5.2 Analyse des File Slack



Ähnliche Dokumente
Partitionieren und Formatieren

Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me

Datensicherung. Beschreibung der Datensicherung

ACDSee Pro 2. ACDSee Pro 2 Tutorials: Übertragung von Fotos (+ Datenbank) auf einen anderen Computer. Über Metadaten und die Datenbank

icloud nicht neu, aber doch irgendwie anders

Partitionieren in Vista und Windows 7/8

2. Darstellung von Information im Computer

Win 7 optimieren. Unser Thema heute: Meine erstellten Daten in eine andere Partition verschieben.

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

Erstellen einer PostScript-Datei unter Windows XP

Durchführung der Datenübernahme nach Reisekosten 2011

3 ORDNER UND DATEIEN. 3.1 Ordner

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

3 Windows 7-Installation

Mit der Maus im Menü links auf den Menüpunkt 'Seiten' gehen und auf 'Erstellen klicken.

Modul Windows XP Professional

Sicherung persönlicher Daten

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

Staatlich geprüfter EDV-Führerschein

Windows 7 Winbuilder USB Stick

Verwaltung der MSATA-SSD bei HP Envy Ultrabook 4 und Ultrabook 6 mit Intel Smart Response Technologie

FORUM HANDREICHUNG (STAND: AUGUST 2013)

Cookies. Krishna Tateneni Jost Schenck Übersetzer: Jürgen Nagel

Anleitung über den Umgang mit Schildern

Mein eigener Homeserver mit Ubuntu LTS

Dokumentation. Erstellung eines bootfähigen USB-Sticks zur Veränderung einer bestehenden Partitionierung

Windows 10 > Fragen über Fragen

! " # $ " % & Nicki Wruck worldwidewruck

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

GFAhnen Datensicherung und Datenaustausch

In 12 Schritten zum mobilen PC mit Paragon Drive Copy 11 und Microsoft Windows Virtual PC

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

Dokumentenverwaltung. Copyright 2012 cobra computer s brainware GmbH

Verschlüsseln Sie Ihre Dateien lückenlos Verwenden Sie TrueCrypt, um Ihre Daten zu schützen.

Internet online Update (Internet Explorer)

Verwendung des IDS Backup Systems unter Windows 2000

Konvertieren von Settingsdateien

Hilfe zur Dokumentenverwaltung

Arbeiten mit MozBackup

Empfehlungen zur Nutzung der CD zum Buch: Klee & Wiemann: Beweglichkeit und Dehnfähigkeit. Schorndorf: Hofmann,

Win 7 sinnvoll einrichten

E-Cinema Central. VPN-Client Installation

Einfügen von Bildern innerhalb eines Beitrages

Kurzanleitung. Nutzung des Online Office von 1&1. Zusammengestellt:

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Ontrack EasyRecovery 11 Neue Funktionen. S.M.A.R.T.-Analysefunktion Wiederherstellung von VMware VMDK-Images Datenlöschfunktion

Vorgehensweise bei Lastschriftverfahren

Gimp Kurzanleitung. Offizielle Gimp Seite:

INFOBLATT FÜR DAS NEU AUFSETZEN IHRES COMPUTERS

Installationsanleitung für CashPro im Mehrbenutzerzugriff/Netzwerkbetrieb

Ablaufbeschreibung Einrichtung EBICS in ProfiCash

Digital Forensics. Slackspace DI Robert Jankovics DI Martin Mulazzani

Leitfaden zum Sichern einer Festplatte als Image mit der System Rescue CD

Neue Steuererklärung 2013 erstellen

Datensicherung EBV für Mehrplatz Installationen

HowTo: Ereigniseinrichtung

OPERATIONEN AUF EINER DATENBANK

Rillsoft Project - Installation der Software

IntelliRestore Seedload und Notfallwiederherstellung

Sichern der persönlichen Daten auf einem Windows Computer

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Samsung Drive Manager-FAQs

Leichte-Sprache-Bilder

Step by Step Webserver unter Windows Server von Christian Bartl

Das Einzelplatz-Versionsupdate unter Version Bp810

Laufwerke, Ordner, Dateien: 1. Erklärung der Begriffe

Historical Viewer. zu ETC5000 Benutzerhandbuch 312/15

Schritt-für-Schritt Anleitung: Windows 7 per USB-Stick installieren

Dieses Dokument beschreibt, wie mit FreeFileSync eine einfache Daten-Synchronisation auf gemanagten Geräten eingerichtet wird.

TEAMWORK-Uploader. Dokumentenaustausch mit dem PC

Speichern. Speichern unter

Sie wollen Was heißt das? Grundvoraussetzung ist ein Bild oder mehrere Bilder vom Wechseldatenträger

In 15 einfachen Schritten zum mobilen PC mit Paragon Drive Copy 10 und Microsoft Windows Virtual PC

Über die Internetseite Hier werden unter Download/aktuelle Versionen die verschiedenen Module als zip-dateien bereitgestellt.

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

Lernwerkstatt 9 privat- Freischaltung

Outlook-Daten komplett sichern

Datensicherung und Wiederherstellung

Anleitung zum Einspielen der Demodaten

BackMeUp. Benutzerhandbuch. CeQuadrat

Wählen Sie bitte START EINSTELLUNGEN SYSTEMSTEUERUNG VERWALTUNG und Sie erhalten unter Windows 2000 die folgende Darstellung:

So die eigene WEB-Seite von Pinterest verifizieren lassen!

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

Elexis-BlueEvidence-Connector

Festplatte defragmentieren Internetspuren und temporäre Dateien löschen

MORE Profile. Pass- und Lizenzverwaltungssystem. Stand: MORE Projects GmbH

Übung - Freigabe eines Ordners und Zuordnung eines Netzwerlaufwerks in Windows XP

Herstellen von Symbolen mit Corel Draw ab Version 9

Version 1.0 [Wiederherstellung der Active Directory] Stand: Professionelle Datensicherung mit SafeUndSave.com. Beschreibung.

Daten synchronisieren mit FreeFileSync (zur Datensicherung) Freeware unter herunter laden

Übung - Datensicherung und Wiederherstellung in Windows Vista

Auto-Provisionierung tiptel 30x0 mit Yeastar MyPBX

Vermeiden Sie es sich bei einer deutlich erfahreneren Person "dranzuhängen", Sie sind persönlich verantwortlich für Ihren Lernerfolg.

Gezielt über Folien hinweg springen

Transkript:

5.2 Analyse des File Slack 109 Es gibt an vielen Stellen eines Betriebssystems Fundorte für Gebrauchsspuren oder Hinweise auf Auffälligkeiten. Diese Stellen sollten grundsätzlich aufgesucht und analysiert werden. Hierzu sollten alle Datenträgerbereiche in die Suche einbezogen werden. Im weiteren Verlauf dieses Kapitels werden Datenträgerbereiche vorgestellt, die nur mit Spezialwerkzeugen gelesen werden können. Dies betrifft besonders die scheinbaren Speicherbereiche, wie beispielsweise den File Slack, die Master File Table, den Alternate Data Stream, die Volume-Shadow- Kopien, die NTFS- und Registry-Transaktionslogs einfach alles. Viele der in diesem Kapitel genannten Analyseschritte lassen sich automatisieren oder sind in integrierten Forensik-Werkzeugen bereits als automatisierte Tasks enthalten. Häufig lassen sich diese Tätigkeiten auch über Skripte anstoßen und sollten als Erstes gestartet werden, wenn man als Ermittler noch keine genauen Vorstellungen von den zu erwartenden Ergebnissen hat. Die Auswertung dieser automatisierten Tasks kann dann oft die ersten Hinweise geben. Spezielle Bereiche des Datenträgers analysieren 5.2 Analyse des File Slack Der File Slack kann für den Ermittlungsverlauf wesentliche Informationen enthalten. Dies liegt in der Besonderheit einiger Dateisysteme begründet, die im Folgenden näher beschrieben werden. Wenn eine Datei erstellt wird, hängt ihre Größe vom Dateiinhalt ab. Aus Gründen der Effektivität wird diese Datei auf Datenträgern in sogenannten Datenblöcken gespeichert. Diese Blöcke haben eine feste Länge und werden Sektoren genannt. Sektoren sind die kleinste Speichereinheit auf einem Datenträger. Diese Sektoren werden erstellt, wenn der Datenträger Low- Level-formatiert wird (durch den Hersteller oder über eine BIOS- Funktion). Alle Microsoft-Betriebssysteme speichern Daten in festen Blocklängen, die Cluster genannt werden. Cluster bilden sich unter Windows also aus Gruppen von Sektoren. Cluster werden bei der Formatierung des Datenträgers durch das Betriebssystem erstellt die sogenannte High-Level-Formatierung. Wird also eine Datei auf einem Datenträger gespeichert, stimmt in den meisten Fällen der Inhalt der Dateien nicht exakt mit der Größe der Cluster überein. Der freie Platz innerhalb eines Clusters vom Ende der Datei bis zum Ende des letzten zugewiesenen Clusters wird als File Slack bezeichnet. Wenn die Datei geschrieben wird, füllt das Betriebssystem den File Slack mit zufälligen Daten auf. Sektoren Cluster

110 5 Einführung in die Post-mortem-Analyse Cluster-Größen variieren abhängig vom verwendeten Betriebssystem. Sie können sowohl aus einem als auch aus bis zu 128 Sektoren bestehen. Bei einigen älteren Windows-Systemen hängt dies z.b. von der Größe der logischen Partitionen ab. Größere Cluster haben größere File-Slack-Bereiche zur Folge, was aus Anwendersicht bei diesen Systemen Platzverschwendung bedeutet. Diese Designschwäche in einigen Dateisystemen hat für die forensische Ermittlung jedoch einen ernormen Nutzen, da gerade in diesen File Slacks wesentliche interessante Informationen und Datenspuren zu finden sind, die einem normalen Anwender in der Regel verborgen bleiben. Abb. 5 1 Die Dateieigenschaften zeigen, dass diese 9 Byte große Datei 4 KB auf der Platte belegt: Der File Slack ist in diesem Fall also 4087 Byte groß. RAM Slack Der File Slack kann beispielsweise Fragmente des Hauptspeichers enthalten. Dies kann vorkommen, da DOS und einige Windows-Systeme (z.b. bei FAT) in 512 Byte große Blöcke schreiben. Sind nicht mehr genug Daten in der Datei enthalten, um den letzten Sektor dieser Datei vollends zu füllen, fügt Windows dem Rest dieses Sektors wahllos Daten aus dem Memory Buffer des Betriebssystems hinzu. Diese zufällig ausgewählten Daten werden auch als RAM Slack bezeichnet, da die Daten direkt aus dem RAM des Systems stammen. Dieser RAM Slack kann demzufolge Informationsfragmente enthalten, die seit dem letzten Boot des Computers entstanden sein können, z.b. während der Bearbeitung eines Dokuments oder des Besuchs einer Webseite. In Extremfällen können dies auch sensible Informationen sein, die nur während der Bearbeitung im RAM unverschlüsselt vorliegen, z.b. Pass-

5.2 Analyse des File Slack 111 wörter. Wenn der Computer mehrere Tage nicht heruntergefahren wurde, können die Daten, die im File Slack gefunden werden, auch aus verschiedenen Arbeitssitzungen stammen. RAM Slack lässt sich nur im letzten Sektor einer Datei finden. Werden zusätzliche Sektoren benötigt, um die Blockgröße des letzten Clusters für eine Datei zu erreichen, wird ein weiterer Slack gebildet. Dieser wird genannt und in den übrigen Sektoren gespeichert, die vom Betriebssystem benötigt werden, um den letzten Cluster einer Datei zu erstellen. Anders als der RAM Slack, der Bestandteile des Hauptspeichers enthält, werden beim Auffülldaten verwendet, die sich vorher bereits auf der Festplatte befunden haben. Diese Daten enthalten Fragmente von gelöschten Dateien oder Informationen aus unallozierten Bereichen des Datenträgers. Der File Slack wird zu dem Zeitpunkt erzeugt, wenn die Datei auf den Datenträger geschrieben wird. Wird eine Datei unter Windows gelöscht, bleiben die Datenfragmente, die sich innerhalb des RAM oder File Slack befanden, in dem Cluster erhalten, der zuvor dem Ende der gelöschten Datei zugeordnet war. Die Cluster, die dieser Datei zugewiesen waren, werden vom Betriebssystem wieder freigegeben und bis zum nächsten Überschreiben mit Daten einer neuen Datei als unallozierter Bereich auf dem Datenträger erhalten. Letzter Cluster einer Datei File Slack Abb. 5 2 File Slack = RAM Slack + S1 S2 S3 S4 S5 S6 S7 S8 Sektor 5 des Clusters S5 EOF RAM Slack

112 5 Einführung in die Post-mortem-Analyse Master File Table MFT Slack Bedeutung für die Computer-Forensik Größe des File Slack Die Master File Table (MFT) stellt das Herz der NTFS-Dateistruktur dar. Es handelt sich hierbei um eine spezielle Systemdatei, die eigentlich eine Art Datenbank ist, die die Informationen aller Dateien und Verzeichnisse des Laufwerks enthält. Wie jede andere Datenbank stellt die MFT eine Sammlung von Records dar. Für jede Datei und jedes Verzeichnis des NTFS-Laufwerks existiert mindestens ein Record. Jeder Record ist 1.024 Byte lang und enthält Informationen auch Attribute genannt, die dem Betriebssystem mitteilen, wie mit der zugehörigen Datei oder dem Verzeichnis umzugehen ist. Aus forensischer Sicht ist interessant, dass manchmal zusätzlich zu den Attributen auch Fragmente der zugehörigen Datei in der MFT abgelegt sind. In der MFT findet sich ebenfalls ein Zeitstempel, der das Datum der letzten Änderung der Attribute enthält. Ein weiterer interessanter Fakt ist, dass man bei diesen Daten keinen File Slack findet, da sie ja nicht in einem Cluster gespeichert werden, sondern innerhalb der MFT. Wenn die Daten allerdings kleiner als die 1.024 Byte eines Record sind, kann der überschüssige Bereich Fragmente von alten Dateien enthalten. Dieser Bereich wird MFT Slack genannt. Es ist wichtig zu wissen, dass dieser Bereich zusätzlich zum allgemein bekannten File Slack existiert und bei einer Analyse mit ausgewertet werden sollte. Aus Sicht der Computer-Forensik ist es wichtig, die Bedeutung des File Slack für die Ermittlung richtig einzuschätzen. Da der File Slack möglicherweise zufällige Hauptspeicherinhalte des Computers enthält, ist es durchaus denkbar, darin möglicherweise Login-Daten mit Passwörtern oder andere im Zusammenhang mit der Computeranwendung stehende sensible Informationen zu finden. Häufig finden sich im File Slack Informationen über die gerade im Hauptspeicher aktiven Programme und deren geöffnete Dateien oder auch gerade betrachtete Webseiten. Der File Slack kann weiterhin dahin gehend analysiert werden, herauszufinden, wofür der Computer in der vergangenen Zeit möglicherweise verwendet wurde. Diese Informationen könnten das fehlende Mosaiksteinchen in einer Ermittlung liefern. Es spricht für die Bedeutung dieser Analyse, dass bei einer gut gefüllten, größeren Festplatte mit ca. 80 GB der File Slack oft mehrere Hundert Megabyte Daten enthalten kann. Fragmente von vermeintlich gelöschten Textdokumenten oder E-Mails lassen sich dort finden. Es sollte außerdem noch erwähnt werden, dass sich der File Slack nicht nur auf Festplatten, sondern auch auf Disketten, Zip Drives oder anderen externen Datenträgern finden lässt. Das immer noch häufig unter Linux verwendete Dateisystem ext2 speichert Daten in Blöcken und bildet auch Slack-Bereiche, wenn die

5.3 Timeline-Analysen 113 gespeicherten Dateien weniger als 1, 2 oder 4 KB der Dateisystem-Blöcke verwenden. Hier können ebenso wie unter Windows Datenfragmente gefunden werden, allerdings wird dazu übergegangen, echte Zufallswerte zum Auffüllen zu verwenden. Im File Slack lassen sich vom Angreifer gelöscht geglaubte Informationen finden. Hierzu gehören Hauptspeicherinhalte oder bereits vorher auf dem System gelöschte Datenfragmente. 5.3 Timeline-Analysen Timeline-Analysen sind oft der erste Ansatzpunkt, um Vorgänge auf einem kompromittierten System nachzuvollziehen. Bei der Timeline- Analyse werden Zeitstempel ausgewertet, die sowohl im Dateisystem zu finden sind als auch durch diverse Artefakte des Betriebssystems oder Anwendungen erstellt werden. Der Ermittler möchte als Ergebnis der Timeline-Analyse wissen, zu welchem Zeitpunkt welches Ereignis auf dem System stattgefunden hat und welche Benutzerkennung dieses Ereignis ausgelöst hat. Die Ergebnisse der Timeline-Analysen können sehr gut für die Plausibilisierung von Angaben verwendet werden. Die große Anzahl von auswertbaren Zeitstempeln eines kompromittierten Systems hat einen hohen Beweiswert, da diese automatisch erstellt werden und deren vollständige Manipulation für den durchschnittlichen Täter oft recht komplex ist. Es gibt unterschiedliche Fundorte für Zeitstempel, die in diesem Kapitel näher erläutert werden sollen. Zum einen finden sich im Dateisystem selbst ausführliche Zeitstempelinformationen, zum anderen enthalten die einzelnen im Dateisystem gespeicherten Dateien unterschiedliche Metadaten, z.b. aus Office-Dokumenten, die Rückschlüsse auf zeitliche Zusammenhänge geben. Die dritte Quelle sind Zeitstempel, die sich aus Anwendungen ermitteln lassen. Alle diese Zeitstempel müssen in Zusammenhang gebracht werden. Dabei ist es besonders wichtig zu wissen, in welchem Format und in welcher Zeitzone 3 die einzelnen Zeitstempel tatsächlich geschrieben werden, damit man nachher auch wirklich etwas damit anfangen kann. Gerade einige Office-Dateiformate speichern nicht durchgängige Zeitstempel in der korrekten Zeitzone ab. Unter Windows sollte unbedingt der entsprechende Registry Key ausgelesen werden, unter Unix/Linux und Mac OS die entsprechenden Konfigurationsparameter. Zeitliche Zusammenhänge im Betriebssystem darstellen 3. Ein Zeitzonenkonverter findet sich unter http://www.timeanddate.com/worldclock/converter.html.

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback