Forensische Informatik Vorlesung im Frühjahrssemester 2010 Universität Mannheim

Ähnliche Dokumente
Digitale Forensik Schulung Bundespolizeiakademie März 2009

Übersicht. Festplattenanalyse. Dateisystemanalyse. Tools. Festplatten und Partitionen NTFS

Digitale Forensik. Teil 5: Datenträgersicherung (inklusive Übung) Schulung Bundespolizeiakademie Juli 2007

Forensik in der akademischen Forschung und Ausbildung

Computerforensik Vorlesung im Frühjahrssemester 2007

Digitale Forensik. Teil 1: Organisatorisches. Schulung Bundespolizeiakademie Juli 2007

Übersicht. Kriminaltechnik und forensische Wissenschaften

Vorlesung Computerforensik. Kapitel 0: Formalia und Inhalt

Vorlesung Computerforensik. Kapitel 0: Formalia und Inhalt

Die Bilder sind weg! Erste Erlebnisse mit Data-Re

Computerforensik. Wintersemester 2010/2011

Der Wettlauf zwischen Angreifern und Verteidigern in der digitalen Forensik

Selektion vor der Sicherung

Post Mortem Analysen. OpenSource Software

Alexander Geschonneck. Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären. 3., aktualisierte und erweiterte Auflage. I dpunkt.

Digitale Forensik. Spurensuche mittels Sleuthkit und Autopsy. Michael Hirschbichler

Digitale Forensik. Teil 2: Forensik und digitale Spuren. Schulung Bundespolizeiakademie Juli 2007

SYNerity Analyse von Unix-Rechnern

Ankündigungen

Digitale Forensik Schulung Bundespolizeiakademie März 2009

Digitale Forensik. Teile 7 und 8: Dateisystemanalyse und (kommerzielle) Tools. Schulung Bundespolizeiakademie Juli 2007

Arbeitskreis / Forum Security 45. DFN-Betriebstagung, Stefan Kelm stefan.kelm@secorvo.de

Forensische Informatik Vorlesung im Frühjahrssemester 2010 Universität Mannheim

Alexander Geschonneck. Computer-Forensik. Systemeinbrüche erkennen, ermitteln, aufklären. fijl dpunkt.verlag

2 Ablauf von Angriffen 29

COMPUTER- FORENSIK HACKS

BACKUP Datensicherung unter Linux

Übersicht. Boot Prozess, Arten von Festplatten, Standards

Digitale Forensik. Veranstaltung. Sicherheit Rechnernetzen

Digitale Forensik mit Open Source Tools. für Anfänger!!!!!

Linux in der Computer-Forensik

Bericht erstellt von: Version: 1.0 Letzte Änderung:

GJU IT-forensics course

Link:

Systeme 1. Kapitel 3 Dateisysteme WS 2009/10 1

Einführung in Betriebssysteme UNIX AM BEISPIEL LINUX

Linux in a Nutshell. Exkurs

SLT Schwabacher Linuxtage 2009 Herzlich willkommen. Peter Botschafter / sudo

Forensik-Tools. Überblick über Open-Source Tools zur forensischen Datenträgeruntersuchung UNIVERSITÄT

Top 3 Herausforderungen bei der forensischen Analyse von macos

Was machen wir heute? Betriebssysteme Tutorium 11. Mounten: Vorher. Frage 11.1.a

OpenSource Forensik-Werkzeuge

Forensische Informatik

Systemvirtualisierungen in der IT-Forensik

OXYGEN FORENSICS OXYGEN FORENSIC KIT

Freie Software: Was bringt s mir? Peter Bubestinger, David Ayers. 17. Mai 2008

Vortrag WAP. Computer-Forensik. Forensische Analyse im Detail. 20. Jänner Angewandte Informatik. Computer- Forensik

Übungsblatt 1. (Stapel- bzw. Batchbetrieb)

EXPERTS IN DATA STORAGE

Inhaltsverzeichnis. Installation: Internet Daten: 3 Informationen von Web-Seite. 4 Registrierung. 4 Registrierungsschlüssel 5 Registrierungsschlüssel

Freeware und sichere Quellen

Fachgruppe Elektronik und EDV im BVS Herbsttagung 2003 im Bundesministerium für Wirtschaft und Arbeit

Archivierung mit PDF und XPS. Formate, Standards und Prozessabläufe

Multibooting mit Windows 2000 und Windows XP

<Insert Picture Here> MySQL Workbench für Einsteiger

Das Open Source CMS. Gregor Walter.

WINDOWS 10. Modul 4 System Know-How

IT-Forensische Analysen von Festplatten und Handys

Revisionskontrollsystem GIT

EasyWebNG - Screenshots

Computer-Forensik mit Open-Source-Tools. Digitale Autopsie. Computer-Forensik mit Open-Source-Tools. Artikel aus c't 7/2004, S.200. Holger Morgenstern

ERWEITERUNG CONTAO INDEXIERUNG - SUCHE AUF OFFICE- UND PDF-DATEIEN

Ruby Die bebilderte Anleitung

Dateisystem: Einführung

Dateisystem: Einführung

Einheit 1. Einführung in R. IFAS JKU Linz c 2018 Programmieren mit Statistischer Software 1 0 / 11

WINDOWS 10. Modul 4 System Know-How

WINDOWS BETRIEBSSYSTEM

Einführung in Dateisysteme

IT-Incident Management & IT-Forensics

ZPN Zentrale Projektgruppe Netze am Ministerium für Kultus, Jugend und Sport Baden-Württemberg

Untersuchungen am Dateisystem HFS Plus

Version Handbuch RAMSyncDrive V 1.0

Einführung in Subversion

Zusatzkurs im SS 2012

Open Source Software für den Unterricht

Unix/Linux Grundlagen für Einsteiger

Was machen wir heute? Betriebssysteme Tutorium 10. Frage 10.1.a. Frage 10.1.a

Banana Pro von Festplatte starten

Linux gefahrlos testen

Einfache Datensicherung für Personen, welche sich mit der Flugsimulation beschäftigen.

Einführung in Subversion

Inhalt. 1. Was ist LibrePCB? 2. Motivation. 3. Ziele. 4. Aktueller Stand. 5. Live Demo. LibrePCB Free & Open-Source PCB Designer

UNIX. Linux. UNIX Derivate, die wichtigsten. Free BSD (Open) Solaris MacOS X Linux. UNIX Dateisystem, wichtige Ordner.

elux Live-Stick Erstellen und Anpassen

X-Ways Forensics. Kurzanleitungen

QUICKSLIDE FÜR POWERPOINT FAKTEN FÜR DIE IT

File Carving Grundlagen und neue Techniken.

Computerforensik. Wintersemester 2010/2011

Leitfaden zum Sichern einer Festplatte als Image mit der System Rescue CD

UNIX/Linux Lösung. Mär 14, 17 20:40 Seite 1/6. Prozeßsynchronisation (was ist das?, wo kommt es vor?, Beispiel?):

Vorlesung Computerforensik. Kapitel 6: Prozessmodelle

1 Computer und mobile Endgeräte 1.3 Software und Lizenzierung Computer-Grundlagen mit Windows 10

Installation & Usage. Version 1.0. estickflashtool

Bevor Sie ein Software-Tool einsetzen können, müssen Sie es auf Ihrem PC installieren

Transkript:

Forensische Informatik Vorlesung im Frühjahrssemester 2010 Universität Mannheim Teil 7: (Kommerzielle) Werkzeuge im Überblick Prof. Dr. Felix Freiling Universität Mannheim Lehrstuhl für Praktische Informatik 1 https://pi1.informatik.uni-mannheim.de Name und Datumwww.uni-mannheim.de Seite 1

Ankündigungen 20.5.2010 Vortrag von Bodo Meseke am 21.5.2010 Prüfungstermine Montag 14.6.2010, 10-17 Uhr Montag 12.7.2010, 10-17 Uhr Montag 30.8.2010, 10-17 Uhr Bitte in Liste im Sekretariat PI1 eintragen (liegt ab nächster Woche aus) Aufstockungsmöglichkeit 6 SWS (8 ECTS) für Diplomer Bitte bei mir melden Auch bei Software Reverse Engineering möglich Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 2

Motivation Ermittler werden mit einer stetig steigenden Zahl von Fällen konfrontiert Mit dd und dem Hex-Editor kann man das nicht alles schaffen Selbst die low-level Tools im sleuthkit helfen nur bedingt Forensik-Werkzeuge bieten heute einen hohen Grad an Automatisierung von Standardtätigkeiten Überblick über Tools wichtig, um das jeweils richtige auszuwählen Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 3

Quellen Geschonneck, Kapitel 6 Dornseif, Schulungsunterlagen Bundespolizei 2006 Casey, Kapitel 10 und 11 diverse online-quellen Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 4

Übersicht Allgemeine Überlegungen Kommerzielle Werkzeuge EnCase FTK WinHex Freie Werkzeuge dd TCT, Sleuthkit, Autopsy Boot-CDs File Carver Sonstiges Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 5

Werkzeuge Wichtig: Beweise müssen unverändert sein Zweifelsfrei nachweisbar Es dürfen zu keiner Zeit Zweifel darüber aufkommen, dass die Forensik-Werkzeuge zuverlässig arbeiten Wichtig beim Operieren in ungeschützten Bereichen (z.b. am Tatort): Eigene Werkzeuge absichern (z.b. mit Boot-CDs, statisch übersetzte Binaries) Eigene Arbeitsumgebung absichern (forensische Workstation, verschlüsselte Netzverbindungen) Vernachlässigung der eigenen Sicherheitsmaßnahmen kann unangenehm enden Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 6

Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 7

Generelle Vorsichtsregeln Jedes Werkzeug kann selbst Fehler enthalten! Kritische Sicht auf die eigenen Werkzeuge ist wichtig Tool-Testing muss weiter forciert werden Forschungsaufgabe: Generelle Methoden für die Verwendung von Diversität in der forensischen Informatik entwickeln Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 8

Übersicht Allgemeine Überlegungen Kommerzielle Werkzeuge EnCase FTK WinHex Freie Werkzeuge dd TCT, Sleuthkit, Autopsy Boot-CDs File Carver Sonstiges Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 9

http://courses.washington.edu/i498aa/ /slides/nesbitt_uofwpresentation.ppt Kommerzielle Werkzeuge Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 10

Kommerzielle Werkzeuge Der normale Ermittler macht keine aufwändigen händischen Analysen mehr Beschlagnahmte Festplatte an forensische Workstation anschliessen Knopf drücken Warten Gesammelte Daten nach Verwertbarem durchstöbern Hohe Automatisierbarkeit durch Skripting-Funktionen Hohe Kosten (auch für Schulungen) de facto Standards sind EnCase und Forensic Toolkit (FTK) Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 11

EnCase www.guidancesoftware.com Umfassender Dienstleister im Bereich digitale Ermittlung Gegründet 1997, HQ in Pasadena, mehr als 100 der Fortune 500 nutzen Software von Guidance Software Produkt EnCase Forensic kann Forensische Images erstellen Viele Dateisysteme analysieren (Windows, Unix, MAC, Solaris, HP UX,...) Unterstützt die Suche in allen Bereichen der Festplatte Bilder, E-Mail, Instant-Message Analyse, Office-Dateien,... Case-Management EnScript Mehrsprachige Version Lizenz relativ teuer, Kopierschutz durch HW-Dongle Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 12

EnCase Überblick Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 13

www.accessdata.com Forensic Toolkit (FTK) Ursprünglich Password Recovery, heute Electronic Evidence Recovery and Analysis Gegründet 1987, HQ in Lindon, Utah, ca. 60 Beschäftigte Produkt FTK: Imaging und Analyse, ähnlich EnCase Erstellt aufwändige Suchindizes, beschleunigt Schlagwortsuche in großen Datenmengen Läuft wie EnCase nur unter Windows Teure Lizenz, Kopierschutz durch HW-Dongle Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 14

WinHex http://www.x-ways.net Hersteller X-Ways Software AG in Bünde, Hauptbüro in Köln Einziger deutscher Hersteller von kommerzieller Forensiksoftware WinHex sehr mächtiger Hex-Editor X-Ways-Forensics ist die forensische Variante von WinHex Versteht nahezu jedes Dateisystem Imaging und Stichwortsuche Datenkonvertierung... Kostenlose Testversion zum Download WinHex Lizenz ca. 50 EUR, X-Ways-Forensics ca. 500 EUR jeweils inkl. Updates für 1 Jahr, Kopierschutz durch HW-Dongle Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 15

http://www.x-ways.net/winhex/scre eenshot-d.html Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 16

Übersicht Allgemeine Überlegungen Kommerzielle Werkzeuge EnCase FTK WinHex Freie Werkzeuge dd TCT, Sleuthkit, Autopsy Boot-CDs File Carver Sonstiges Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 17

dd Siehe Erläuterungen in den Übungsmaterialien Auch Erweiterungen beachten Viele erweiterte Versionen des Tools vorhanden dd_rescue dcfldd sdd Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 18

The Coroners`s Toolkit (TCT) www.porcupine.org/forensics/tct.html Autoren: Dan Farmer und Wietse Venema Erstmals veröffentlicht 2000 Erste freie Forensiksoftware Unterstützt die Analyse von Unix-Dateisystemen Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 19

TCT Übersicht mactimes: Zeitstempel von Dateien zeigen und sortieren ils: Anzeigen aller nicht-allokierten Indexknoten icat: Anzeigen des Inhalts von Dateien nach Indexknotennummer unrm: Kopiert unbelegte Datenblöcke lazarus: Strukturen in gelöschten Dateien finden file: Dateityp anzeigen pcat: Prozessspeicher kopieren grave-robber: Viele Daten automatisiert sammeln Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 20

www.sleuthkit.org Sleuthkit Sammlung von quelloffenen Kommandozeilentools von Brian Carrier Zur Geschichte: http://www.sleuthkit.org/informer/sleuthkitinformer-1.html#design Ursprünglich eine Erweiterung des TCT Erlaubt auch Analyse von FAT und NTFS Für Experten mit Hintergrundwissen über Dateisysteme Für Unix/Linux bzw. cygwin Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 21

Sleuthkit Übersicht mmls: Ausgabe der Partitionstabelle eines Laufwerks fsstat: Dateisystemlayout anzeigen ffind: findet (auch gelöschte) Dateinamen, die auf eine Metadatenstruktur (z.b. Inode) zeigen fls: listet alle Dateinamen im Verzeichnis (auch gelöschte) icat: wie bei TCT ifind: findet Metadaten mit gewünschten Eigenschaften ils: listet Metadatenstrukturen und ihre Inhalte istat: Übersicht über Metadateneintrag dcat: Extrahiert Inhalt eines Datenblocks dls: Informationen über Datenblöcke, kann auch alle unbelegten Datenblöcke extrahieren dstat: Übersicht über Datenblock Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 22

Autopsy HTML-basiertes grafisches Frontend zum Sleuthkit Open Source, geschrieben in Perl und C, auch von Brian Carrier Features: Case Management Suchen nach Schlüsselwörtern auf der ganzen Platte Prüfsummen-Datenbank Dateitypanalyse (Befehl file) Timeline-Analyse (Befehl mactimes) Unterstützung für das Anfertigen von Berichten (z.b. History- Datei, Notizmöglichkeit) Modernere Alternative http://ptk.dflabs.com/ Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 23

http://www.sleuthkit.org/autopsy/images/timeline1.gif Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 24

Boot CDs Incident Response & Forensics Live CD (Helix) http://www.e-fense.com/ Knoppix-basiert, Hybrid-CD Enthält alle gängigen Forensik-Tools Mittlerweile kommerziell: $ 239 Backtrack LiveCD auf Basis von Ubuntu Frei verfügbar: http://www.backtrack-linux.org/ Vollständige Übersicht: http://www.forensicswiki.org/wiki/tools#forensics_live_cds Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 25

Data Carver etc. Analysieren unbelegte Datenblöcke nach typischen Mustern Dateiheader, -footer, interne Datenstrukturen Foremost Ursprünglich von der US Air Force entwickelt, jetzt frei http://foremost.sourceforge.net/ Kann dd/encase/xyz-images durchsuchen oder direkt die Platte Gute und aktuelle Übersicht über weitere Tools auf Alexander Geschonnecks Webseite zum Buch http://computer-forensik.org/tools/ Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 26

Übersicht Allgemeine Überlegungen Kommerzielle Werkzeuge EnCase FTK WinHex Freie Werkzeuge dd TCT, Sleuthkit, Autopsy Boot-CDs File Carver Sonstiges Zusammenfassung Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 27

Es gibt viele Werkzeuge Nachteil: Standards vs. Vielfalt Man muss ggf. jedes Werkzeug einzeln vor Gericht legitimieren Austausch/Vergleichbarkeit von Daten zwischen Werkzeugen wird erschwert Vorteil: Jeder Benutzer kann die Werkzeuge benutzen, die ihm am besten passen Analysen unterschiedlicher Werkzeuge vergleichen und dadurch validieren Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 28

Programmierbarkeit Viele Werkzeuge decken mit ihren Funktionen Standardfälle ab Suche nach Bildern, Suche nach Schlüsselwörtern in Texten, etc. Dies gilt vor allem für kommerzielle Tools One click report, angenehm für den Kunden Hoher Automatisierungsgrad bei steigenden Fallzahlen notwendig Fälle außerhalb des Standards bekommen nicht die notwendige Aufmerksamkeit Neue/ungewöhnliche Dateisysteme, proprietäre Applikationen, etc. Tools müssen für diese Fälle erweiterbar/programmierbar sein Erfordert Programmierkenntnisse bei den Benutzern Beispiel: Unix-Tools, bzw. EnScript Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 29

Forschungsaufgaben (Weiter-)Entwicklung von Tools wird eine Hauptaufgabe von forensischen Informatikern bleiben Kenntnisse über existierende Tools austauschen Dafür ideal geeignet: offene Forschung Bedarf an neuen Tools vor allem im Bereich Netzwerkanalyse, Live-Analyse Vorsicht bei Live-Analyse: Alles auf dem System ändert das System ps überschreibt Teile des Speichers Die Shell überschreibt die Shell History Zugriffszeiten ändern sich Elektronische Sprengfallen Am Ende muss man immer wissen, was unter der Haube abläuft Vorlesung Computerforensik, Frühjahrssemester 2010, Universität Mannheim, https://pi1.informatik.uni-mannheim.de Seite 30

Communications of the ACM, 48(8), 2006 Ausblick Rechtliche Rahmenbedingungen Fragen? Name und Datumwww.uni-mannheim.de Seite 31

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback