f59a23e61fc6fld64f7b82cafl3be9b /itnt/winnt/servicepackfiles/1386/rdpdr.sys /imt/winnt/servicepackfiles/i386/rdpwd.sys /mnt/winnt/servicepackfiles/i386/rdpwsx.du /imt/winnt/servicepackfiles/1386/recciver.exe /nnt/vii*it/servicepackfiles/i386/redbook.sys /mnt/wimflyservicepackfiles/isee/ regapi.du /mnt/wimr/servicepackfiles/1386/regedit. exe /mnt/vinnr/servicepackfiles/isas/regedtaz.exe /i«nt/vii*fr/ser»icepackfiles/i366/regsvc.exe /imt/vim«t/servicepackfiles/i386/regsvr32.exe /iiint/viiint/setvicepackfiles/1386/ rend. dll /unt/vinnt/servicepackfü.es/1386/resutils.du /mnt/vinnt/servicep9ckfiles/i366/riched2.dll /mnt/winnt/servicepackfiles/ises/msdxm.ocx /imt/vinnt/servlrepackfi.les/iaes/msdxnilc.du /imt/vinnt/servicepackfiles/iabe/msexch^.du /»nt/wii*(t/servicepackfi'les/i386/msexc\4.ifn. / nt/wlnnt/servicepackfiles/1386/iisg. exe /mnt /WNST/ServicePackFiles/Uas/msgina. dll /mnt/vinnt/servicepackfiles/isatymsgpc.sys /imt/viwrr/servicepackfiles/iaee/msgsvc.dll /nnt/wimjt/servicepackfiles/iaes/nishdc. l^f /«nt/wiwr/servicepackfiles/i386/mshta.exe /unt/vinnt/servlcepackfiles/i386/n\shtml.du I3JJT pjbe<ehlsfen«ter ] W Befehlsfenster Nr. 3 I gjbefehwenster Nr. 4 Abbildung 1: Md5sum hat eindeutige Hashwerte der Dateien eines Windows-Dateisystems erstellt. Die Werte in der ersten Spalte ziehen Ermittler zum Abgleich mit bekannten Daten heran. in Strafverfahren, wenn zum Beispiel eine belastende Excel-Datei auf verschiedenen Rechnern gesucht wird, leistet dieses Vorgehen gute Dienste. Nicht zuletzt lassen sich damit von vornherein auch die auf jedem System vorhandenen Microsoft- DLLs aussortieren. Ob es Übereinstimmungen zwischen dem gesuchten und dem vorhandenen Material gibt, ermittelt später ein simpler»grep«-befehl. Eine Liste der Hashes vorhandener Files speichert der folgende Befehl - um den jeweiligen Dateinamen gekürzt - in die Datei»gross.txt«: # find /mnt -type f -printo xargs -? mdbsurn awk '{print $1}' sort -g? uniq > gross.txt Der»awk«-Befehl übernimmt dabei nur die Hashwerte der ersten Spalte,»sort -g«sortiert sie und»uniq«entfernt dop- 1 2 insgesamt r 1 root» -r 1 root OS -r 1 root 6 -r 1 root 7 -r 1 root 8 dr-x 9 dr-x 1 11 # cat /mnt/boot.ini [operating systems] 16 # is'-i 7Ürt.' ( ' ) 17 (...) Windows-Dateisystem 1 root [boot loader] timeout=3 root root root root root root 1 root root pelte Einträge. Ein Ermittler, der die zu suchenden Hashes in der Datei»klein, txt«gespeichert hat, findet dann mit dem Befehl»grep -fklein.txt gross.txt«die Duplikate und damit auch die entsprechenden Dateien. Suche nach Keywords Forensiker suchen auf den gesicherten Systemen auch nach bestimmten Begriffen. Zunächst ist dafür eine Textdatei mit den gewünschten Suchbegriffen zu erstellen, zum Beispiel»keywords.txt«mit den Begriffen Password beziehungsweise Passwort. Dann sucht # cat winjid.dd strings --color -f keywords.txt egrep -i? die Keywords»password«und»passwort«im gesamten Windows-Image und hebt 1S :5 arcldr.exe :5 arcsetup.exe :59 AUTOEXEC.BAT : S3 boot.ini :59 coiwig.sre « :1» Dokumente und Einstellungen »:14 WINNT default=multi()disk()rdisk()partition(l)\ WINNT multi()disk()rdisk()partition(l)\winnt= 'Microsoft Windows 2 Server" /fastdetect i 39

10 4 3 Sitzung Bearbeiten Ansicht Lesezeichen Einstellungen Hilfe TPasswordLengthWi/ ß <IxA HRff="_netvorksetup_change_admiJtlstratOT_password. htm">adininistrator<:/a> Snc Sad password d:\srv3rtm\enduser\troubleshoot\tshoot\registrypasswords.cpp im_static_crb>_confirm_ PASSWORD IDH STATIC CRH) PASSWORD IDH~fcüIT CBS) PÄSSWRD2 IDH_H>IT_CRED_ PASSWORD DisablePasswordCaching HNetRemoveCachedPassword UNetCachePassword «NetGetCachedPassw r d Invalid password Invalid password BasPppChangePassword RasSetÖldPassword RasPppChangePassword nar L_PASSWORD_Text = "Kennwort: 1 ; orow.cells(o).innerhtml="<div allgn='right' class='sys-font-body sys-color-body MaxLayouf = 'idrow41'x8r id ='idbr'>" + L_PASSWORD_Text + "&*sp;snbsp;</div>"; 1 lgib.fehl5f«rbt»f [ B«f.hlsf«nst.rNr. 3 WBefthlsfensterNr. A Abbildung 2: Linux-Bordmittel im Einsatz. Cat, Strings und Grep suchen nach Stichwörtern in der Windows- Partition und heben die gefundenen Eintrage farblich hervor. sie in der Ausgabe in roter Farbe hervor, wie in Abbildung 2 zu sehen ist. Besonders spannend ist das Verfahren, wenn für die Schlagwortsuche nicht nur das Dateisystem, sondern auch noch andere Bereiche einer Festplatte dienen, zum Beispiel die Auslagerungs- oder Hibernation- Datei, der nicht allozierte (unallocated) Bereich der Festplatte, Daten im Versatz des Dateisystems (File-Slack) oder die vermeintlich gelöschten Dateien. Gerade die Treffer aus dem Unallocated- Bereich einer Festplatte oder dem File- Slack verlangen häufig eine Wiederherstellung und die Zuordnung zu gelöschten Dateien. Hierbei hilft der dezimale Offset»-td«im Strings-Befehl in»cat winhd_dd strings -td egrep -i -color -f keywords.txt«weiter. 1 # fls n "C: r win_hd.dd > /tmp/body 2 # mactime -a -b /tmp/body Will der Ermittler auch Keywords finden, die im 16-Bit-Unicode abgelegt sind, mit dem die Windows-NT-Betriebssysteme arbeiten, dann muss er bei dem Strings- Befehl einstellen, ob die Suche nach Little oder Big Endian [6] erfolgen soll. Die nötigen Argumente sind in diesem Fall entweder»-eb«oder»-el«. Weitere Details dazu liefert die Strings-Manpage. Wie sich später über eine Inode-Zuordnung eine Datei wiederherstellen lässt, zeigt Listing 3 anhand von Ntfsundelete. Der Spürhund durchstöbert die ganze Festplatte Das Sleuthkit (Spürhund-Kit, [7] und [8]) gehört zu den wichtigsten forensischen Werkzeugen. Es befindet sich im Standard-Debian-Repository und Aptitude installiert es. Im Wesentlichen besteht das Hündchen aus drei Program- 3 Thu Jun :S :4,16656,m..,-/-rvnmrartre,,, , C:/MNlJT/systein32/edmodeiii. dll OS Thu Jun :5 :4,11792,m..,-/-nranntrwx,,, ,C:/WINNT/ServicePaekFiles/i386/ partingr sy 3 7 Thu Jun :S :4,7ä4,m.., -/-rwxrwxmx,,, , cvwinnt/servicepackfiles/isse/ bhp dll 9 Thu Jun :5:4,111764,m..,-/-rxxrwxrwx,,, , C:/WINNT/system32/mfc»2u. dll 11 Thu Jun :S :4,6SS93,m..,-/-rwxrwxrwx,,, ,C:/Prograirnne/utlook Express/ esapi3tl.dll 13 Thu Jun :5 :4,12264,m..,-/-rwxnrerwx,,,8B ,C:/WINNT/system32/idq.dll 1» Thu Jun :5 : 4,166672, m..,-/-rwxrwxrwx,,, ,c: /WIlMT/syste>ii32/qcap. all IS Thu Jun :5 :4,65593,m..,-/-rwxrwxrwx,,, llsss-128-3,c:/winnt/sersystem32/i386/csapi3tl.dll men, die Funktionen eines erweiterte»ls«bieten und meist schon im Namen ihre Funktion verraten: Fls listet Files auf Dateiebene, IIs auf der Basis der Inodes, Dls stellt die eigentlich gelöschten (deleted) Dateien dar. Dazu kommen Verwandte der gängigen Unix-Tools Cat (Icat) und Find (Ifind) sowie Statistik-Werkzeuge wie Istat. Zuerst erstellt Sleuthkit eine Liste aller Dateien mit Zeitinformationen (Listing 2). Wer die Ausgabe in einer übersichtlich gruppierten Ansicht mit einer Zeitleiste der Ereignisse erhalten möchte, ruft»mactime -b /tmp/body«auf. Nun soll das Tool die Schlüsselwörter in den gelöschten Dateien auf der NTFS-Partition aufspüren: # dls /dev/loopo > unallocated # cat unallocated strings egrep -i? --color -f keywords.txt Dls wandelt so den nicht belegten Platz in eine Datei um, die Cat dann über eine Pipe an Strings und Egrep weiterleitet. Der File-Slack Der Begriff File-Slack [9] bezeichnet Daten im Versatz des Dateisystems. Der entsteht, wenn jemand zum Beispiel eine 2 KByte große Datei in einem Dateisystem speichert, das über 4 KByte große Blöcke verfügt. Alle gängigen Windows-Systeme sind hier vergleichsweise unsauber programmiert und schreiben nach der zu speichernden Datei zufällige Daten aus dem RAM in die überzähligen Bytes des betreffenden Blocks. Genau da beginnt das Problem - beziehungsweise die Chance für den Ermittler: Mit Tools wie Dls aus dem Sleuthkit oder Bmap [1] kann der Polizist Daten rekonstruieren, die der Benutzer vielleicht nie bewusst auf seiner Festplatte gespeichert hatte. Manchen Ermittlern soll es so schon gelungen sein, verfängliche E- Mails zu rekonstruieren. Als besonders hilfreiches Werkzeug erweist sich hier Dls mit der Option»-s«: # dls -s /dev/loopo > fileslack # cat fileslack strings egrep -i 5 --color-f keywords.txt So kann der Forensiker auch im File-Slack nach Schlagwörtern suchen. Nach einer

11 pascom Sitzung Bearbeiten Ansicht Lesezeichen Einstellungen Hilfe ni B Files D.. FR. FR. FR. 14% % % % % % % % % % % % % % % % % % % % % «lth potentially recoverable content: 46 am; ^ Befehlsfenster msihnd.dll 5688 msiinst.exe msimain.sdb msimsg.dll msisip.dll sdbapiu.dll InstMsiO instmsi.msi 8337 msi.cat msi.dll 1119 msi.inf msiexec.exe msllind.dll msimain.sdb msimsg.dll msisip.dll sdbapiu.dll CIM.REC.BAK 12 JtÜnMgmt.CFG.BAK 12 $WinMgmt.CFG.BAK 259 spupdsvc.inf ff Befehlsfenste Nr. 3 J Befehlsfenster Nr. 4 Id EJ i IS DA IST EIN ANRUF FÜR SIE. DIE ZUKUNFT IST DRAN! MobyDick verbindet die Features modernster Telefonie mit den Vorteilen von Voice over IP. Abbildung 3: Ntfsundelete zeigt die gelöschten, aber wiederherstellbaren Dateien. In der ersten Sparte steht die für die Recovery notwendige Inode-Nummer im Dateisystem innerhalb der Imagedatei. Studie der Universität Linz [11] sind moderne Linux-Filesysteme übrigens nicht von diesem Problem betroffen, sie schreiben Nullen in die überschüssigen Bytes, wie sie»/dev/zero«liefert. Gelöschte Dateien, History und Windows-Registry Sitzung Bearbeiten Ansicht Lesezeichen Einstellungen Hilfe [system\controlset2\services\{51f3e9e7-e431-4b38-8f61-6e931f37blh Mit»ntfsundelete«aus dem Paket»ntfsprogs«kann jeder Linux-Admin gelöschte Dateien auf NTFS-Partitionen wiederherstellen. Bevor er»ntfsundelete«jedoch aufrufen kann, muss das Device»/dev/ loopo«wieder freigegeben sein, meist mit»umount /mnt«. Ohne weitere Optionen gibt»ntfsundelete /dev/loopo«nur eine Liste aller wiederherstellbaren Dateien aus (Abbildung 3). Das Beispiel in Listing 3 stellt die Datei»msiinst.exe«auf Inode wieder her. Aber auch auf der Festplatte vorgefundene Dateien verraten dem Ermittler oft mehr über den Benutzer, als diesem lieb [system\controlseto2\services\{51f3e9e7-e431-4b38-8f61-6e931fo37bl}\parameters] [systera\controlset2\services\{51f3e9e7-e431-4b38-8f61-6de931f37bl}\parameters\tcplp] EnableDHCP"=dword: 1 IPAddress"=hex(7>:3,2e,3,2e, 3,2e, 3,, 'SubnetMaslC=tiex(7):3,2e,3,2e,3,2e,3,, DefaultGateway - =tiex(7) : DhcpIPAddress^' DhcpSubnetMaslf=" " DhcpServer"=" " Lease" =dw> rd: OOOOaScO LeaseObtainedTime"=dword: 4752c36c Tl"=dW>rd:475317CC T2"=dword: LeaseTermlnatesTime"=dword:47536c2c DhcpDefaultGateway'=hex(7) :31,39,32,2e,31,36,38,2e,3,2e,31,, DhcpSubnetMaSkOpf =hex(7) :32,35,35,2e,32,35,35,2e,32,35,35,2e,3,, [system\mounteddevices] \\??\\Volume{59686d2- ac8-lldc-8c45-86d f} > =hex:5c,,3f,,3f,,5c,\,46,,44,,43,, 23,,47,,45,,4e,,45,,52,,49,,43,,5f,, \ 46,,4C,,4f,,5,,5.,59,,5f,,44,,52,,49,,56,,45,,23, \,35,,26,,31,, 33,,35,,35,,38,,63,,62,,61,,26,,3,, \ 26,,3,,23,,7b,,35,,33,,66,,35,,36,,33,,3,,64,,2d, \,62,,36,,62,, 66,,2d,,31,,31,,64,,3,,2d,,39,,34,,\ 66,,32,,2d,,3,,3,,61,,3,,63,,39,,31,,65,,66,,62, \,38,,62,,7d, "\\??\\Volume{59686d21-ac8-lldc-8c45-86d f}"=hex:5c,,3f,,3f,,5c,\,49,,44,,45,, 23,,43,,64,,52,,6f,,6d,,43,,4f,,4d,, \ 35]1 jjf Befehlsfenster H Befehlsfenster Nr. 4 r Abbildung 4: Dumphive stellt die Windows-Registry im Klartext dar. Suchwerkzeuge wie Grep helfen dann wichtige Einstellungen zu rekonstruieren. Typische Beispiele sind der Passwort-Hash oder IP-Daten. DAS BESTE AUF DEN PUNKT GEBRACHT. B Unschlagbare Kostenersparnis B Einfache und günstige Erweiterbarkeit B Integrierter CTI-Server B Individuell konfigurierbar B Asterisk-basierend B Umfangreiche Überwachungs- und Auswertungsmöglichkeiten B Anlagen-Verhalten individuell anpassbar B Transparente Einbindung von Niederlassungen, Home-Offices und Mobiltelefonen B Fax to Funktionalität B Voic system Vom Steuerbüro bis zum Call-Center. MobyDick ist in den Basisvarianten S, M und XL erhältlich - passgenau für jedes Anforderungsspektrum. Mehr Informationen finden Sie unter PASCOM Netzwerktechnik GmbH&Co. KG Bergerstraße Deggendorf Tel

12 42 ist. Sowohl Microsofts Internet Explorer als auch Firefox speichern ihre History im Filesystem. Zum Analysieren dieser Informationen müssen die Ermittler zwei Programme installieren: Pasco [12] für den Internet Explorer Mork.pl [13] für Mozilla Firefox Listing 4 zeigt den Ablauf einer typischen Analyse: Der Internet Explorer speichert seine Informationen profilbezogen in Dateien mit dem Namen»index, dat«. Mit einem Find-Befehl ermittelt der Forensiker alle abgerufenen Seiten. Auch Mozilla verrät Details Das gleiche Spiel für den Firefox, der die Daten in»history.dat«speichert. Die erste Spalte enthält dabei die Datum- und Zeitinformation noch im Unix-Timestamp- 1 # ntfsundelete -u /dev/loopo 2 Inode Flags %&ge Date Size Filename ) msiinst.exe 5 undeleted 'msiinst.exe' successfully. 6 file msiinst.exe 7 msiinst.exe: MS-DOS executable PE for MS Windows (DLL) (GUI) Intel bit 1 # mount -o ro,noatiine,noeiee /dev/ioopö /mnt 2 # find /mnt -iname "indei.dat" -exec pasco '(}' ';' Format. Der dritte Befehlsaufruf in Listing 4 konvertiert sie in ein für Menschen angenehmeres Format. Auch die Registry eines Windows-Systems lässt sich mit Dumphive [14] benutzerfreundlich aufbereiten (Abbildung 4). Das Kommando»dumphive /mnt/ WINNT/system32/config/system system, txt«speichert sie in einer separaten Textdatei, in der die Fahnder mit den Unix- Text-Tools bequem nach Einträgen suchen können. Windows-Passwörter kennenlernen Der bloße Zugriff auf das System allein ist bereits interessant, aber die Kennwörter der Benutzer zu kennen, öffnet den Ermittlern meist noch weitere Türen, da die meisten User ihre Lieblingspasswörter bei vielen Webseiten und Diensten verwenden. Nicht zuletzt ermöglichen sie es dem Forensiker, sich am virtualisierten Imagesystem unter VMware anzumelden und diverse Systemprotokolle und Dateien gesondert unter die Lupe zu nehmen. Neben Brute-Force-Angriffen und Tools wie John the Ripper, die Wortlisten oder 3 TYPE URL MODIFIED TIME ACCESS TIME FILENAME DIRECTORY HTTP HEADBRS 1 URL 6/7/26 21:35:34 12/2/ :14:28 favicon[l].ieo NGOSCTFI HTTP/1.1 2 OK Content-Type: image/x-icon 6 Content-Length: 146 -U:administrator 7 SEDH 8 12/2/27 12:11:32 12/2/27 12:11:32 9 URL Visited: Administratoren«?://mm.google.de 12/2/27 12:14:28 1 URL Visited: Administratorflhttp://www.msn.de 12/2/27 14:33:54 12/2/ :33:54 12 # find /mnt -iname "history.dat" -exec mork.pl '{('';' S Iinux4afrika. de/index. php? id= 1S4*L=1 http: //www. Iinux4afrika.de/index.php?id=6 L=l # find /mnt -iname "history.dat" -exec mork.pl '{}' '; awk ' {print strftime("*f,%r",*l),$2,t3}' ll:» : : (...) Rainbow Tables verwenden, stehen dem Linux-Admin viele weitere Werkzeuge wie Bkhive, Samdump2 und Ophcrack [15] zur Verfügung. Mit ihnen lokale Passwörter aus einer SAM-Datei, wie sie Windows-NT-basierte Systeme verwenden, zu extrahieren, ist nicht schwer, auch weil sich die Tools kombinieren lassen. So erkennt John the Ripper automatisch, wenn Admins ihn mit SAM-Daten eines Windows-Systems füttern. Hilfreich ist da die Microsoftspezifische Aufteilung der Passwörter. Zwar können die Windows-Credentials 14 Zeichen lang sein, das System zerlegt sie aber in zwei Strings ä sieben Zeichen. Das erweist sich ungewollt als ein hilfreiches Entgegenkommen des Herstellers für den Ermittler, der damit weniger Rechenleistung benötigt. Schon bei Vista: Sicherere Passwörter Ab Windows Vista hat MS das korrigiert und die anfälligen Lanmanager-Hashes standardmäßig durch NT-Hashes ersetzt. XP-Admins können das manuell einrichten, hier muss der Linux-Ermittler mit»dumphive«in der Registry nachsehen, ob der Eintrag»HKEY_LOCAL_MACHI- NE/SYSTEM/CurrentControlSet/Control/ Lsa«auf»1«gesetzt ist. Dann helfen nur der Griff in den Geldbeutel und der Erwerb einer 8,5 GByte großen Dual-Layer- DVD mit kostenpflichtigen LM- oder NT- Rainbow-Tables für je 24 Dollar. Wie die anderen genannten Tools ist auch Ophcrack in den Debian-Repositories enthalten. Für die Arbeit setzt es Rainbow Tables und die Hashes der Windows-Maschine voraus. Nach der erfolgreichen Installation kann der Ermittler bequem mit einem GUI arbeiten und das Passwort eines gewünschten Users per Doppelklick entschlüsseln (Abbildung 5). Domänencontroller Bei einem an einen Domänencontroller angebundenen Windows-System ist allerdings eine andere Vorgehensweise erforderlich, denn hier sind die Credentials nicht auf dem Client gespeichert. Allerdings reicht es häufig aus, mit einem Netzwerk-Sniffer während eines Anmeldevorgangs mitzuschneiden, die

13 a a a * Load... Delete Tables.. Launch ID USERNAME/LMHASH LMpassvKll LMpasswcB NTpasswd 5 Administrator 51 Gast 1 Hilfeassistent 16 testl 17 test2 18 test3 19 test4 11 testsz(ue) 111 test5 /EMPTY/ /EMPTY/ AS2C4S DF9TPIZ VCWYWW1 P 341BPFC ASQ128V BNLOP9D a a a G Save As Help Exit About 6OTMBSZ VY X324ASQ DDX /EMPTY/ /EMPTY/ as2c4s df9tpiz VCWYWWlP 341bPfCvy asq128vx324asq bnlop9dddx Table set: LM «Iphanum I Tables in use: 4 to 4: 7% Passwords:8/91 Time elapsed: /, relevanten Datenpakete zu identifizieren, sie in eine Datei zu sichern und dann den Dump an Ophcrack zu verfüttern. Allerdings ist das schon deutlich aufwändiger und setzt den Live-Zugriff auf das Netz vor Ort voraus. Vergleichsweise einfach Die Kombinationsmöglichkeiten der Tools sind schier unbegrenzt und mit ein paar extra Paketen steht dem Ermittler die Windows-Welt offen. Wem das nicht reicht, der sollte einen Blick auf die Free Forensic Tools von Foundstone [16] werfen. Mit diesen Werkzeugen lassen sich dann Cookies, lange gelöschte Einträge aus dem Windows-Mülleimer und vieles mehr wiederherstellen. Dem erfahrenen Linuxer erscheinen die Shell-Methoden sicherlich einfach, doch ist es nicht unbedingt jedermanns Sache, mit den teilweise komplexen Kommandozeilen-Befehlen umzugehen. Die Einar- \'<r -4 Abbildung 5: Per Doppelklick die Passwörter der Windows- User herausfinden ist dank Ophcrack ganz einfach. Eine automatisierte live-co gibt's davon auch. beitungszeit liegt für Linux-Neulinge auch deshalb mit den Open-Source- Tools wohl noch deutlich höher als bei den teuren kommerziellen Produkten. Unübertroffen in puncto Usability ist allerdings die vollautomatisierte Ophcrack-Live-CD, die dem Benutzer die lästigen Shell-Befehle abnimmt und kurz nach dem Booten die Windows-Passwörter der lokalen Benutzer anzeigt. Im Test mit einem XP-System (SP2) benötigte die CD nur ganze 28 Sekunden, um die bis zu 14 Zeichen langen Credentials der fünf Benutzer-Accounts zu ermitteln (Abbildung 5). Das Live-Linux beinhaltet Der Autor Hans-Peter Merkel ist mit dem Schwerpunkt Datenforensik seit vielen Jahren in der Open- Source-Community aktiv. Er bildet auch Mitarbeiter von Strafverfolgungsbehörden in Deutschland und Tansania aus und engagiert sich als Gründer und Vorsitzender bei Freioss und Linux4afrika. (zum Glück) auf der CD jedoch nur die Tabellen für alphanumerische Passwörter ohne Sonderzeichen. Wer noch mehr will, braucht die kommerziellen Rainbow Tables, (mfe) Infos [I] Helix: [http://www.e-fense.com/helix] [2] FCCU: [http://www.lnx4n6.be] [3] Guidance Software, Hersteller von EWF, Encase und Linen: [http://www.guidancesoftware.com] [4] X-Ways: [http://www.x-ways.de] [ 5] Ewfacquire: [https://www. uitwisselplatform.nl/projects/libewf] [6] Endianness: [http://en.wikipedia.org/wiki/endianness] [7] Sleuthkit: [http://sleuthkit.org] [8] Ralf Spenneberg, Detektiv-Arbeit": Linux Magazin 9/3, S. 6 [9] Wikipedia zu File-Slack: [http://de.wikipedia.org/wiki/file-slack] [1] Bmap: [http://www.packetstormsecurity. org/linux/security/bmap tar.gz] [II] File-Slack-Analyse unter Linux: [http:// [12] Pasco-Download: [http://downloads.sourceforge.net/odessa/ pasco_2455_1.tar.gz?modtime=183715zs big_mirror=] [13] Mork.pl: [http://www.jwz.org/hacks/mork.pl] [14] Dumphive: [http://v4.guadalinex.org/ guadalinex-toro/pool/main/d/dumphive/ dumphive_..3-1j386.deb] [15] Ophcrack und Ophcrack Live-CD: [http://ophcrack.sourceforge.net] [16] Foundstone Forensic Tools: [http://www.foundstone.com/us/ resources-free-tools.asp] 1 l 43 Der Asterisk Tag 28 bietet interessante Vorträge, Case-Studies und Workshops rund um das Thema Asterisk und VoIP. Wer sich noch nie mit Asterisk beschäftigt hat, kann am Wochenende vor dem Asterisk Tag in Berlin eine Asterisk Anfänger Schulung absolvieren. 26./27. Mai 28 - Berlin - oo Auszug aus der Speaker-Liste: Mark Spencer - Digium Kevin P. Fleming - Digium Olle E. Johansson - Edvina Jay Philipps - Adhearsion Randy Resnick aka Randulo - voip users conference Phil Zimmermann - philzimmermann.com

14 Analyse am Fließband 44 Forensische Untersuchungen kosten Zeit: Große Festplatten mit vielen Dateien erschweren die Suche nach verräterischen Inhalten und Spuren. Die niederländische Polizei hat mit der Open Computer Forensics Architecture einen Werkzeugsatz geschaffen, der wesentliche Schritte automatisiert. Raifspennebwg Wer wissen will, mit welchen Tools professionelle Ermittler in Strafverfolgungsbehörden arbeiten, wird bei der niederländischen Polizei [1] fündig, deren Open Computer Forensics Architecture (OCFA) [2] steht unter der GPL. Die niederländischen Behörden nutzen das modulare Framework für die forensische Analyse von Rechnern, um per Automatisierung die kriminalistischen Ermittlungen zu beschleunigen. Bei digitaler Kriminalität stehen die Polizisten häufig vor einem Dilemma. Sie haben zu wenig Fachpersonal, um alle digitalen Beweise fachgerecht zu sammeln und zu analysieren. Allerdings werden digitale Beweise auch in den alltäglichen Untersuchungen immer wichtiger - Daten der Handys und der persönlichen Computer verdächtiger Personen sind relevante Indizien und Beweise bei fast jeder Untersuchung. Um diese Aufgabe zu meistern, teilt die OCFA sie in zwei Fachgebiete: Zunächst extrahieren Mitarbeiter mit Kenntnissen in der digitalen Forensik die Inhalte von Festplatten und anderen Geräten und bereiten die Daten auf. Anschließend durchsuchen und betrachten Ermittler mit einem leicht bedienbaren Webinterface die Daten, sie können sich ganz auf die Spurensuche konzentrieren. Die Architektur ist primär eine Umgebung, die existierende forensische Werkzeuge und Bibliotheken vereint und für die Beweissammlung nutzt. Ziel der OCFA ist eine modulare, robuste und fehlertolerante Umgebung für die Analyse mehrerer Terabyte Daten in großen forensischen Analysen. Rekursive Waschstraße Die Macher von OCFA bezeichnen die Analyse als digitale Waschstraße (Digiwash) und installieren OCFA im Verzeichnis»/usr/local/digiwash«. Sie liefern für OCFA 2..2 sogar fertige Pakete für Debian Etch, Ubuntu 5.1 sowie Suse 9.3 und 1.1. In den Tar-Archiven stecken die RPMs oder DEBs von OCFA und etlichen Zusatzpaketen sowie Installationsanleitungen. Diese beschreiben auch, welche Pakete vorab händisch zu installieren sind. Die aktuelle Version 2.1. gibt es jedoch nur noch als Source-Paket. Eine der ersten Hürden bei der forensischen Analyse ist die schiere Menge an Beweismaterial. Es gilt, in Hunderten GByte irrelevanter Daten belastendes Material aufzuspüren. Files und Verzeichnisse zu überspringen, nur weil ihr Name vertraut klingt, wäre aber fahrlässig. Viele forensische Werkzeuge liefern daher eine automatische Analyse und Charakterisierung der gefundenen Dateien. Digiwash geht einen Schritt weiter. Es bestimmt zunächst den Dateityp der gefundenen Dateien mit»file«. Anschließend analysiert es automatisch bestimmte Dateitypen und spart dem Forensiker damit manuelle Arbeit. Microsoft-Word-Dateien und andere Office-Dokumente indiziert OCFA mit Hilfe von Lucene, den Rohtext extrahiert es mit»antiword«. Für PDF- Dateien verwendet es»pdftotext«, via»mailwash«zieht es Dateien und Metadaten aus -Boxen. Sogar an die Informationen in einem PGP-Schlüsselbund (Keyring) haben die Entwickler gedacht und bilden die Key-IDs signierter und verschlüsselter Mails auf den Klarnamen ab. Fotos fasst OCFA zusammen und erzeugt Vorschaubilder. Gezippte Archive und andere Container zerlegt das Framework automatisch in ihre Bestandteile und führt die gewonnenen Dateien erneut der Analyse zu. So analysiert es rekursiv alle Daten und stellt ihre Informationen dem Ermittler zur Verfügung (Abbildung 1). Nützliche Fingerabdrücke Um bei seiner Analyse die Datenmenge zu reduzieren, kann der Forensiker Hash- Datenbanken bekannter Dateien einbinden. Die enthalten MD5- oder SHAl-Prüfsummen von Files, die der Ermittler in der Analyse ignorieren darf. Zum Beispiel sind alle unveränderten Dateien des Betriebssystems irrelevant. Lediglich Modi-

15 i Abbildung 1: OCFA Dateien k- analysiert die Flut an Archiv Daten automatisch und stellt sie dem Ermittler unbekannt zur Verfügung. Dabei Office-Dokument erzeugt es einen Suchindex für Textdoku- 45 Ermittler für MMer.es zerlegt Archive und sortiert harmlose Files selbstständig aus. Abbildung 2: Der Router ruft für die jeweiligen Dateiformate passende Module auf und führt die gewonnenen Daten wieder der Analyse zu. 3. ra 1 fikationen durch ein Trojanisches Pferd interessieren den Forensiker. Solche Datenbanken gibt es beispielsweise vom US-amerikanischen National Institute for Standards and Technology (NIST) kostenlos zum Download [5]. Auch andere Forensikwerkzeuge, etwa Autopsy [6], nutzen diese National Software Reference Library (NSRL). Sie liegt gezippt auf vier CD-Images bereit. Ein Perl-Skript aus dem OCFA-Paket berechnet anhand der ISO-Files eigene Hashsets, die der Admin in das Digiwash-Verzeichnis kopieren muss. Das Umwandeln nimmt einige Zeit in Anspruch. Architektur Zentraler Bestandteil der Architektur ist der so genannte Router. Er übernimmt die rekursive Verarbeitung der Daten, die er mit Hilfe externer Software analysiert und die dabei gewonnenen neuen Dateien wieder der Analyse zuführt. Abbildung 2 zeigt schematisch seine Funktion. Für die Kommunikation der einzelnen Module untereinander gibt es ein Anycast-Relay. Es koordiniert die Nachrichtenübermittlung und sorgt unter anderem für Load Balancing. Damit ist es möglich, in einer verteilten Umgebung mehrere Instanzen eines Moduls auf mehreren Computern zu betreiben - OCFA kümmert sich also ums Clustering. Das OCFA-Framework nutzt auf Wunsch weitere externe Softwarepakete. Mit einem Patch ist es möglich, sowohl Sleuthkit [3] als auch Scalpel [4] einzubinden. Diese Tools analysieren viele Dateisysteme und bringen gelöschte Dateien wieder zum Vorschein. Gemischte Oberfläche Die Daten stellt der Forensiker über Befehle auf der Kommandozeile zur Verfügung. Er benötigt dazu Root-Privilegien, da er beim Anlegen eines neuen Falls auch den Apache-Webserver neu starten muss. Jeder Fall ist aus Sicht des Webservers ein»virtualhost«. Der Ermittler greift dann über Apache auf die extrahierten Daten zu (Abbildung 3). Die Oberfläche gibt auch zu erkennen, ob die Extraktion der Daten vollendet ist: Das Web-GUI zeigt die aktuellen Queues mit ihrem jeweiligen Status. So automatisiert OCFA sogar die Kommunikation zwischen dem Ermittler und dem Forensiker. Für ihren internen Gebrauch hat die niederländische Polizei ein Windows-Programm entwickelt, das unter dem Namen Washbrush auch Outlook- und Outlook- Express-Postfächer analysiert und die Ergebnisse wieder Digiwash zur Verfügung stellt. Dieses Programm ist aktuell aber nur den niederländischen Strafverfolgungsbehörden vorbehalten. Außerdem arbeiten die Niederländer an weiteren OCFA-Modulen und einem moderneren Frontend. Diese Software soll aber nicht mehr unter der GPL stehen, sondern nur per NDA (Non-Disclosure Agreement) verfügbar sein. Die Masse macht's Die aufwändige und zeitraubende Installation von OCFA lohnt nur in Umgebungen, die häufig forensische Analysen benötigen und von der Arbeitsteilung in Forensiker und Ermittler profitieren. Auch lassen die frei verfügbaren OCFA- Oberflächen den Komfort anderer forensischer Werkzeuge vermissen, (fjl) m Infos [1] Homepage der niederländischen Polizei: [http://www.politie.nl/english/] [2] OCFA: [http://ocfa.sourceforge.net] [ 3] Ralf Spenneberg, Sleuthkit, der Werkzeugkasten für die digitale Forensik": Linux-Magazin 9/3, S. 6 und [http://www.sleuthkit.org] [4] Scalpel: [http://www. digitalforensicssolutions.com/scalpei/] [ 5] NIST NSRL: [http://www.nsrl.nist.gov] [ 6] Ralf Spenneberg, Autopsy und Sleuthkit, der Werkzeugkasten für die digitale Forensik - Teil 2": Linux-Magazin 1/3, S. 58 und [http://www.sleuthkit.org/autopsy/] + & *j> ö LQLhewe«. ocfajoj/ ^Getting Started EjLat»«H.sdlines Open Computer Architecture 2. jdon«browsg r.hß tree - Paratr-üS"? M» t ' i " ial "- a view. Current nueueus jrj! yg-j o -! 4 Abbildung 3: Die Web-basterte grafische Oberfläche für den Zugriff durch den Ermittler versprüht antiquierten Charme. Sie bietet nicht viele Möglichkeiten, arbeitet aber flott. Der Autor Ralf Spenneberg arbeitet als freier Unix/Linux- Trainer, Berater und Autor. Er veröffentlichte bereits mehrere Bücher zu den Themen Intrusion Detection, Firewalling, virtuelle private Netzwerke. Vor Kurzem ist sein neues Buch SELinux & AppArmor" erschienen.

16 Selbst geschnitzt 46 Moderne Dateisysteme löschen Metadaten gründlich und erschweren das forensische Wiederherstellen von Files. Statt die Datenblöcke manuell wieder zusammenzupuzzeln, erkennen Werkzeuge wie Foremost und Scalpel typische Datenstrukturen und schnitzen Dateien aus einem Festplatten-Image. Raifspenneberg Egal ob ein Einbrecher die Protokolle seines Angriffs löscht, ein versehentlich abgesetztes»rm -rf«die digitale Bildersammlung vernichtet oder ein Pädophiler vor dem Zugriff der Polizei einschlägige Fotos vernichtet: Gelöschte Dateien zu rekonstruieren ist oft wichtig. Früher konnten Forensiker und Datenretter diese Files gut zurückholen, da die Dateisysteme nur den Eintrag im Verzeichnis löschten. Die Meta-Informationen, die den Ort der Datenblöcke auf der Festplatte beschreiben, blieben erhalten und TCT (The Coroners Toolkit, [1]), Sleuthkit [2] & Co. nutzten sie, um die Dateien und den Großteil ihres Namens wiederherzustellen. Heute löschen viele Dateisysteme alle Meta-Informationen [3], nur noch die Datenblöcke bleiben erhalten. Diese Puzzlestücke korrekt zusammenzufügen heißt File-Carving - der Forensiker schnitzt (to carve) die rohen Daten von der Platte und rekonstruiert daraus die Files. Dies wird umso schwerer, je stärker das Dateisystem fragmentiert ist und viele Fehler produziert. Etliche Open- Source-Werkzeuge automatisieren das Carving: Allen voran Foremost [4] und dessen Abkömmling Scalpel [5], aber auch Photorec [6] und Ftimes [7]. Photorec beherrscht Carving jedoch nicht für beliebige Daten, und Ftimes ist so kompliziert zu bedienen, dass es sich für die meisten Anwender nicht lohnt. Foremost und Scalpel ist das verwendete Dateisystem egal. Sie erwarten nur, dass die Datenblöcke der aufzufindenden Dateien sequenziell im untersuchten Image liegen. Die Tools finden Bilder in»dd«- Dumps ebenso wie in einem Abzug des Arbeitsspeichers oder einer Swapdatei. Carving identifiziert und rekonstruiert sogar Files in korrupten Dateisystemen, im Slack-Space (Versatz), ja selbst nachdem ein anderes Betriebssystem mit einem neuen Dateisystem auf der Festplatte in- stalliert wurde - solange die gewünschten Datenblöcke erhalten blieben. Wunder vollbringen die Werkzeuge allerdings nicht. Von physisch zerstörten Festplatten gelingt ihnen keine Wiederherstellung. Auch überschriebene Datenblöcke entziehen sich dem Carving - für sicheres Löschen gibt es unter Linux zum Beispiel die Befehle»shred«und»wipe«. File-Carving Da sich Carver nicht auf das Dateisystem stützen, brauchen sie andere Informationsquellen, um herauszufinden, wo eine Datei beginnt und wo sie endet. Glücklicherweise besitzen viele Dateitypen einen bekannten Aufbau. Besonders der Beginn (Header) und das Ende (Footer) der Files eines Typs sind wichtig. Diese Kenntnisse nutzt auch der Linux-Befehl»file«, wenn er den Typ von Dateien bestimmt. File-Carver durchsuchen die komplette Festplatte beziehungsweise das komplette Image nach ihnen bekannten Headern und Footern. Die Blöcke dazwischen schnitzen sie raus und legen sie als neues File ab. Leider hat nicht jeder Dateityp einen eindeutigen Footer. Bei denen kann der Carver das Ende nur erraten: Ein File endet spätestens vor dem nächsten Header. Zwischen dem realen Ende der erkannten Dateien und dem nächsten Header können jedoch größere Mengen nicht erkannter Daten liegen. Um keine Unmenge Datenmüll zu sammeln, erlauben es die Carving-Programme, eine maximale Dateigröße zu definieren. Leider sind die Header und Footer häufig sehr kurz, was zu vielen Falscherkennungen führt. Eine angenehme Ausnahme sind Bildformate. So beginnt jede Jpeg- Datei mit der Bytefolge xffd8, meist

17 XI a Unix Archlve/Debian package IX) accdb Access Data Base X) ace ACE archive X) ab HflC Address Book X].if Audio Interchange File Foraat 1X3 all Cubase Song file:.all ASF. NNA. NW: Advanced Streaalng Foraat used for Audio/Video in au Sun/NeXT audio data [KI bkf MS Backup file [X] blend blender [X] bap IM> bltaap image [X] bi2 bzip2 coapressed data [XI cab Microsoft Cabinet archive [X] caa Casio OV Digital Caaera laage Next >ress s to disable all file faallues. k to 3 «the settings 47 Return to Bain aenu Abbildung 1: File-Carver ignorieren das Dateisystem und schnitzen die Bilder direkt aus den Datenblöcken. Bei fragmentierten Files liefern sie zwar fehlerhafte Fotos, die Reste genügen aber oft, um das Motiv zu erkennen. Abbildung 2: Photorec erkennt und rekonstruiert viel mehr Dateitypen, als sein Name vermuten lisst. Dank seines Text-Interface ist das Konsolentool recht gut bedienbar. Es setzt voraus, dass Reste des Dateisystems vorhanden sind. folgt noch OxFFEOOOlO. File-Carver erkennen daher Jpeg-Bilder sehr gut. Wurden jedoch einige Blöcke bereits überschrieben oder ist die Datei fragmentiert, dann stellen die Tools bestenfalls Teile wieder her (Abbildung 1). Foremost und Scalpel Inspiriert durch das Programm Carvthis - vom Defense Computer Forensic Lab bereits 1999 erarbeitet, aber nicht öffentlich zur Verfügung gestellt - entwickelten Jesse Kornblum und Kirs Kendall vom United States Air Force Office of Special Investigations im März 21 Foremost. Dieses Programm unterstützt den Computer-Forensiker bei der Analyse und Wiederherstellung gelöschter Dateien in einem Dateisystem. Inzwischen ist das Programm Open Source und Nick Mikus pflegt die Quellen. Er hat das Programm Foremost-Builtins Mm JFIF-, Exif- und Raw-Formate IPfgl Graphic Interchange Format J f : Portable Network Graphics «I f f ; Windows-Bitmap-Dateien Executables H J H Windows-PE.-DLLund-EXE Video und avf ' mpg wmv mov Audio Audio Video Interleaved Erkennung aller Mpeg-Dateien, die mit OxOOOOOIBA beginnen Windows Media Video; teils auch WMA (Windows Media Audio) Ouicktime Movie im Rahmen seines Masters-Studiums wesentlich vorangebracht. Golden G. Richard III entwickelte auf Basis von Foremost.69 sein eigenes Programm namens Scalpel. Es galt lange Zeit als fortgeschrittenes Werkzeug. Einige Quellen behaupten sogar, dass selbst die Foremost-Entwickler Scalpel empfehlen [8]. In Wahrheit werden beide Projekte aktiv entwickelt. Während Scalpel im Jahr 25 seinem Vorläufer Foremost weit überlegen war und Images fast um den Faktor 1 schneller analysierte, hat Foremost in jüngerer Zeit dank Nick Mikus wieder aufgeholt und seinen Sprössling teils sogar überholt. Der Forensiker kann bei beiden Programmen per Konfigurationsdatei genau einstellen, welche Dateien er sucht. Hierzu definiert er die Header und Footer (Listing 1). Die erste Spalte bezeichnet den Dateityp und dient zugleich als Namens- Format pdf ole doc htm Arrhiijf HHUMJ zip rar cpp Kommentar Portable Document Format Object Linking and Embedding; zum Beispiel PowerPoint, Word, Excel, Access und Starwriter Lediglich Word-Dateien Hyper Text Markup Language (Webseiten) Zip, Jar, MS Office 27, Open Office 2. (gezippte XML-Dokumente) Roshal Archive C-Ouellcode; erkennt häufig falsche Dateien erweiterung für die gefundenen Files. Bei Dateien, in denen die Groß- oder Kleinschreibung der Header und Footer relevant ist, folgt in der zweiten Spalte ein»y«, bei anderen steht hier»n«. Dahinter stehen die maximale Dateigröße sowie die Bytefolgen des Headers und - so vorhanden - des Footers. Die Zeichenfolge»\x«leitet dabei ein Byte in Hexadezimaldarstellung ein; möglich ist»\s«für ein Leerzeichen,»?«steht als Wildcard für ein beliebiges Zeichen. Eventuell stehen am Ende noch Optionen. Flotte Fahnder Aufgrund seiner Herkunft verwendet Scalpel die gleiche Konfigurationsdatei wie Foremost, intern arbeiten die Tools jedoch verschieden. Das äußert sich auch in einem kleinen Test: Während Scalpel 1.6 für ein etwa 5 MByte großes Test- Image mit mehreren Jpeg-Bildem, HTMLund Office-Dokumenten 13 Sekunden benötigt, analysiert Foremost dasselbe Dateisystem auf demselben Rechner in unter 3 Sekunden. Beide finden im Wesentlichen die gleichen Dateien, es zeigen sich aber - auch in der täglichen Praxis - einige Unterschiede in der Datei-Erkennung. Daher sollte der Forensiker immer beide Programme einsetzen. Konfiguration 1 gif y 155 \x47\x49\x46\x38\x37\x61 \xoo\x3b 2 gif y 1S5 \XU7\M9\X116\X38\X39\X61 \xoo\xoo\x3b 3 jpg y 2 \xff\xd8\xff\xe\x\xl \xff\xd9 4 jpg y 2 \xff\xd8\xff\xel\zff\xd9 5 jpg y 2 \xff\xd8 \xff\xd9

18 Seit Version.9.1 verwendet Foremost neue Verfahren, um Zip-, Jpeg-, Officeund andere Formate zu erkennen. Diese sind direkt in Foremost implementiert, die Erkennung erfolgt also nicht mehr über die Header und Footer aus der Konfigurationsdatei. Die neue Erkennungsfunktion aktiviert Foremost, wenn es die Kommandozeilenoption»-t«gefolgt von den gewünschten Dateitypen erhält: foremost -T -t jpg,gif,pdf -i Image-Datei Die Namen der möglichen Formate stehen in Tabelle 1. Wer alle Builtins gleichzeitig aktivieren will, setzt»-t all«. Im obigen Kommando sorgt zudem die Option»-T«dafür, dass Foremost die gefundenen Dateien in ein Verzeichnis schreibt, dessen Name einen Zeitstempel enthält. Das erleichtert die Organisation der forensischen Analyse, da jeder neue Lauf seine Resultate in ein neues Directory legt. Platzbedarf Da Carver aufgrund der False Positives sehr viele Daten aufspüren, sollte ausreichend Platz im Ziel-Dateisystem vorhanden sein. Dabei müsste die Kopieraktion gar nicht sein, denn die Daten stehen im ursprünglichen Image sowieso zur Verfügung. Genau das machen sich virtuelle Filesysteme zu nutzen, etwa Carv-FS [9]. Basierend auf Fuse (File System in Userspace) nimmt Carv-FS vom Carving-Tool nur eine Tabelle entgegen, die beschreibt, an welcher Stelle welche Datei liegt. Carv-FS stammt aus dem OCFA-Projekt der niederländischen Polizei (siehe Artikel in diesem Heft), da gerade bei großen Reihenuntersuchungen forensischen Materials enorme Datenmengen anfallen. Für überschaubare Analysen ist das Herauskopieren aber praktikabler. Ein typischer Foremost-Lauf ohne Builtins ist in Listing 2 dargestellt. Das Image für dieses Beispiel stammt von der Challenge des Digital Forensic Research Workshop (DFRWS, [1]). Der DFRWS hat diesen Wettbewerb 26 veranstaltet, um File- Carver zu testen und deren Entwicklung zu fördern. Nach Ende des Wettbewerbs veröffentlichten die Veranstalter eine Liste der enthaltenen Dateien. Photorec Ist das Dateisystem nicht komplett zerstört, leisten Tools bessere Dienste, die das Filesystem mit auswerten. In diese Kategorie zählt Photorec [6]. Christophe Grenier entwickelte das Programm, um Fotos von nicht mehr einwandfrei lesbaren Flashspeichern zu retten. Daher stammt auch der Name. Das Programm funktioniert auch bei einer zerstörten Partitionstabelle, da es versucht die Partitionen selbst zu erkennen. Hat Photorec ein Dateisystem erkannt, extrahiert es sehr viele Dateitypen. Der Name des Tools führt in die Irre, da es zum Beispiel auch EXE- oder Zip-Dateien wiederherstellt. Insgesamt unterstützt Photorec mehr als 18 Dateitypen. Die Bedienung erfolgt über ein praktisches Textmenü (Abbildung 2), das die Gefahr von Bedienfehlern minimiert. Leider arbeitet Photorec bisher nicht mit Speicherabbildern oder Swapdateien. Gedächtnisstütze File-Carver unterstützen den Forensiker bei der Analyse von Dateisystemen und der Extraktion gelöschter Dateien. Foremost und Scalpel ignorieren dabei das Dateisystem und stellen sogar Daten aus Speicherabbildern und Swapdateien wieder her. Sie gehen dabei erstaunlich flott zu Werke. Ist das Dateisystem noch erhalten, leistet auch Photorec wertvolle Dienste, (fjl) Infos [1] The Coroners Toolkit: [http://www. porcupine.org/forensics/tct.html] [2] Sleuthkit: [http://www.sleuthkit.org] [3] Ralf Spenneberg, Detektiv-Arbeit": Linux-Magazin 9/3, S. 6 [4] Foremost: [http://foremost.sf.net] [5] Scalpel: [http://www. digitalforensicssolutions.com/scalpel/] [6] Photorec: [http://www.cgsecurity.org/ wiki/photorec] [7] Rimes: [http://ftimes.sourceforge.net/ftimes/] [ 8] Foremost im Forensic-Wiki: [http://www. forensicswiki.org/wiki/foremost] [9] OCFA, Carve Path Zero-storage Library and Filesystem: [http://ocfa.sourceforge.net/libcarvpath/] [1] DFRWS Carving Challenge: [http://www.dfrws.org/26/challenge/] 1 Foremost version by Jesse Kornblum, Kris Kendall, and Nick Hikus 2 Audit File 3 1 Foremost started at Sat Feb 9 18:36:29 28 OS Invocation:./foremost -v -T -i../dfrws-26-challenge.raw 6 Output directory: /linux-magazin/foremost/foremost-1.5.3/output_sat_ 7 8 Processing:.. /dfrws-26-challenge. raw File:../dfrws-26-challenge.raw 11 Start: Sat Feb 9 18:36: Length: 47 MB (» bytes) 13 1«Num Name (bs»512) Size File Offset Comment 15 Feb_9_18_36_29_28 Configuration file: /linux-magazin/foremost/foremost-l.s.s/foremost. conf 16 : 3868.jpg 28 KB 198( : 8285.jpg 594 KB : jpg 199 KB S FILES EXTRACTED 3 3: f.-.j 2: 21: 22: 23: 24: *i Finish: 31 jpg: = htm: = 5 33 ole: = 2 34 zip: = 3 35 png: = jpg 4515.zip 7982.png 3312.png png 35*31. png Sat Feb 9 18:36: MB 27» KB 6 KB 69 KB 19 KB 72 KB Foremost finished at Sat Feb 9 18:36: S (148 I 18) (1S2 X 36) (879 X»99) (114 X 54)

19 Flashback 5 Aus Sicht des Forensikers bieten Flashspeicher und deren Dateisysteme aufgrund ihres Funktionsprinzips noch einmal mehr Chancen, um an Daten zu kommen, als gewöhnliche Festplatten. Das bedeutet auch: Nutzer solcher Speicher sollten bei deren Weitergabe vorsichtig sein. jsmengeuan weinen Asus macht es mit dem EEE-PC [1] vor: Den Notebooks ohne rotierende Festplatte gehört die Zukunft. Solid State Disks (SSD) brauchen weniger Strom als herkömmliche Platten, zeichnen sich durch kürze Zugriffszeiten aus und sind gegen Erschütterungen weitgehend unempfindlich. Als Flashkarten bei Digitalkameras, USB-Sticks für den PC und als Massenspeicher in Embedded-Devices sind die billig herzustellenden Chips schon länger Usus. Zu den neuen Einsatzfeldern zählen Hybrid-Festplatten und USB-Sticks als Pagingdevice für Windows Vista. Gegen den Einsatz der praktischen Speicher gibt es auch wenig einzuwenden. Der Anwender muss sich nur klar darüber sein oder werden, dass sowohl die innere Organisation der Flashchips als auch die Besonderheiten der für Flash geeigneten Dateisysteme aus Datenschutzgründen problematisch sind. Die Gründe dafür erläutert dieser Artikel. In puncto Produzieren von Datenrückständen kann man alle Dateisysteme in zwei Gruppen unterteilen: Klassische Dateisysteme arbeiten in-place. Wenn sie alte Daten mit neuen überschreiben, liegen die neuen Daten hinterher an derselben Position, wie die alten vorher. In diese Gruppe fallen fast alle für Festplatten designten Dateisysteme wie Ext 2 bis 4, XFS, Reiser, JFS et cetera. Das andere Konzept besteht darin, neue Daten grundsätzlich an einen neuen Ort zu schreiben und die alten Daten als ungültig zu deklarieren, aber unangetastet zu lassen. Dieses als Copy on Write (COW) bekannte Verfahren haben erstmals Sprite LFS [2] eingesetzt, ebenso Netapps WAFL [3] und die neuen Dateisysteme ZFS [4] und Btrfs [5]. Flash- Dateisysteme sind prinzipbedingt alle COW-Dateisysteme. Um Daten einigermaßen sicher zu vernichten, genügt es bei In-place-Dateisystemen in der Theorie, eine bestehende Datei mit neuen Daten zu überschreiben. In der Praxis sollte man trotzdem eine gewisse Vorsicht walten lassen, denn setzt das Nutzprogramm die neue Dateigröße kleiner an als die neue, bleiben am alten Dateiende Daten unreferenziert auf dem Medium zurück. Problem Nummer zwei: Viele Programme und Bibliotheken überschreiben Dateien, indem sie zunächst die Größe auf null setzen und das Dateisystem damit veranlassen allen belegten Speicherplatz freizugeben. Erst danach schreiben sie die Datei dann neu, wodurch das Dateisystem neuen Speicherplatz zuteilen muss. Hierbei ist nicht sichergestellt, dass die neuen Daten am selben Ort liegen wie die alten - die alten Daten sind potenziell wiederherstellbar, abhängig von der Zuteilung des Dateisystems. COW-Systeme können nicht löschen Bei COW-Dateisystemen bleiben beim Überschreiben einer Datei die alten Daten auf dem Medium stets unangetastet. Sicheres Löschen einer Datei ist damit prinzipiell unmöglich, wenn das Dateisystem dies nicht explizit unterstützt. Als Abhilfe kann es genügen, mehr Daten zu schreiben, als freier Platz verfügbar ist. Wenn das Dateisystem freien Platz im Round-Robin-Verfahren zuteilt, sollte so alles einmal überschrieben sein. Leider gibt es genug Beispiele, in denen dieses Vorgehen zwar die meisten, aber nicht alle Daten überschreibt. Besonders vorsichtige Nutzer löschen daher meistens das komplette Gerät, beispielsweise mit DD, legen ein frisches Dateisystem an und spielen ein Backup ein. Beim

20 52 Ausliefern von neuen Systemen ist die Verfahrensweise durchaus verbreitet. Übrigens: Wenn es gilt, Metadaten wie Dateinamen oder -berechtigungen zu überschreiben, verhalten sich auch Inplace-Dateisysteme ähnlich wie COW- Dateisysteme und schreiben geänderte Daten an andere Stellen. Hardware-bedingte Datenrückstände Die meisten Flashmedien zeichnen sich dadurch aus, dass sie ihre Eigenschaften (siehe Kasten Flash-Technik") - so gut es geht - vor dem Betriebssystem verstecken. Bei praktisch allen an Endnutzer verkauften Medien simuliert ein interner Hostadapter ein ATA-Festplatteninterface. Damit kann das Betriebssystem beliebige Sektoren von nur 512 Byte Länge schreiben, obwohl der Flashchip Blöcke von 16 bis 256 KByte besitzt, die eine Logik vor dem Beschreiben löschen muss. Zwischen Löschen und Wiederbeschreiben klafft ein Zeitfenster, in dem der Block keine gültigen Daten enthält. Dies ist der Grund, warum alle Dateisysteme für rohes Flash dem COW-Prinzip folgen. Flash-Technik Flash-EEPROMs sind Bausteine mit nicht-flüchtigem Inhalt, sie behalten die Daten auch ohne Spannungsversorgung. Wegen der kleinen Chips und günstiger Herstellung kommen meist NAND- Flashbausteine zur Auslieferung, die stets eine bestimmte Anzahl Flashtransistoren (so genannte Floating Gates) in Serie schalten. Weil selektive Schreiboperationen immer nur vom logischen Zustand Falsch zum Zustand Wahr möglich sind, muss eine Logik vor jedem Schreibvorgang einen Löschzyklus einschieben. Löschen nur en bloc Im Gegensatz zu gewöhnlichem EEPROM-Speicher lässt sich beim Flash-EEPROM ein Wort, die kleinste adressierbare Speichereinheit (8 bis 64 Bit), nicht einzeln löschen, sondern nur blockweise. Ein Block ist meist ein Viertel, Achtel, Sechzehntel und so weiter der Gesamtspeicherkapazität eines Chips. Diese EEPROM-Blöcke (auch Erase Block genannt) sind deutlich größer als die Blöcke, mit denen herkömmliche Filesysteme arbeiten. Zudem ist die Anzahl der Löschzyklen (Endurance) begrenzt. Die Hersteller garantieren für jeden einzelnen Block nur 1 bis eine Million Zyklen. Grund für die Abnutzung: In den Floating Gates durchtunneln bei jedem Löschzyklus Das Gleiche gilt auch für den FTL (Flash Translation Layer), der das Bindeglied zwischen rohem Flash und einem Blockdevice-Interface bildet. Das Erase-Block- Management als Teil des FTL schreibt neue Daten stets in freie Blöcke und gibt die Blöcke mit alten Daten später frei. Dabei versucht es die Löschvorgänge im Chip zu verteilen, da Flash nur begrenzt viele Erase-Zyklen verträgt. Wie dies genau passiert, geben die Flashspeicher- Produzenten (beispielsweise Toshiba und Samsung) nur im Rahmen von Patentveröffentlichungen, zum Beispiel [6], oder gar nicht bekannt. Grundsätzlich gibt es jedoch zwei Möglichkeiten. Am einfachsten ist es, immer komplette Blöcke zu schreiben. Dabei verwaltet der Chip einen kleinen Pool von freien Blöcken, in die er neue Daten schreibt. Sobald sie geschrieben sind, kann er die alten Blöcke löschen und damit in den Pool freigeben. Üblicherweise geschieht das Löschen rasch nach dem Schreiben, sodass alte Daten nur in Ausnahmesituationen wie Stromverlust oder Hardwarefehlem erhalten bleiben. Alternativ verwaltet die Speicherlogik kleinere Einheiten. Wird ein Teilblock die Elektronen die Oxidschicht des Transistors (Fowler-Nordheim-Tunneleffekt). Die für diesen quantenmechanischen Effekt erforderliche hohe Spannungen beschädigt bei jedem Löschvorgang ein wenig die Oxidschicht, die das Floating Gate umgibt (Abbildung 1). Ist die Degeneration so weit fortgeschritten, dass die im Transistor gefangenen Elektronen entweichen, geht das dort gespeicherte Bit verloren und die Zelle ist defekt. Die Hersteller der Flashgeräte versuchen diesem schleichenden Effekt entgegenzuwirken, indem sie Reservezellen und ein Defektmanagement einbauen, das kaputte Blöcke wegmappt. Source Central Sate Floating Gate /ftmteckicht Abbildung 1: Die Oxidschicht um das Floating Gate hindert die Elektronen daran, abzufließen. Durch die Löschvorgänge degeneriert Jedes Mal die schützende Oxidschicht. überschrieben, bleiben andere Daten in diesem Block weiterhin gültig. Folglich kann sich der Pool freier Blöcke schnell erschöpfen - üblicherweise sind nur etwa 3 Prozent des Speicherplatzes dafür reserviert. Tritt der Fall ein, muss ein Garbage-Collection-Algorithmus alle gültigen Fragmente umkopieren und so wieder komplette Blöcke freigeben. Zwischen Schreiben und Garbage Collection kann durchaus einige Zeit liegen - Zeit, in der aus Betriebssystem-Sicht Daten nicht mehr vorhanden sind, die der Flashspeicher aber in Wahrheit in sich trägt. Recovery schwierig An solche liegen gebliebenen Daten zu kommen ist wegen der Geheimniskrämerei der Chipproduzenten in der Praxis aber nicht ganz leicht. Wahrscheinlich ließe sich eine Mehrheit der Speichergeräte durch undokumentierte Speziarbefehle in einen Raw-Modus schalten, der das Defekt-, Block-Rotations- und Erase- Block-Management umgeht. Forensiker ohne (wirtschaftlich) guten Draht zum Hersteller werden zu den Informationen vermutlich nie kommen. Für die zweite Möglichkeit, rohe Daten aus dem Medium auszulesen, benötigt ein Forensiker - oder der neue Besitzer des Wechselmediums - einen Lötkolben und ein Lesegerät für Flashchips. Auch hier bedarf es der Specs des Chipproduzenten. Egal ob versierter Bastler oder Insider: Beide müssen das Glück haben, dass tatsächlich genau die gesuchten Daten noch auf dem Medium liegen. Infos [1] Jan Rahm, Asus Eee 71 im Test": Linux- Magazin 1/8, S. 98 [ 2] Mendel Rosenblum and John K. Ousterhout, The design and implementation of a logstructured file system": ACM Transactions on Computer Systems, 1(1):26-52,1992 [ 3] Netapps WAFL: [http://en.wikipedia.org/ wiki/write_anywhere_file_layout] [4] ZFS: [http://opensolaris.org/os/community/ zfs/whatis/] [5] Btrfs: [http://oss.oracle.com/projects/btrfs] [ 6] US-Patent No , Erase block management" von Micron Technology: [http://www.patentstorm.us/patents/ fulltext.html]

Master-Boot-Record sichern

Master-Boot-Record sichern Master-Boot-Record sichern Allgemeines Mit dem Master-Boot-Record (MBR) kommt der normale Computernutzer nur selten in Kontakt, eigentlich nur zweimal. Bei der Installation von Linux wird in der Regel

Mehr

Aufbau einer Testumgebung mit VMware Server

Aufbau einer Testumgebung mit VMware Server Aufbau einer Testumgebung mit VMware Server 1. Download des kostenlosen VMware Servers / Registrierung... 2 2. Installation der Software... 2 2.1 VMware Server Windows client package... 3 3. Einrichten

Mehr

Digitale Forensik Schulung Bundespolizeiakademie März 2009

Digitale Forensik Schulung Bundespolizeiakademie März 2009 Digitale Forensik Schulung Bundespolizeiakademie März 2009 Teil 11+12: Datenträgersicherung (inklusive Übung) Dipl-Inform Markus Engelberth Dipl-Inform Christian Gorecki Universität Mannheim Lehrstuhl

Mehr

Forensik-Tools. Überblick über Open-Source Tools zur forensischen Datenträgeruntersuchung UNIVERSITÄT

Forensik-Tools. Überblick über Open-Source Tools zur forensischen Datenträgeruntersuchung UNIVERSITÄT Andreas Dewald, Laboratory for Dependable Distributed Systems, University of Mannheim Forensik-Tools Überblick über Open-Source Tools zur forensischen Datenträgeruntersuchung Vorlesung Forensische Informatik

Mehr

MySQL Queries on "Nmap Results"

MySQL Queries on Nmap Results MySQL Queries on "Nmap Results" SQL Abfragen auf Nmap Ergebnisse Ivan Bütler 31. August 2009 Wer den Portscanner "NMAP" häufig benutzt weiss, dass die Auswertung von grossen Scans mit vielen C- oder sogar

Mehr

Hyper-V Server 2008 R2

Hyper-V Server 2008 R2 Hyper-V Server 2008 R2 1 Einrichtung und Installation des Hyper-V-Servers 1.1 Download und Installation 4 1.2 Die Administration auf dem Client 9 1.3 Eine VM aufsetzen 16 1.4 Weiterführende Hinweise 22

Mehr

BACKUP Datensicherung unter Linux

BACKUP Datensicherung unter Linux BACKUP Datensicherung unter Linux Von Anwendern Für Anwender: Datensicherung in Theorie und Praxis! Teil 4: Datenrettung Eine Vortragsreihe der Linux User Group Ingolstadt e.v. (LUG IN) in 4 Teilen Die

Mehr

SYNerity Analyse von Unix-Rechnern

SYNerity Analyse von Unix-Rechnern Analyse von Unix-Rechnern 1 Unix, aha!... Welches genau? Linux BSD Solaris HP-UX True64 AIX Unix-Analyse Online 2 Willkommen in Babylon Jeder Unix-Dialekt hat andere Befehle bzw. eigene Switches Dokumentation

Mehr

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold

Installationsanleitung MS SQL Server 2005. für Sage 50 Ablage & Auftragsbearbeitung. Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Installationsanleitung MS SQL Server 2005 für Sage 50 Ablage & Auftragsbearbeitung Sage Schweiz AG D4 Platz 10 CH-6039 Root Längenbold Inhaltsverzeichnis 1. GRUNDSÄTZLICHES... 3 2. SQLExpress Installationsanleitung

Mehr

2.4 Daten auf Festplatten sicher löschen

2.4 Daten auf Festplatten sicher löschen 2.4 Daten auf Festplatten sicher löschen Mit unseren Tipps und Tool-Empfehlungen lassen sich Daten auf einer PC- oder externen Festplatte unter Windows sicher löschen. Dabei lassen sich gute und zuverlässige

Mehr

Cyber Forensics. Die Sicherung digitaler Beweismittel. Dr. Lukas Feiler, SSCP Erich Fried Realgymnasium 18. Februar 2014

Cyber Forensics. Die Sicherung digitaler Beweismittel. Dr. Lukas Feiler, SSCP Erich Fried Realgymnasium 18. Februar 2014 Cyber Forensics Die Sicherung digitaler Beweismittel Dr. Lukas Feiler, SSCP Erich Fried Realgymnasium 18. Februar 2014 Themen 1. Einsatzgebiete & Grundsätze von Cyber Forensics 2. Web Browser-Spuren 3.

Mehr

Installationsanleitung Tivoli Storage Manager für Mac OS

Installationsanleitung Tivoli Storage Manager für Mac OS 11. März 2009, Version 1.0 Installationsanleitung für Mac OS X Verwaltungsdirektion Informatikdienste Installationsanleitung für Mac OS Inhaltsverzeichnis...1 Installation... 1 Voraussetzungen...1 Version

Mehr

Sicherer Remote Support über das Internet mit UltraVNC

Sicherer Remote Support über das Internet mit UltraVNC Sicherer Remote Support über das Internet mit UltraVNC Diese Dokumentation beschreibt die Lösung eines abgesicherten Zugriffs auf einen über das Internet erreichbaren Windows Systems unter Verwendung des

Mehr

5.2 Analyse des File Slack

5.2 Analyse des File Slack 5.2 Analyse des File Slack 109 Es gibt an vielen Stellen eines Betriebssystems Fundorte für Gebrauchsspuren oder Hinweise auf Auffälligkeiten. Diese Stellen sollten grundsätzlich aufgesucht und analysiert

Mehr

Der Task-Manager von Windows 7

Der Task-Manager von Windows 7 Der von Windows 7 Der kann mehr als nur Programme abschießen: Er hilft beim Konfigurieren der Windows-Dienste und beim Lösen von Problemen. Der Windows wird oft nur dazu benutzt, um hängende Anwendungen

Mehr

Virtualisierung mit Virtualbox

Virtualisierung mit Virtualbox Virtualisierung mit Virtualbox Dies ist kein Howto im herkömmlichen Sinne. Genaue Anleitungen für Virtualbox gibt es im Intenet genug. Zu empfehlen ist auch das jeweils aktuelle Handbuch von Virtualbox

Mehr

Zur Konfiguration wird hierbei die GUI und parallel die Shell verwendet.

Zur Konfiguration wird hierbei die GUI und parallel die Shell verwendet. 1. Konfigurations- und Update-Management 1.1 Einleitung Im Folgenden werden unterschiedliche Möglichkeiten vorgestellt, wie Sie die Konfigurationen im Bintec Router handhaben. Erläutert wird das Speichern,

Mehr

Forensische Analyse einer Online Durchsuchung

Forensische Analyse einer Online Durchsuchung Forensische Analyse einer Online Durchsuchung Felix C. Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1 Es war einmal... Tag der Informatik, Universität Erlangen, 25. April 2008 4/21

Mehr

1. Download und Installation

1. Download und Installation Im ersten Teil möchte ich gerne die kostenlose Software Comodo Backup vorstellen, die ich schon seit einigen Jahren zum gezielten Backup von Ordnern und Dateien einsetze. Diese Anleitung soll auch Leuten,

Mehr

FAQ Häufig gestellte Fragen

FAQ Häufig gestellte Fragen FAQ Häufig gestellte Fragen FAQ zu HitmanPro.Kickstart Seite 1 Inhaltsverzeichnis Einführung in HitmanPro.Kickstart... 3 F-00: Wozu wird HitmanPro.Kickstart benötigt?... 4 F-01: Kann HitmanPro.Kickstart

Mehr

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing:

Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: 1 Masterarbeit über IPv6 Security: http://blog.webernetz.net/2013/05/06/ipv6-security-master-thesis/ Xing: https://www.xing.com/profile/johannes_weber65 2 3 4 Kernproblem: Wer hatte wann welche IPv6-Adresse?

Mehr

Installationshinweise Linux Kubuntu 9.04 bei Verwendung des PC-Wächter

Installationshinweise Linux Kubuntu 9.04 bei Verwendung des PC-Wächter Dr. Kaiser Systemhaus GmbH Köpenicker Straße 325 12555 Berlin Telefon: (0 30) 65 76 22 36 Telefax: (0 30) 65 76 22 38 E-Mail: info@dr-kaiser.de Internet: www.dr-kaiser.de Zielstellung: Installationshinweise

Mehr

OP-LOG www.op-log.de

OP-LOG www.op-log.de Verwendung von Microsoft SQL Server, Seite 1/18 OP-LOG www.op-log.de Anleitung: Verwendung von Microsoft SQL Server 2005 Stand Mai 2010 1 Ich-lese-keine-Anleitungen 'Verwendung von Microsoft SQL Server

Mehr

MEMO_MINUTES. Update der grandma2 via USB. Paderborn, 29.06.2012 Kontakt: tech.support@malighting.com

MEMO_MINUTES. Update der grandma2 via USB. Paderborn, 29.06.2012 Kontakt: tech.support@malighting.com MEMO_MINUTES Paderborn, 29.06.2012 Kontakt: tech.support@malighting.com Update der grandma2 via USB Dieses Dokument soll Ihnen helfen, Ihre grandma2 Konsole, grandma2 replay unit oder MA NPU (Network Processing

Mehr

Installations-Dokumentation, YALG Team

Installations-Dokumentation, YALG Team Installations-Dokumentation, YALG Team Version 8.1 1 Benötigtes Material 2 Vor der Installation 3 Beginn 4 Installation 4.1 Sicherheit 4.2 Partitionierung 4.3 Paketauswahl 4.4 Paketauswahl (fein) 5 Konfiguration

Mehr

ISO INTERCOM School Office

ISO INTERCOM School Office ISO INTERCOM School Office Zusammenfassung der Systemvoraussetzungen und Systemkonfiguration Alle Rechte vorbehalten! 2015 INTERCOM GmbH (se) Das nachfolgende Dokument behandelt einige der häufigsten Support-Anfragen

Mehr

Linux Arbeitsspeicheranalyse

Linux Arbeitsspeicheranalyse Linux Arbeitsspeicheranalyse 19. DFN Cert Workshop Peter Schulik, Jan Göbel, Thomas Schreck Agenda 1. Warum ist Speicheranalyse unter Linux wichtig? 2. Speicherakquise 3. Speicheranalyse 4. Volatility

Mehr

Sicherheit wird messbar Lösungsansätze und Methoden. Email Case. 15. September 2009, Hotel St. Gotthard, Zürich

Sicherheit wird messbar Lösungsansätze und Methoden. Email Case. 15. September 2009, Hotel St. Gotthard, Zürich Sicherheit wird messbar Lösungsansätze und Methoden Email Case 15. September 2009, Hotel St. Gotthard, Zürich ActiveSync Div. Email Landschaft PeerToPeer -USB -Bluetooth Smart phone Netzwerk - Ethernet

Mehr

Paragon Rettungsdisk-Konfigurator

Paragon Rettungsdisk-Konfigurator PARAGON Software GmbH Heinrich-von-Stephan-Str. 5c 79100 Freiburg, Deutschland Tel. +49 (0) 761 59018201 Fax +49 (0) 761 59018130 Internet www.paragon-software.de E-Mail vertrieb@paragon-software.de Paragon

Mehr

Einrichten Active Directory ver 1.0

Einrichten Active Directory ver 1.0 Einrichten Active Directory ver 1.0 Active Directory Windows 2003 Autor: Mag Georg Steingruber Veröffentlicht: August 2003 Feedback oder Anregungen:i-georgs@microsoft.com Abstract Dieses Dokument beschreibt

Mehr

ISO INTERCOM School Office

ISO INTERCOM School Office ISO INTERCOM School Office Zusammenfassung der Systemvoraussetzungen und Systemkonfiguration Alle Rechte vorbehalten! 2011 INTERCOM GmbH (se) Das nachfolgende Dokument behandelt einige der häufigsten Support-Anfragen

Mehr

Digital Forensics. Slackspace. 2011 DI Robert Jankovics DI Martin Mulazzani

Digital Forensics. Slackspace. 2011 DI Robert Jankovics DI Martin Mulazzani Digital Forensics Slackspace Slackspace Übersicht: Slack allgemein NTFS Slack FAT Slack mit Steganographie Slack allgemein Slack Space: Bezeichnet den Speicherplatz zwischen Ende der Datei und Ende des

Mehr

Übersicht. UNIX-Dateisystem (ext2) Super-User unter Linux werden MSDOS: FAT16 und FAT32

Übersicht. UNIX-Dateisystem (ext2) Super-User unter Linux werden MSDOS: FAT16 und FAT32 Übersicht UNIX-Dateisystem (ext2) Super-User unter Linux werden MSDOS: FAT16 und FAT32 Die in diesem Teil vorgestellten Informationen stellen lediglich das Prinzip dar - im Detail ist alles etwas komplizierter...

Mehr

Syslogic White Paper Leitfaden zur Erstellung eines korrekten Image (Datenträgerabbild)

Syslogic White Paper Leitfaden zur Erstellung eines korrekten Image (Datenträgerabbild) Syslogic White Paper Leitfaden zur Erstellung eines korrekten Image (Datenträgerabbild) 1. Einleitung 1.1 Bit-Image oder einfache Datensicherung? 1.2 Warum ist ein Image sinnvoll? 1.3 Welche Datenträger

Mehr

Service & Support. Wie projektieren Sie eine VNC Verbindung mit einem Industrial Thin Client SIMATIC ITC? Thin Client.

Service & Support. Wie projektieren Sie eine VNC Verbindung mit einem Industrial Thin Client SIMATIC ITC? Thin Client. Deckblatt Wie projektieren Sie eine VNC Verbindung mit einem Industrial Thin Client SIMATIC ITC? Thin Client FAQ August 2012 Service & Support Answers for industry. Fragestellung Dieser Beitrag stammt

Mehr

MySQL 101 Wie man einen MySQL-Server am besten absichert

MySQL 101 Wie man einen MySQL-Server am besten absichert MySQL 101 Wie man einen MySQL-Server am besten absichert Simon Bailey simon.bailey@uibk.ac.at Version 1.1 23. Februar 2003 Change History 21. Jänner 2003: Version 1.0 23. Februar 2002: Version 1.1 Diverse

Mehr

Musterlösung für Schulen in Baden-Württemberg. Windows 2003. Netzwerkanalyse mit Wireshark. Stand: 10.02.2011 / 1. Fassung

Musterlösung für Schulen in Baden-Württemberg. Windows 2003. Netzwerkanalyse mit Wireshark. Stand: 10.02.2011 / 1. Fassung Musterlösung für Schulen in Baden-Württemberg Windows 2003 Netzwerkanalyse mit Wireshark Stand: 10.02.2011 / 1. Fassung Impressum Herausgeber Zentrale Planungsgruppe Netze (ZPN) am Kultusministerium Baden-Württemberg

Mehr

Java Application 1 Java Application 2. JDBC DriverManager. JDBC-ODBC Br idge. ODBC Driver Manager. Dr iver C. Dr iver D.

Java Application 1 Java Application 2. JDBC DriverManager. JDBC-ODBC Br idge. ODBC Driver Manager. Dr iver C. Dr iver D. 1 Copyright 1996-1997 by Axel T. Schreiner. All Rights Reserved. 7 Datenbankzugriff Prinzip Dieser Abschnitt beschäftigt sich mit dem Paket java.sql, das eine SQL-Schnittstelle für Java verkapselt. Java-Programme

Mehr

Benutzerhandbuch bintec R4100 / R4300 Configuration Management. Copyright 17. Juli 2006 Funkwerk Enterprise Communications GmbH Version 1.

Benutzerhandbuch bintec R4100 / R4300 Configuration Management. Copyright 17. Juli 2006 Funkwerk Enterprise Communications GmbH Version 1. Benutzerhandbuch bintec R4100 / R4300 Configuration Management Copyright 17. Juli 2006 Funkwerk Enterprise Communications GmbH Version 1.0 Ziel und Zweck Haftung Marken Copyright Richtlinien und Normen

Mehr

Macrium Reflect Freeware-Tutorial:

Macrium Reflect Freeware-Tutorial: Macrium Reflect Freeware-Tutorial: Macrium Reflect ist eine Disk-Imaging-Software, die Partitionen im laufenden Betrieb zu sichern vermag. Dabei macht sich das Tool Microsofts Volume Shadow Copy Service

Mehr

GDI-Knoppix 4.0.2 - Erste Schritte. Werner Siedenburg werner.siedenburg@student.fh-nuernberg.de Stand: 04.05.2006

GDI-Knoppix 4.0.2 - Erste Schritte. Werner Siedenburg werner.siedenburg@student.fh-nuernberg.de Stand: 04.05.2006 GDI-Knoppix 4.0.2 - Erste Schritte Werner Siedenburg werner.siedenburg@student.fh-nuernberg.de Stand: 04.05.2006 Dieses Dokument beschreibt elementare Dinge im Umgang mit Knoppix. Knoppix ist ein "Live-Linux".

Mehr

time project Die clevere Zeitbuchhaltung

time project Die clevere Zeitbuchhaltung time project Die clevere Zeitbuchhaltung Anleitung Installation Inhalt 1 Einleitung... 3 2 Die Komponenten von time project... 3 2.1 Der time project Server... 3 2.2 Der time project Client... 3 3 Systemvoraussetzungen...

Mehr

TSM disaster-recovery unter Windows 8 / Windows Server 2012

TSM disaster-recovery unter Windows 8 / Windows Server 2012 Version vom: 2016/05/28 16:01 TSM disaster-recovery unter Windows 8 / Windows Server 2012 Gauß-IT-Zentrum TSM disaster-recovery unter Windows 8 / Windows Server 2012 Die folgende Anleitung beschreibt die

Mehr

Automatisierte Installation der ESXi Hosts (z.b. für Disaster Recovery).

Automatisierte Installation der ESXi Hosts (z.b. für Disaster Recovery). 2 Automatisierte Installation Automatisierte Installation der ESXi Hosts (z.b. für Disaster Recovery). 2.1 Übersicht Themen des Kapitels Automatisierte Installation Themen des Kapitels Übersicht automatisierte

Mehr

Kurzanleitung. MEYTON Migrationstool. 1 Von 16

Kurzanleitung. MEYTON Migrationstool. 1 Von 16 Kurzanleitung MEYTON Migrationstool 1 Von 16 Inhaltsverzeichnis Sinn und Zweck des Migrationsprogramms...3 Die LIVE C D...3 START...3 Erste Schritte...4 Login...4 Einleitung...5 Die Bedienung...5 Das Hauptmenü...6

Mehr

HOWTO: Multi Boot USB Stick erstellen

HOWTO: Multi Boot USB Stick erstellen HOWTO: Multi Boot USB Stick erstellen Thorsten Herrmann Inhaltsverzeichnis 1. Ziel... 2 2. Benötigte Programme... 2 3. Den Stick vorbereiten... 3 4. Bootloader konfigurieren... 5 4.1 Normalen Startvorgang

Mehr

1. HAMNET Tag 2012. P a u s e. 03/2012 Digitale Kommunikation im täglichen Einsatz. Ortsstelle Zillertal / WSK Verbund

1. HAMNET Tag 2012. P a u s e. 03/2012 Digitale Kommunikation im täglichen Einsatz. Ortsstelle Zillertal / WSK Verbund 1. HAMNET Tag 2012 P a u s e 03/2012 1 Es folgen nützliche Tools 03/2012 2 TweakPower: Die Freeware bietet schlecht zugängliche Systemeinstellungen zur Optimierung an. 03/2012 3 Unlocker Löschen trotz

Mehr

Rechnernetze Praktikum Versuch 2: MySQL und VPN

Rechnernetze Praktikum Versuch 2: MySQL und VPN Rechnernetze Praktikum Versuch 2: MySQL und VPN Ziel Absicherung einer MySQL Verbindung mittels VPN Vorbereitung Warum muss eine MySQL Verbindung gesichert werden? Was versteht man unter MySQL Injektion?

Mehr

Weitere Informationen zum Sichern von Outlook-Dateien finden Sie in unserem Artikel Datensicherung für Outlook und Outlook Express.

Weitere Informationen zum Sichern von Outlook-Dateien finden Sie in unserem Artikel Datensicherung für Outlook und Outlook Express. 1 von 10 12.10.2006 20:02 Thu, 12.10.2006 Softwarevorstellung - Outback Plus 6 DAtensicherung für Outlook http://www.wintotal.de/vorstellung/outbackplus6/outbackplus6.php Stand: Thu, 12.10.2006 Outback

Mehr

Professor Windows April 2004 Liebe auf den ersten Klick (Schattenkopien unter Windows Server 2003)

Professor Windows April 2004 Liebe auf den ersten Klick (Schattenkopien unter Windows Server 2003) Professor Windows April 2004 Liebe auf den ersten Klick (Schattenkopien unter Windows Server 2003) Von Professor Windows und Erez Paz, Rapid Adoption Manager, Microsoft Israel Korrektur: Paul Luber, Program

Mehr

Linux Extension for AIDA64

Linux Extension for AIDA64 Konfigurationsanleitung v 1.0 30. 07. 2014. wurde von Szilveszter Tóth, für ABSEIRA GmbH., dem weltweiten Distributor der AIDA64 Produktfamilie entwickelt. Dieses Handbuch wurde von ABSEIRA GmbH. verfasst.

Mehr

X5 unter Windows Vista / 7 und Windows 2008 Server

X5 unter Windows Vista / 7 und Windows 2008 Server X5 unter Windows Vista / 7 und Windows 2008 Server Die Benutzerkontensteuerung (später UAC) ist ein Sicherheitsfeature, welches Microsoft ab Windows Vista innerhalb ihrer Betriebssysteme einsetzt. Die

Mehr

Startup-Anleitung für Macintosh

Startup-Anleitung für Macintosh Intralinks VIA Version 2.0 Startup-Anleitung für Macintosh Intralinks-Support rund um die Uhr USA: +1 212 543 7800 GB: +44 (0) 20 7623 8500 Zu den internationalen Rufnummern siehe die Intralinks-Anmeldeseite

Mehr

Rembo/mySHN. Version 2.0 Kurzanleitung. das selbstheilende Netzwerk. Stand: 01.05.2006. my selfhealing network

Rembo/mySHN. Version 2.0 Kurzanleitung. das selbstheilende Netzwerk. Stand: 01.05.2006. my selfhealing network Rembo/mySHN Version 2.0 Kurzanleitung das selbstheilende Netzwerk my selfhealing network Stand: 01.05.2006 Postanschrift: SBE network solutions GmbH Edisonstrasse 21 74076 Heilbronn IV Inhalt Kurzanleitung...i

Mehr

CFS und TCFS. 2 kryptografische Dateisysteme für Unix von der Idee zur Anwendung

CFS und TCFS. 2 kryptografische Dateisysteme für Unix von der Idee zur Anwendung CFS und TCFS 2 kryptografische Dateisysteme für Unix von der Idee zur Anwendung CFS und TCFS 1. Ziele des Dateisystems 2. CFS als Lösung 3. CFS in der Anwendung 4. Verbesserungen bei TCFS 5. Anwendung

Mehr

Digitale Forensik. Gerhard Klostermeier. Hochschule für Technik und Wirtschaft Aalen. 18. Juli 2013

Digitale Forensik. Gerhard Klostermeier. Hochschule für Technik und Wirtschaft Aalen. 18. Juli 2013 Digitale Forensik Gerhard Klostermeier Hochschule für Technik und Wirtschaft Aalen 18. Juli 2013 Digitale Forensik, G. Klostermeier, 18. Juli 2013 1 / 21 Inhalt 1 Forensik Definitionen Ziele 2 Digitale

Mehr

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr.

TimeMachine. Installation und Konfiguration. Version 1.4. Stand 21.11.2013. Dokument: install.odt. Berger EDV Service Tulbeckstr. Installation und Konfiguration Version 1.4 Stand 21.11.2013 TimeMachine Dokument: install.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor

Mehr

Firmware. Dokument-Version 1

Firmware. Dokument-Version 1 Fortinet TFTP Prozess Datum 02/12/2011 11:01:00 Hersteller Modell Type(n) Fortinet Fortigate Firmware Copyright Autor Boll Engineering AG, Wettingen mp Dokument-Version 1 Fortinet TFTP Prozess Dieser Artikel

Mehr

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München

TimeMachine. Time CGI. Version 1.5. Stand 04.12.2013. Dokument: time.odt. Berger EDV Service Tulbeckstr. 33 80339 München Time CGI Version 1.5 Stand 04.12.2013 TimeMachine Dokument: time.odt Berger EDV Service Tulbeckstr. 33 80339 München Fon +49 89 13945642 Mail rb@bergertime.de Versionsangaben Autor Version Datum Kommentar

Mehr

1CONFIGURATION MANAGEMENT

1CONFIGURATION MANAGEMENT 1CONFIGURATION MANAGEMENT Copyright 11. Februar 2005 Funkwerk Enterprise Communications GmbH Bintec Benutzerhandbuch - VPN Access Reihe Version 1.0 Ziel und Zweck Haftung Marken Copyright Richtlinien und

Mehr

Installationsanleitung für den Online-Backup Client

Installationsanleitung für den Online-Backup Client Installationsanleitung für den Online-Backup Client Inhalt Download und Installation... 2 Login... 4 Konfiguration... 5 Erste Vollsicherung ausführen... 7 Webinterface... 7 FAQ Bitte beachten sie folgende

Mehr

Login - Passwort für Windows vergessen? Recover your Passwort 2002 by M.Rogge

Login - Passwort für Windows vergessen? Recover your Passwort 2002 by M.Rogge Login - Passwort für Windows vergessen? Recover your Passwort 2002 by M.Rogge Mit diesem kleinen Bericht möchte ich Ihnen aufzeigen, welche Möglichkeiten Sie haben um Ihr Passwort von WindowsXP oder Windows2000

Mehr

INSTALLATION und BENUTZUNG von REAL VNC 3.3.5-7

INSTALLATION und BENUTZUNG von REAL VNC 3.3.5-7 INSTALLATION und BENUTZUNG von REAL VNC 3.3.5-7 Einleitung: Real VNC ist ein Remote Programm das zur Fernwartung von PCs über das Internet verwendet werden kann. It is fully cross-platform das heißt man

Mehr

Datenwiederherstellung von Festplatten des DNS-323

Datenwiederherstellung von Festplatten des DNS-323 Datenwiederherstellung von Festplatten des DNS-323 Inhalt DNS-323 DATENWIEDERHERSTELLUNG MIT KNOPPIX 5.1.1...2 ALLGEMEINE INFORMATIONEN...2 VORGEHENSWEISE IN ALLER KÜRZE...3 AUSFÜHRLICHE VORGEHENSWEISE...3

Mehr

Nutzung der VDI Umgebung

Nutzung der VDI Umgebung Nutzung der VDI Umgebung Inhalt 1 Inhalt des Dokuments... 2 2 Verbinden mit der VDI Umgebung... 2 3 Windows 7... 2 3.1 Info für erfahrene Benutzer... 2 3.2 Erklärungen... 2 3.2.1 Browser... 2 3.2.2 Vertrauenswürdige

Mehr

Zugriff zum Datenaustausch per scponly

Zugriff zum Datenaustausch per scponly Zugriff zum Datenaustausch per scponly Warum scponly? In der Grundkonfiguration der Musterlösung ist es notwendig, dass ein Benutzer, der die Möglichkeit haben soll von außen Dateien mit dem Server auszutauschen,

Mehr

[Geben Sie Text ein] ISCSI Targets mit der Software FreeNAS einrichten

[Geben Sie Text ein] ISCSI Targets mit der Software FreeNAS einrichten [Geben Sie Text ein] ISCSI Targets mit der Software FreeNAS einrichten ISCSI Targets mit der Software FreeNAS einrichten Inhalt FreeNAS Server Vorbereitung... 2 Virtuelle Maschine einrichten... 3 FreeNAS

Mehr

2 Ablauf von Angriffen 29

2 Ablauf von Angriffen 29 xi Einleitung 1 Wer sollte dieses Buch lesen?............................. 2 Was lernt man in diesem Buch?........................... 4 Was lernt man in diesem Buch nicht?....................... 4 Wie

Mehr

Denkschrift zum universellen Nutzen von Speichersta bchen.

Denkschrift zum universellen Nutzen von Speichersta bchen. Denkschrift zum universellen Nutzen von Speichersta bchen. Da hat man nun diverse dieser nützlichen Werkzeuge gebaut. Nur was damit tun? Daten speichern? Sicher dafür sind sie ja gedacht. Aber eigentlich

Mehr

EXPANDIT. ExpandIT Client Control Kurzanleitung. utilities. be prepared speed up go mobile. Stand 14.11.07

EXPANDIT. ExpandIT Client Control Kurzanleitung. utilities. be prepared speed up go mobile. Stand 14.11.07 ExpandIT Client Control Kurzanleitung Stand 14.11.07 Inhaltsverzeichnis ExpandIT Client Control 3 Installationshinweise 3 System-Voraussetzungen 3 Installation 3 Programm starten 6 Programm konfigurieren

Mehr

Alexander Geschonneck. Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären. 3., aktualisierte und erweiterte Auflage. I dpunkt.

Alexander Geschonneck. Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären. 3., aktualisierte und erweiterte Auflage. I dpunkt. Alexander Geschonneck Computer-Forensik Computerstraftaten erkennen, ermitteln, aufklären 3., aktualisierte und erweiterte Auflage I dpunkt.verlag Inhaltsverzeichnis Einleitung 1 Wer sollte dieses Buch

Mehr

Tools are a IT-Pro's Best Friend Diverse Tools, die Ihnen helfen zu verstehen, was auf dem System passiert oder das Leben sonst erleichtern.

Tools are a IT-Pro's Best Friend Diverse Tools, die Ihnen helfen zu verstehen, was auf dem System passiert oder das Leben sonst erleichtern. Tools are a IT-Pro's Best Friend Diverse Tools, die Ihnen helfen zu verstehen, was auf dem System passiert oder das Leben sonst erleichtern. 22.05.2014 trueit TechEvent 2014 1 Agenda Sysinternals allgemeine

Mehr

Hinweise zu A-Plan 2009 SQL

Hinweise zu A-Plan 2009 SQL Hinweise zu A-Plan 2009 SQL Für Microsoft Windows Copyright Copyright 2008 BRainTool Software GmbH Inhalt INHALT 2 EINLEITUNG 3 WAS IST A-PLAN 2009 SQL? 3 WANN SOLLTE A-PLAN 2009 SQL EINGESETZT WERDEN?

Mehr

Windows XP & DNS-323: Zugriff auf die Netzfreigaben 1. Über dieses Dokument

Windows XP & DNS-323: Zugriff auf die Netzfreigaben 1. Über dieses Dokument Windows XP & DNS-323: Zugriff auf die Netzfreigaben 1. Über dieses Dokument Dieses Dokument erklärt, wie Sie auf dem DNS-323 Gruppen und Benutzer anlegen, Freigaben einrichten und diese unter Windows XP

Mehr

Installationsanleitung Tivoli Storage Manager für Linux

Installationsanleitung Tivoli Storage Manager für Linux 11. März 2009, Version 1.0 Installationsanleitung für Linux Verwaltungsdirektion Informatikdienste Installationsanleitung für Linux Inhaltsverzeichnis...1 Installation... 1 Voraussetzungen...1 Ablauf der

Mehr

webpdf für VMware SoftVision Development GmbH Kurfürstenstraße 15 36037 Fulda, Deutschland Tel.: +49 (0)661 25100-0 Fax: +49 (0)661 25100-25

webpdf für VMware SoftVision Development GmbH Kurfürstenstraße 15 36037 Fulda, Deutschland Tel.: +49 (0)661 25100-0 Fax: +49 (0)661 25100-25 webpdf für VMware SoftVision Development GmbH Kurfürstenstraße 15 36037 Fulda, Deutschland Tel.: +49 (0)661 25100-0 Fax: +49 (0)661 25100-25 E-Mail: sales@softvision.de Web: www.softvision.de Inhaltsverzeichnis

Mehr

Inhalt des Admin-Sticks

Inhalt des Admin-Sticks Inhalt des Admin-Sticks Der Admin-Stick besteht aus zwei Bereichen: 1. Portable Programme für Windows Hier sind Programme für den Administrator, die unter einem laufenden Windows direkt vom Stick aus ausgeführt

Mehr

Erste Schritte Server und automatische Clientinstallation. Auto Shutdown Manager Version 5

Erste Schritte Server und automatische Clientinstallation. Auto Shutdown Manager Version 5 Erste Schritte Server und automatische Clientinstallation Auto Shutdown Manager Version 5 Serverinstallation zuerst Laden Sie zuerst die neuste Testversion herunter: http://www.enviprot.com/en/free-downloads-auto-shutdown-manager-green-it.html

Mehr

Installationsanleitung biz Version 8.0.0.0

Installationsanleitung biz Version 8.0.0.0 bizsoft Büro Software A-1040 Wien, Waaggasse 5/1/23 D-50672 Köln, Kaiser-Wilhelm-Ring 27-29 e-mail: office@bizsoft.de internet: www.bizsoft.de Installationsanleitung biz Version 8.0.0.0 Die biz Vollversion

Mehr

storage management (c) Till Hänisch 2003, BA Heidenheim

storage management (c) Till Hänisch 2003, BA Heidenheim storage management (c) Till Hänisch 2003, BA Heidenheim warum? haenisch@susi:~ > df Filesystem 1k-blocks Used Available Use% Mounted on /dev/sda3 35115800 16351708 16980076 50% / /dev/sda1 23300 3486 18611

Mehr

MEINE EKR ID. Erläuterungen zur Software TRUECRYPT

MEINE EKR ID. Erläuterungen zur Software TRUECRYPT MEINE EKR ID Erläuterungen zur Software TRUECRYPT Truecrypt TrueCrypt ist eine kostenlose Software zur vollständigen oder teilweisen Verschlüsselung von Festplatten oder anderen Datenträgern. Es erzeugt

Mehr

Securepoint Security Systems

Securepoint Security Systems HowTo: Virtuelle Maschine in VMware für eine Securepoint Firewall einrichten Securepoint Security Systems Version 2007nx Release 3 Inhalt 1 VMware Server Console installieren... 4 2 VMware Server Console

Mehr

Kap. 8: Dateisysteme (E3 EXT2 Dateisystem) 1

Kap. 8: Dateisysteme (E3 EXT2 Dateisystem) 1 Kap. 8: Dateisysteme (E3 EXT2 Dateisystem) 1 E 3 EXT2 Dateisystem Lernziele Aufbau des ext2-dateisystems kennenlernen Verwaltungsstrukturen auf dem Datenträger analysieren Hard- und Softlinks Übungsumgebung

Mehr

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2

disk2vhd Wie sichere ich meine Daten von Windows XP? Vorwort 1 Sichern der Festplatte 2 disk2vhd Wie sichere ich meine Daten von Windows XP? Inhalt Thema Seite Vorwort 1 Sichern der Festplatte 2 Einbinden der Sicherung als Laufwerk für Windows Vista & Windows 7 3 Einbinden der Sicherung als

Mehr

FlowFact Alle Versionen

FlowFact Alle Versionen Training FlowFact Alle Versionen Stand: 29.09.2005 Brief schreiben, ablegen, ändern Die FlowFact Word-Einbindung macht es möglich, direkt von FlowFact heraus Dokumente zu erzeugen, die automatisch über

Mehr

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN KeePass the free, open source, light-weight and easy-to-use password manager 19.01.2010 10:15-10:45 Uhr Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN Agenda Einführung Versionen Features Handhabung Mobile

Mehr

Firewall Implementierung unter Mac OS X

Firewall Implementierung unter Mac OS X Firewall Implementierung unter Mac OS X Mac OS X- Firewall: Allgemeines * 2 Firewall- Typen: * ipfw * programmorientierte Firewall * 3 Konfigurations- Möglichkeiten * Systemeinstellungen * Dritthersteller-

Mehr

Schnellstartanleitung. Version R9. Deutsch

Schnellstartanleitung. Version R9. Deutsch System Backup and Recovery Schnellstartanleitung Version R9 Deutsch März 19, 2015 Agreement The purchase and use of all Software and Services is subject to the Agreement as defined in Kaseya s Click-Accept

Mehr

Access und OpenOffice.org

Access und OpenOffice.org Access-Datenbanken in OpenOffice.org 1.1 einbinden Herausgegeben durch das OpenOffice.org Germanophone-Projekt Autoren Autoren vorhergehender Versionen Timo Kozlowski Alle in diesem Dokument erwähnten

Mehr

SPECTRUM 4.0 Netzwerk-Installation

SPECTRUM 4.0 Netzwerk-Installation SPECTRUM 4.0 Netzwerk-Installation Allgemeines zu SPECTRUM 4.0 - Lieferumfang - Lizenzrechner + CodeMeter-Stick - Programmversion - Einzelkomponenten - Begriffe Basisdaten, Projektverzeichnis 1. Einrichten

Mehr

Verwenden des Acer erecovery Managements

Verwenden des Acer erecovery Managements 1 Acer erecovery Management Das vom Software-Team von Acer entwickelte Dienstprogramm Acer erecovery Management bietet Ihnen eine einfache, zuverlässige und sichere Methode an, um Ihren Computer mit Hilfe

Mehr

Postgresql. Michael Dienert. 10. Dezember 2007. 1.1 Installationsort der Programme... 1

Postgresql. Michael Dienert. 10. Dezember 2007. 1.1 Installationsort der Programme... 1 Postgresql Michael Dienert 10. Dezember 2007 Inhaltsverzeichnis 1 Übersetzen und Installieren 1 1.1 Installationsort der Programme..................... 1 2 Einrichten einer Testdatenbank 1 2.1 Das Datenbank-Cluster.........................

Mehr

Wie benutzt der NetWorker Remote Procedure Calls (RPC)?

Wie benutzt der NetWorker Remote Procedure Calls (RPC)? NetWorker - Allgemein Tip 298, Seite 1/7 Wie benutzt der NetWorker Remote Procedure Calls (RPC)? Der NetWorker - wie jede andere Client/Server (Backup) Software - benutzt immer diese zwei grundlegenden

Mehr

Partitionieren und Formatieren

Partitionieren und Formatieren Partitionieren und Formatieren Auf eine Festplatte werden Partitionen angelegt, damit Daten an verschiedenen (relativ) unabhängigen Orten gespeichert werden können oder dass mehrere unabhängige Betriebssysteme

Mehr

How To: Windows Imaging mithilfe von DSM7

How To: Windows Imaging mithilfe von DSM7 Page: 1 How To: Windows Imaging mithilfe von DSM7 Basierend auf Best Practice Erfahrungen Copyright 2012 by Aton Consult. Alle Rechte vorbehalten. Diese Unterlagen dürfen ohne vorherige schriftliche Genehmigung

Mehr

Kann Ihr Rechner von USB-Laufwerken booten? U 79/3. Der Vorgang läuft in der Kommandozeile ab U 79/3

Kann Ihr Rechner von USB-Laufwerken booten? U 79/3. Der Vorgang läuft in der Kommandozeile ab U 79/3 USB-Rettungs- und U 79/1 USB-Laufwerke insbesondere USB-Sticks erschließen sich immer mehr Bereiche, in denen sie eine nützliche Funktion erfüllen können. Eine neue Möglichkeit stellt die Fähigkeit dar,

Mehr

Inhaltsverzeichnis Abbildungsverzeichnis

Inhaltsverzeichnis Abbildungsverzeichnis Inhaltsverzeichnis Abbildungsverzeichnis... 1 1 Eigener lokaler Webserver... 2 1.1 Download der Installationsdatei... 2 1.2 Installation auf externer Festplatte... 2 1.3 Dienste starten... 5 1.4 Webserver

Mehr

Anleitung # 4 Wie mache ich ein Update der QBoxHD Deutsche Version

Anleitung # 4 Wie mache ich ein Update der QBoxHD Deutsche Version Anleitung # 4 Wie mache ich ein Update der QBoxHD Deutsche Version Stand: 25. Juni 2009 Voraussetzung Das Update ist notwendig, um Fehler und Neuentwicklungen für die QBoxHD zu implementieren. Es gibt

Mehr

Truecrypt. 1. Was macht das Programm Truecrypt?

Truecrypt. 1. Was macht das Programm Truecrypt? Truecrypt Johannes Mand 09/2013 1. Was macht das Programm Truecrypt? Truecrypt ist ein Programm, das Speicherträgern, also Festplatten, Sticks oder Speicherkarten in Teilen oder ganz verschlüsselt. Daten

Mehr