Ankündigungen

Transkript

1 Ankündigungen Morgen: Vortrag von Thomas Obkircher, PWC, Frankfurt Übung 2 nächste Woche: Findet am Donnerstag im Vorlesungsslot statt (also , 15:30-17:00) im PI Pool Dafür findet die Vorlesung ausnahmsweise am Freitag statt ( , 10:15-11:45) Grund: ungünstige Belegung des PI Pools am Freitag Inhalt von Übung 2: Analyse von drei einfache Images von einem USB-Stick. Als Hilfsmittel wird eine BackTrack Live DVD zur Verfügung gestellt. Auflösung von Übung 1 im Rahmen der Vorstellung von Übung 3 Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 118

2 Festplattentechnologie Übersicht Boot Prozess, Arten von Festplatten, Standards Sicherung (Preservation) von Festplattendaten Allgemeine Methodik und Verlässlichkeit der Tools Lesen des Originals Schreiben der Kopie Integrität der Kopie Festplattenanalyse Festplatten und Partitionen Dateisystemanalyse FAT, NTFS, Ext2/Ext3 Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 119

3 FAT Eines der einfachsten Dateisysteme Primär verwendet in DOS und Windows 9x Auch noch unterstützt durch NT, 2000, XP Man weiss normalerweise viel über der Aufbau von FAT, nicht aber über die Stellen, wo man Daten verstecken kann FAT verwendet wenige sehr einfache Datenstrukturen Folgt nicht ganz dem Schema der fünf Kategorien Beispiel: Verzeichniseinträge vermischen Dateinamen und Metadaten Es gibt auch keine Applikationsdaten in FAT Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 120

4 Basiskonzepte Jede Datei und jedes Verzeichnis in FAT besitzt einen Verzeichniseintrag (directory entry) Enthält Dateinamen, Dateigröße, Verweis auf ersten Dateisystemblock und andere Metadaten Verweise auf die folgenden Dateisystemblöcke (Cluster) werden in der FAT (File Allocation Table) gespeichert Drei verschiedene Versionen von FAT: FAT12, FAT16, FAT32 Unterscheidung auf Basis der Größe eines FAT-Eintrages Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 121

5 Überblick [Carrier Fig. 9.1] Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 122

6 Layout eines FAT-Dateisystems [Carrier Fig. 9.2] Drei physische Bereiche: Reservierter Bereich (reserved area) FAT-Bereich (FAT area) Datenbereich (data area) Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 123

7 Dateisystemdaten Erster Sektor im reservierten Bereich ist der Boot- Sektor Manchmal auch BIOS Parameter Block (BPB) genannt Dort stehen viele Daten zum Dateisystem Aber nicht, ob es FAT12, FAT16 oder FAT32 ist Man muss bestimmte Berechnungen anstellen, um das rauszufinden Prinzipielle Unterschiede FAT12/16 und FAT32 FAT32 enthält Backup-Kopie der FAT FAT32 enthält eine FSINFO-Datenstruktur zum schnellen Auffinden von unbelegten Dateisystemblöcken Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 124

8 Essentielle Daten im Boot-Sektor Anfangsadresse des reservierten Bereichs Sektor 0 des Laufwerks Größe des reservierten Bereichs steht im Boot Sektor In FAT12/16 typischerweise nur ein Sektor In FAT32 typischerweise viel mehr FAT-Bereich enthält eine oder mehrere FATs Größe berechnet durch Anzahl der FATs mal Größe einer FAT Beide Angaben stehen im Boot-Sektor Anschließend beginnt der Datenbereich Organisiert in Dateisystemblöcke (Cluster = mehrere Sektoren) Anzahl von Sektoren pro Cluster steht im Boot-Sektor Datenbereich leicht unterschiedlich in FAT12/16 und FAT32 FAT12/16: Anfang des Datebereichs ist Wurzelverzeichnis (root directory) FAT32: Wurzelverzeichnis kann überall sein (wo steht im Boot-Sektor) Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 125

9 FAT-Dateisystemlayout [Carrier Fig. 9.3] Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 126

10 Nicht-essentielle Daten im Boot-Sektor OEM-Name: Tools, die das Dateisystem erzeugt haben, hinterlassen manchmal hier einen String MSWIN4.0 für Windows95 MSWIN4.1 für Windows98 MSDOS5.0 für XP und 2000 mkdosfs für Linux mkfs.msdos Manchmal Zufallswerte für USB-Tokens oder Fabrikatnamen für Speicherkarten und digitale Kameras Jeder kann mit einem Hex-Editor diese Daten leicht ändern Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 127

11 Nicht-essentielle Daten im Boot-Sektor 4-Byte Seriennummer Eindeutige Nummer Hängt von Erzeugungszeit und weiterer Zauberei ab Wird verwendet, um zu prüfen, ob ein Wechselmedium getauscht wurde 8-Zeichen-String FAT12, FAT16 oder FAT32 Angabe muss nicht stimmen 11-Zeichen Laufwerksname (volume label string) Benutzervergebener Name des Laufwerks Wird auch im Wurzelverzeichnis abgespeichert Windows XP verändert bei späterer Umbenennung nur den Eintrag im Wurzelverzeichnis Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 128

12 Boot Code Wird vom Boot Code im MBR angesprungen Erste drei Bytes des Boot-Sektors enthalten eine JMP-Anweisung Springt hinter die Konfigurationsdaten auf den Rest vom Boot Code Verschiedene Größen für den Boot Code im Boot-Sektor: FAT12/16: Bytes im Boot-Sektor FAT32: Bytes und ggf. weitere Sektoren hinter dem Boot- Sektor FAT-Dateisysteme haben auch dann Boot Code, wenn sie nicht bootbar sind Maschinencode gibt nur auf dem Bidschirm aus, dass Laufwerk nicht bootbar ist Ausgabe der Boot-Sektor-Daten mit fsstat (Sleuthkit) Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 129

13 Analyse des Boot-Sektors Wesentlich bei der Analyse des Boot-Sektors ist die Bestimmung des Dateisystemtyps (FAT12, FAT16, FAT32) die Bestimmung des Ortes, an denen FAT und Datenblöcke beginnen Man kann hier nicht viele Daten verstecken Dort wo normalerweise Boot Code liegt (ca. 450 Bytes) In FAT32 werden auch noch viele Sektoren hinter dem Boot-Sektor reserviert Reservierter Bereich wird bei Erstellung normalerweise gelöscht Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 130

14 Backup-Boot-Sektor in FAT32 FAT32 haben Backup-Boot-Sektor Normalerweise in Sektor 6 Vergleich des Original-Boot-Sektors mit Kopie kann händische Modifikationen verraten Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 131

15 Analysebeispiel Bei einem Verdächtigen wird im Schreibtisch eine Festplatte sichergestellt Die ersten 32 Sektoren sind unlesbar Vermutlich hat der Verdächtige die Festplatte nach einem Festplattenschaden ausgebaut und verlegt Auf dem Schreibtisch läuft ein Computer mit Windows ME Vermutlich enthält die Festplatte also ein FAT-Dateisystem Suche nach typischer Signatur 0x55 und 0xAA in den letzten beiden Bytes des Boot-Sektors Verwende sigfind (Sleuthkit) oder automatische Tools Vorsicht vor vielen false positives Dort dann nach Boot-Sektoren weitersuchen Kann so auch ohne Partitionstabelle die Partitionen rekonstruieren Einfacher in FAT32, weil 0x55 0xAA doppelt mit fest definiertem Abstand auftaucht (Original Boot-Sektor und Backup-Boot-Sektor) Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 132

16 Inhaltsdaten Beschreiben Datei- und Verzeichnisdaten Organisiert in Dateisystemblöcken (Cluster) Zweierpotenz an Festplattenblöcken (Sektoren): 1, 2, 4, Microsoft erlaubt angeblich maximal 32 Sektoren pro Cluster Cluster beginnen bei Adresse 2 Keine Cluster mit Adresse 0 und 1 Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 133

17 Finden des ersten Clusters (Cluster 2) In FAT liegt der erste Cluster nicht am Anfang des Dateisystems Logische Laufwerksadresse ist nicht gleich der logischen Dateisystemadresse FAT12/16: Erste Sektoren des Datenbereichs enthalten Wurzelverzeichnis Hat feste Größe, wird bei Erstellung des Dateisystems angelegt Anzahl der Einträge im Wurzelverzeichnis steht im Boot- Sektor Cluster 2 beginnt im folgenden Sektor FAT32: Cluster 2 beginnt mit erstem Sektor des Datenbereichs Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 134

18 Beispiel [Carrier Fig. 9.5] Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 135

19 Berechnung der Sektorennummer Gegeben: Logische Laufwerksadresse A von Cluster 2 Anzahl der Sektoren pro Cluster SpC Cluster-Adresse C Gesucht: Logische Laufwerksadresse von Cluster C Formel: (C - 2) * SpC + A Umrechnung von logischer Laufwerksadresse S in Nummer des Clusters: ((S - A) / SpC) + 2 (Annahme: Ganzzahldivision) Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 136

20 Status der Cluster: FAT Belegt/Unbelegt-Status der Cluster wird in FAT gespeichert FAT hat einen Eintrag pro Cluster im Datenbereich Eintrag abhängig von Dateisystemtyp: FATx: x Bit Werte des Eintrages und Bedeutung: 0: Cluster ist unbelegt 0xFF7 (FAT12) bzw. 0xFFF7 (FAT16) bzw. 0x0FFF FFF7 (FAT32): Cluster ist beschädigt Alle anderen Werte bedeutet: Cluster ist belegt Reihenfolge der Belegung der Cluster hängt vom Betriebssystem ab Wird der Status in FAT auf unbelegt gesetzt, wird der Inhalt des Clusters normalerweise nicht gelöscht Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 137

21 Analyse Suche nach allen unbelegten Clustern: FAT durchgehen und zu allen 0-Einträgen die entsprechenden Cluster auslesen Als beschädigt markierte Cluster sollten ebenfalls untersucht werden Festplatten kümmern sich heute selbst um defekte Sektoren Programme wie Scandisk oder Format lassen derart markierte Sektoren oft unbehelligt File System Slack: Hinter dem Ende des letzten Clusters könnten sich noch (wenige) unbenutzte Sektoren befinden Zwischen dem Ende des letzten validen FAT-Eintrages und dem Beginn des Datenbereichs (oder der Backup-FAT) können sich ebenfalls Daten verstecken Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 138

22 Metadaten Für jede Datei und jedes Verzeichnis gibt es einen Verzeichniseintrag (directory entry) 32 Byte Länge Enthält Attribute Größe Logische Dateisystemadresse des ersten Clusters Zugriffszeiten Verzeichniseintrag ist ein Zwitter zwischen Dateinamens- und Metadaten-Kategorie Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 139

23 Attribute Essentielle Attribute: Verzeichnis (Ja/Nein) Langer Dateiname (Ja/Nein) Laufwerksname Sollte im System nur ein Mal vorhanden sein Falls keiner der essentiellen Attribute gesetzt ist, gehört der Eintrag zu einer normalen Datei Nicht essentielle Attribute: read only hidden system archive Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 140

24 Zugriffszeiten Drei Zeitstempel: created, last accessed, last written Zeitangaben bezüglich lokaler Uhr (keine Umrechnung notwendig) Unterschiedliche Granularität: created: Optionale Zeitangabe, genau bis zu Zehntelsekunden last accessed: Optional, genau auf den Tag last written: Laut Spezifikation notwendig, genau auf 2 Sekunden Es gibt keine genauen Vorgaben, welche Operationen welche Zeitstempel wie setzen Gibt viele unterschiedliche Vorgehensweisen Windows9x und NT, 2000, XP aktualisieren alle Zeitstempel DOS und Windows 3.1 aktualisieren nur last written Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 141

25 Belegungsstatus und Verkettung Ist ein Verzeichniseintrag unbelegt, enthält das erste Byte den Wert 0xE5 Erster Buchstabe des Namens geht beim Löschen verloren Verzeichniseintrag enthält Zeiger auf ersten Cluster der Datei FAT-Struktur enthält Verweise auf die folgenden Cluster FAT-Eintrag, der nicht 0 ist, zeigt auf den jeweils nächsten Cluster Ausnahmen: EOF bzw. beschädigt -Markierung Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 142

26 Beispiel [Carrier Fig. 9.9] Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 143

27 Maximale Größe von FAT Maximale Größe des Dateisystems basiert auf der maximalen Größe eines FAT-Eintrages FAT32 benutzt 28 Bit für die Adressierung von Clustern Cluster maximal Multiplizieren mit Anzahl der Sektoren im Cluster ergibt maximale Dateisystemgröße Auf großen Platten müssen die Cluster viele Sektoren enthalten Typischerweise große interne Fragmentierung Viel File Slack Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 144

28 Verzeichnisse Wenn ein neues Verzeichnis angelegt wird, dann wird ein neuer Cluster belegt und ausgenullt Größenfeld im Verzeichniseintrag ist ohne Bedeutung und sollte immer 0 sein Größe des Verzeichnisses ist nur durch Abschreiten der Clusterkette berechenbar Erste beide Einträge im Verzeichnis sind für. und... = aktuelles Verzeichnis.. = Elternverzeichnis Zeitstempel werden nie verändert Verwirrend, da Zeitstempel des Verzeichniseintrages im Elternverzeichnisses verändert werden können Zwei widersprüchliche Zeitstempel... Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 145

29 Verzeichniseinträge Problematisch: Name wiederherstellen Erstes Zeichen ist gelöscht Beispiel: Originaldateinamen A-1.DAT und B-1.DAT Erzeugt Namenskonflikt Wenn Verzeichnis gelöscht, dann wird nur der erste Buchstabe auf bestimmten Wert gesetzt Clusteradresse stimmt noch Kann trotzdem auf den Inhalt des Verzeichnisses zugreifen Problem: Verzeichniseintrag wird wiederverwendet Cluster des ersten Verzeichnisses sind jetzt nicht mehr so einfach auffindbar Man kann systematisch jeden unbelegten Cluster nach. und.. Einträgen durchsuchen So kann man gelöschte Verzeichnisse finden, auch im slack space Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 146

30 Verschiedenes Ein Verzeichniseintrag aus Nullen zeigt das Ende der Verzeichniseinträge an Hinter diesem Eintrag können auch Daten versteckt sein Logische Suche auf allen Sektoren findet auch diese Daten DEFRAG-Werkzeug kompaktiert Verzeichniseinträge und permutiert Cluster, so dass möglichst lange Ketten von Clustern hintereinanderliegen Kurz nach dem Aufruf von DEFRAG ist die Chance hoch, gelöschte Dateien vollständig zu rekonstruieren, weil sich die anderen Cluster in unmittelbarer Nähe befinden Ansonsten findet man oft nur den ersten Cluster Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 147

31 Laufwerksname Verzeichnisname kann Laufwerksnamen enthalten Normalerweise im Wurzelverzeichnis, kann aber auch überall sonst stehen Man kann also auch in Unterverzeichnissen Laufwerksnamen unterbringen und dort Daten verstecken Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 148

32 Dateinamen Stecken auch in Verzeichniseinträgen drin Normalerweise in 8.3-Namenskonvention 8 Zeichen Dateiname, 3 Zeichen Suffix Lange Dateinamen in FAT hinzudefiniert Spezieller Verzeichniseintrag: long file name (LFN) Enthalten bis zu 13 Unicode Zeichen in UTF-8 (je 2 Byte) Wenn ein Eintrag mehr als 13 Zeichen hat, werden mehrere LFN-Einträge angelegt Jeder LFN hat auch einen short file name (SFN) Verzeichniseintrag SFN notwendig, weil LFN-Einträge keine Zeiten, Größen etc. enthalten Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 149

33 Beispiel [Carrier Fig. 9.15] LFN-Einträge kommen alle vor dem SFN-Eintrag Enthalten Checksumme, die sich auf den SFN-Eintrag beziehen Beispiel: My Long File Name.rtf Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 150

34 Analyse Ablaufen aller Dateinamen: Finden des Wurzelverzeichnisses Ablaufen der Verzeichnishierarchie LFN-Einträge können versteckte Daten enthalten Falls sie sich nicht (mittels Checksumme) auf einen SFN beziehen Aufpassen, dass LFNs in Unicode abgespeichert sind Und in Fragmenten von jeweils 13 Zeichen abgelegt werden Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 151

35 Dateierstellung/-löschen im Überblick [Carrier Fig. 9.17] Erzeuge dir1\file1.dat Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 152

36 Details Lese Boot-Sektor, identifiziere Position von FAT, Datenbereich und Wurzelverzeichnis Suche nach dir1 im Wurzelverzeichnis (Cluster 90) Lese Inhalt von Cluster 90, suche nach unbelegtem Verzeichniseintrag Belege Verzeichniseintrag mit file1.dat Belege Cluster für den Dateiinhalt im FAT Belege Cluster schrittweise mit Dateninhalt Erzeuge entsprechende Verkettung der FAT-Einträge Zum Löschen: Erstes Zeichen von file1.dat auf _ setzen FAT-Einträge auf 0 setzen Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 153

37 Bestimmung des FAT-Typs Offiziell durch Zählen der Anzahl der Cluster im Dateisystem Berechenbar aus der Größe des Datenbereichs und der Größe des Clusters in Sektoren Falls weniger als 4085 Cluster - FAT12 Falls mehr als 4085 und weniger als FAT16 Falls mehr als FAT32 Beim Formatieren gibt man an, ob FAT16/FAT32 gewählt werden soll Windows wählt dann die Größe des Clusters so, dass die Zahlen in die oben beschriebenen Bereiche fallen Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 154

38 Zusammenfassung FAT FAT hat gut dokumentierte einfache Datenstrukturen Modifikation der Zugriffszeiten ist nicht gut dokumentiert Allokationsstrategien für unbelegte Blöcke sind ebenfalls hochgradig Betriebssystemanhängig Erschwert Suche nach gelöschren Dateiinhalten Genaues Layout der Datenstrukturen: Siehe Carrier Kapitel 10 Gute Quelle auch: Wikipedia, Eintrag FAT Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 155

39 Festplattentechnologie Übersicht Boot Prozess, Arten von Festplatten, Standards Sicherung (Preservation) von Festplattendaten Allgemeine Methodik und Verlässlichkeit der Tools Lesen des Originals Schreiben der Kopie Integrität der Kopie Festplattenanalyse Festplatten und Partitionen Dateisystemanalyse FAT, NTFS, Ext2/Ext3 Vorlesung Forensische Informatik, Frühjahrssemester 2010, Universität Mannheim, Seite 156