IT Sicherheit: IT-Forensik

Ähnliche Dokumente
IT Sicherheit: IT-Forensik

Vorlesung IT-Sicherheit. Kapitel 6: IT-Forensik

Vorlesung Computerforensik. Kapitel 1: Einleitung

GJU IT-forensics course

Einführung Leistungsmerkmale Aufbau am Beispiel FAT16. Das Filesystem FAT. Peter Schmid. Hochschule für Technik Zürich Studiengang Informatik

Bericht erstellt von: Version: 1.0 Letzte Änderung:

Computerforensik. Wintersemester 2010/2011

Dateisystem: Einführung

Dateisystem: Einführung

Inhalt. Allgemeines zu Dateisystemen. Linux-Dateisysteme am Beispiel von ext2/ext3. Microsoft-Dateisysteme FAT NTFS

Dateisystem: Einführung

Dateisystem: Einführung

Computerforensik. Wintersemester 2010/2011

Betriebssysteme K_Kap11B: Files, Filesysteme Datenstrukturen

Forensische Informatik Vorlesung im Frühjahrssemester 2010 Universität Mannheim

Computerforensik. Wintersemester 2010/2011

Vorlesung Computerforensik. Kapitel 2: Grundlagen der digitalen Forensik

Vorlesung Computerforensik. Kapitel 5: Dateisystemforensik und FAT-Analyse

BACKUP Datensicherung unter Linux

Übersicht. UNIX-Dateisystem (ext2) Super-User unter Linux werden MSDOS: FAT16 und FAT32

Einführung FAT - File Allocation Table NTFS - New Technology Filesystem HFS - Hierachical Filesystem ext - Extended Filesystem Zusammenfassung

Studienbrief 1 Einleitung

Studienbrief 6 Analyse des FAT-Dateisystems Seite 83

Computerforensik. Wintersemester 2011/2012

Digitale Forensik Schulung Bundespolizeiakademie März 2009

Systeme I: Betriebssysteme Übungsblatt 3

Einführung in Dateisysteme

Digitale Forensik. Teile 7 und 8: Dateisystemanalyse und (kommerzielle) Tools. Schulung Bundespolizeiakademie Juli 2007

Halt! Wo bin ich überhaupt?... C:\

Kap. 8: Dateisysteme (E3 EXT2 Dateisystem) 1

Dateisysteme. Was ist ein Dateisystem?:

Betriebssysteme Teil 16: Dateisysteme (Beispiele)

Digital Forensics. Slackspace DI Robert Jankovics DI Martin Mulazzani

Vergleichstabelle zwischen Paragon Festplatten Manager 2011 Suite und Paragon Festplatten Manager 11 Professional*

6.2 FAT32 Dateisystem

Einführung in Dateisysteme

Olga Perevalova Universität Hamburg

Digitale Forensik. Teil 2: Forensik und digitale Spuren. Schulung Bundespolizeiakademie Juli 2007

4.1 Datenträger/Partitionen

Was ist ein Dateisystem? Wozu dient es? Lokale Dateisysteme. Speichergrößen. Inhalt der Präsentation

Hochschule Darmstadt. IT-Sicherheit

Studienbrief 5 Dateisystemforensik Seite 71

Implementierung eines Dateisystems für Java-basierte eingebettete Systeme

Partitionieren und Formatieren

Systeme 1. Kapitel 3 Dateisysteme WS 2009/10 1

Übersicht. Boot Prozess, Arten von Festplatten, Standards

Digitale Forensik Schulung Bundespolizeiakademie März 2009

Paragon Festplatten Manager 2010 Corporate Solutions:

Computerforensik. Wintersemester 2009/2010

Computerforensik. Wintersemester 2009/2010

KV Betriebssysteme (Rudolf Hörmanseder, Michael Sonntag, Andreas Putzinger)

UEFI. Unified Extensible Firmware Interface UEFI. OSP 2015 UEFI Rene Brothuhn Seite: 1

Die Bilder sind weg! Erste Erlebnisse mit Data-Re

Jeder Datenträger besitzt einen I-Node-Array. Jede Datei auf dem Datenträger hat einen I-Node-Eintrag.

Betriebssysteme WS 2012/13 Peter Klingebiel, DVZ. Zusammenfassung Kapitel 4 - Datenträger/Dateiverwaltung

Dateisysteme. Datei: Objekt zum Abspeichern von Daten Die Datei wird vom Dateisystem als Teil des Betriebssystems verwaltet. c~åüüçåüëåüìäé açêíãìåç

Digitale Forensik Schulung Bundespolizeiakademie März 2009

Digitale Forensik. Teil 2: Forensik und digitale Spuren. Schulung Bundespolizeiakademie März 2009

Computer Forensik. Autoren: Prof. Dr. Harald Baier Björn Roos, M.Sc. Frank Breitinger, M.Sc. Denise Muth, M.Sc. Sebastian Gärtner, M.Sc.

Betriebssysteme 1. Thomas Kolarz. Folie 1

Master-Boot-Record sichern

Digitale Forensik. Gerhard Klostermeier. Hochschule für Technik und Wirtschaft Aalen. 18. Juli 2013

Update eines XENTRY Connect über einen USB-Datenträger

Studienbrief 4 Datenträgerforensik Seite 45

ASUS Disk Unlocker Anleitung

Computer Forensik: Prüfungsleistung

Laufwerke unter Linux - Festplatten - - USB Sticks - September 2010 Oliver Werner Linuxgrundlagen 1

Multibooting mit Windows 2000 und Windows XP

Editionen im Vergleich

altec ComputerSysteme Entwicklungsdokumentation Image-Dateien Datum: Oktober 12, 2010 Autor: René Bellmer altec ComputerSysteme GmbH

Forensik in der akademischen Forschung und Ausbildung

Vorlesung Computerforensik. Kapitel 0: Formalia und Inhalt

SYNerity Analyse von Unix-Rechnern

Partitionierung unter Linux

Übersicht. Festplattenanalyse. Dateisystemanalyse. Tools. Festplatten und Partitionen NTFS

Dualboot Windows 7/8 Linux Mint

5.2 Analyse des File Slack

19. Mai 2004 Gewerbeschule Bad Säckingen Manuel Schneider

Cyber Forensics. Die Sicherung digitaler Beweismittel. Dr. Lukas Feiler, SSCP Erich Fried Realgymnasium 18. Februar 2014

Computer-Systeme. Teil 16: Dateisysteme

Praxis Linux-Administration

UNIX-Dateisysteme - Allgemeines

MMC/SD FAT 16 mit AVR und C

Studienbrief 7 Analyse des NTFS-Dateisystems Seite 113

Linux booten. Jörg Ahrens

Lokales Storage Teil 2

Digitale Forensik. Teil 5: Datenträgersicherung (inklusive Übung) Schulung Bundespolizeiakademie Juli 2007

Integration von Forensik und Meldepflichten in ein effizientes Security Incident Management 2. IT-Grundschutztag

Taurus - esata. Benutzerhandbuch. Externes Festplattengehäuse für zwei 3.5 Serial ATA Festplatten. (Deutsch)

Verwendung von SD-Speicherkarten über den SPI-Bus

Syslogic White Paper Leitfaden zur Erstellung eines korrekten Image (Datenträgerabbild)

Basisinformationstechnologie I Wintersemester 2011/ November 2011 Betriebssysteme

Forensik-Tools. Überblick über Open-Source Tools zur forensischen Datenträgeruntersuchung UNIVERSITÄT

Anlage 1 IT-Strukur zum Vertrag EVB-IT Service

Installationshinweise Linux Kubuntu 9.04 bei Verwendung des PC-Wächter

Verzeichnisbaum. Baumartige hierarchische Strukturierung Wurzelverzeichnis (root directory) Restliche Verzeichnisse baumartig angehängt

DATEIVERWALTUNG INHALTSVERZEICHNIS. STANZL Martin 4. HB/a. Verwendete Literatur: Konzepte der Betriebssysteme (Seiten 91-97)

Freshman - USB. Externes Festplattengehäuse für 2.5 IDE oder SATA Festplatten. Benutzerhandbuch (Deutsch)

Vorlesung Datensicherheit. Sommersemester 2010

Transkript:

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 1/40 IT Sicherheit: IT-Forensik Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 25.11.2015

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 2/40 Organisatorisches: Die Vorlesung am Mi. 09.12. entfällt Klausurvorbereitung findet am Mi. 13.01. statt Vorlesungen in KW 3/16 entfallen Klausur findet am Di. 26.01. 14:15-15:45 statt

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 3/40 Grundlagen und Begriffsklärung Forensik Forensik ist ein Sammelbegriff für wissenschaftliche und technische Arbeitsgebiete, in denen Spuren systematisch untersucht werden um strafbare bzw. anderweitig rechtswidrige oder sozialschädliche Handlungen nachzuweisen und aufzuklären. Etymologie: Forum = Marktplatz (im antiken Rom). Auf Forum fanden Gerichtsverhandlungen statt. Beantwortung der Rechtsfragen im öffentlichen Raum.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 4/40 Grundlagen und Begriffsklärung Spur Spuren im foresnischen Sinne sind hinterlassene Zeichen welche als Ausgangspunkt für eine Untersuchung dienen (z.b. Fingerabdruck) Arten von Spuren: Materielle: Blutspritzer, Fingerabdrücke, Schuhabdruck, Haar. Immaterielle: Menschliches Verhalten (z.b. Unsicherheit). Im Kontext von IT-Forensik: digitale Spuren

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 5/40 Grundlagen und Begriffsklärung Indiz, Beweis Indiz: Hinweis, der alleine oder mit anderen Indizien zusammen auf das Vorliegen eines Sachverhalts schließen lässt (gewürdigte Spur) Beispiel: dieser Fußabdruck gehört mutmaßlich zum Schuh des Verdächtigen. Beweis: Feststellung eines Sachverhalts als Tatsache in einem Gerichtsverfahren aufgrund richterlicher Überzeugung (Juristische Wahrheit) Beispiel: dieser Fußabdruck gehört zum Schuh des Verdächtigen. Im Allgemeinen ist ein Indiz mehr als eine Behauptung, aber weniger als ein Beweis

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 6/40 Teilgebiete der Forensik Grundlagen und Begriffsklärung 1. Forensische Medizin / Rechtsmedizin: Beantwortung von Rechtsfragen im Zusammenhang eines vermuteten nicht-natürlichen Todes (z.b. Todesursache, Todeszeitpunkt), Gewaltdeliktes (z.b. gegen Kinder, sexuelle Gewalt). Bitte nicht mit Pathologie verwechseln!! 2. Forensische Toxikologie: Rechtsfragen zu chemischen oder biologischen Stoffen (z.b. liegt eine Vergiftung vor?). 3. Ballistik: Rechtsfragen zu Geschossen (z.b. Zuordnung einer Patrone zu einer Pistole). 4. IT-Forensik: Rechtsfragen im Kontext von IT-Systemen. 5. etc.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 7/40 Grundlagen und Begriffsklärung Aufgaben der Forensik im Einzelnen Identifizieren, Sicherstellen, Selektieren und Analysieren von Spuren, die im weiteren Verlauf der Ermittlungen zu Indizien und Beweisen werden können. Dabei soll der Forensiker so wenig wie möglich in den Untersuchungsgegenstand eingreifen. Grundsätzlich gilt das Paradigma der Integrität von Beweismitteln. Beispiel der IT-Forensik: Unverändertheit einer zu untersuchenden Festplatte. Dabei stets Einhaltung der Sorgfaltskette (engl. Chain of Custody). Es muss immer klar dokumentiert sein, wer wann wie auf ein Beweisstück zugreifen kann.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 8/40 Grundlagen und Begriffsklärung Das Locardsche Austauschprinzip: Einführung 1. Edmond Locard (1877-1966): Französischer Mediziner und Rechtsanwalt. Pionier der Kriminalistik und Forensik. Direktor des weltweit ersten Kriminallabors in Lyon (1912 von Polizei anerkannt). 2. Locard s exchange principle: With contact between two items, there will be an exchange. Jeder und alles am Tatort hinterlässt etwas und nimmt etwas mit (physische Spuren). Basis für die Suche nach Spuren (die immer existieren).

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 9/40 Grundlagen und Begriffsklärung Das Locardsche Austauschprinzip: Übersicht Spuren: Fingerabdrücke, Fußabdrücke, Schmauchspuren, Faserspuren, etc. sind oft die Hauptbelastungsbeweise für die Aufklärung zahlreicher Verbrechen.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 10/40 Grundlagen und Begriffsklärung Das Locardsche Austauschprinzip: Zitat Überall dort, wo er geht, was er berührt, was er hinterlässt, auch unbewusst, all das dient als stummer Zeuge gegen ihn. Nicht nur seine Fingerabdrücke oder seine Fußabdrücke, auch seine Haare, die Fasern aus seiner Kleidung, das Glas, das er bricht, die Abdrücke der Werkzeuge, die er hinterlässt, die Kratzer, die er in die Farbe macht, das Blut oder Sperma, das er hinterlässt oder an sich trägt. All dies und mehr sind stumme Zeugen gegen ihn. Dies ist der Beweis, der niemals vergisst. Er ist nicht verwirrt durch die Spannung des Augenblicks. Er ist nicht unkonzentriert, wie es die menschlichen Zeugen sind. Er ist ein sachlicher Beweis. Physikalische Beweismittel können nicht falsch sein, sie können sich selbst nicht verstellen, sie können nicht vollständig verschwinden. Nur menschliches Versagen diese zu finden, zu studieren und zu verstehen kann ihren Wert zunichte machen. Zitiert nach Wikipedia

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 11/40 Grundlagen und Begriffsklärung IT-Forensik 1. Indizien, Spuren im Kontext eines IT-Systems (Computer, Smartphone, HDD, SSD, RAM, USB-Stick, SD-Karte, Router, Netzkabel, WLAN, Cloud,...). 2. Abstraktionsgrade: Anwendungsebene: Applikationsdaten (z.b. sqlite, doc). Dateisystemebene: Dateisystem (z.b. NTFS, ext3). Datenträgerebene: Partitionen (z.b. DOS-Partitionen). Bits und Bytes. Physische Spur: Signal.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 12/40 Grundlagen und Begriffsklärung Kurzabriss: Tools 1. The Sleuthkit (TSK): Toolsammlung zur IT-forensischen Analyse von Datenträgern. Autor: Brian Carrier. Frontend (insbesondere für Windows): Autopsy. Tools auf unterschiedlichen Abstraktionsebenen: Dateisystemebene: fls, ils, blkcat. Datenträgerebene: mmls. 2. dd: Datensicherung. 3. sha256sum: Berechnung von Hashwerten.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 13/40 Prinzipien und Vorgehensmodelle Sieben W-Fragen der Kriminalistik Typische Fragen im Zusammenhang mit einem Ermittlungsverfahren: 1. Wer? - Täter 2. Was? - Straftat 3. Wo? - Tatort 4. Wann? - Tatzeitpunkt 5. Womit? - Spuren (z.b. Waffe) 6. Wie? - Tathergang 7. Weshalb? - Motiv

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 14/40 Anforderungen an IT-Forensik Prinzipien und Vorgehensmodelle 1. Akzeptanz: Untersuchungsschritte und Methoden in der Fachwelt dokumentiert und anerkannt 2. Glaubwürdigkeit: Robustheit und Funktionalität der angewandten Methoden (Unterschied zu Akzeptanz?) 3. Wiederholbarkeit: Erneute Durchführung der forensischen Untersuchung erzielt dieselben Ergebnisse 4. Integrität: Digitalen Spuren bleiben unverändert 5. Ursache und Auswirkungen: Verbindungen zwischen Ereignissen, Spuren und evtl. auch Personen herstellen. 6. Dokumentation: Insbesondere Chain of Custody

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 15/40 Prinzipien und Vorgehensmodelle SAP - Vorgehensmodell: Übersicht Das S-A-P Modell ist ein Modell zur Beschreibung der Vorgehensweise bei einer forensischen Untersuchung. Vorteil: Einfachheit 1. Secure: Identifizierung der Datenquellen, Datensicherung (zb: Erstellung von Kopien) 2. Analyse: Vorverarbeitung, Interpretierung 3. Present: Dokumentation, zielgruppenorientierte Präsentation

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 16/40 BSI-Vorgehensmodell: Übersicht Prinzipien und Vorgehensmodelle Das BSI (Bundesamtes für Sicherheit in der Informationstechnik) untergliedert forensische Prozess in folgende Untersuchungsabschnitte (Phasen): 1. strategische Vorbereitung; 2. operationale Vorbereitung; 3. Datensammlung; 4. Untersuchung; 5. Datenanalyse; 6. Dokumentation einer forensischen Untersuchung

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 17/40 BSI-Vorgehensmodell: Übersicht Prinzipien und Vorgehensmodelle Quelle: Denise Muth, BSI

Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Phase 1 + Phase 2 1. Strategische Vorbereitung: Vor Eintritt eines Zwischenfalls (Zwischenfall = Symptom). Bereitstellung von Datenquellen (z.b. Logs von Webdiensten, Verbindungsdaten von Routern). Einrichtung einer forensischen Workstation samt Zubehör (Tools, Write-Blocker, Kabel für Smartphones). Festlegung von Handlungsanweisungen (z.b. Rücksprache mit Juristen). 2. Operative Vorbereitung: Bestandsaufnahme vor Ort nach Eintritt eines Zwischenfalls. Festlegung des konkreten Ziels der Ermittlung. Festlegung der nutzbaren Datenquellen (Datenschutz beachten). Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 18/40

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 19/40 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Phase 3 + Phase 4 3. Datensammlung: Eigentlich: Datenakquise oder Datensicherung. Sicherung der im Rahmen der operativen Vorbereitung festgelegten Daten. Integrität der Datenträger sowie Vier-Augen-Prinzip berücksichtigen. Order of Volatility (Unbeständigkeit) bei der Datensicherung beachten (z.b. RAM zuerst). 4. Datenuntersuchung: Eigentlich: Vorverarbeitung für anschließende Analyse. Datenreduktion (irrelevant vs. relevant). Datenrekonstruktion (z.b. Dateiwiederherstellung).

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 20/40 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Phase 5 + Phase 6 5. Datenanalyse: Eigentliche Analyse der vorverarbeiteten Daten. Insbesondere Korrelation der Daten. 6. Dokumentation: Verlaufsprotokoll: Protokollierung aller Einzelschritte im Laufe der verschiedenen Ermittlungsphasen. Ergebnisprotokoll: Adaption des Verlaufsprotokolls für eine bestimmte Zielgruppe (z.b. Staatsanwalt, Geschäftsleitung, IT-Abteilung). Nutzung standardisierter Terminologie (CERT-Terminologie).

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 21/40 BSI-Vorgehensmodell: Phase 6 Prinzipien und Vorgehensmodelle Der prozessbegleitende Dokumentationsprozess verläuft parallel zu der Durchführung der anderen Phasen. Seine Aufgabe ist das Protokollieren der gewonnenen Daten und durchgeführten Prozesse. Der prozessbegleitende Dokumentationsprozess zeichnet also auf, welche Daten beim Durchführen der einzelnen Methoden gewonnen wurden, protokolliert aber gleichzeitig auch Parameter der Durchführung selbst. Beispiele für diese Parameter sind. Beipiele: Name und Versionsnummer des verwendeten Programms, Motivation zur Auswahl dieses Programms, etc.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 22/40 Datenträgeranalyse Erstellung der Arbeitskopien Quelle: Denise Muth 1. Paradigma: Original so selten wie möglich verwenden. Einfach bei klassischen Datenträgern wie HDDs, SSDs, SD-Karten, USB-Sticks. Schwierig(er) bei Smartphones, Hauptspeicher, Cloud 2. Verwendung von Schreibschutz (typischerweise Hardware-basierte Write-Blocker).

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 23/40 Datenträgeranalyse Fallbeispiel: Sicherung externer HDD # sha256sum /dev/sdb 6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 /dev/sdb # dd if=/dev/sdb of=mastercopy.dd bs=512 # dd if=mastercopy.dd of=workingcopy.dd bs=512 # sha256sum mastercopy.dd workingcopy.dd 6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 mastercopy.dd 6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 workingcopy.dd

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 24/40 Sektor, Partitionierung Sektor: Datenträgeranalyse Kleinste adressierbare Einheit auf einem Datenträger. Adressierungsschema: Logical Block Address (LBA), von vorne nach hinten. Größe: 512 Byte (älter), 4096 Byte (modern).

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 25/40 Partitionierung Partitionierung: Datenträgeranalyse Ziel: Organisation in kleinere Bereiche zur Ablage unterschiedlicher Daten (z.b. Windows parallel zu Linux; Betriebssystem vs. Nutzerdaten). Layout des Datenträgers in Partitionstabelle beschrieben. Verbreitete Schemata: DOS-Partitionierung, GPT-Partitionierung. Sleuthkit-Tool: mmls.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 26/40 Datenträgeranalyse Fallbeispiel: Partitionierung externer HDD # mmls workingcopy.dd DOS Partition Table Offset Sector: 0 Units are in 512-byte sectors Slot Start End Length Description 00: Meta 0000000000 0000000000 0000000001 Primary Table (#0) 01: ----- 0000000000 0000002047 0000002048 Unallocated 02: 00:00 0000002048 0960237567 0960235520 Win95 FAT32 (0x0C) 03: ----- 0960237568 0960239615 0000002048 Unallocated 04: Meta 0960239614 0976771071 0016531458 DOS Extended (0x05) 05: Meta 0960239614 0960239614 0000000001 Extended Table (#1) 06: 01:00 0960239616 0976771071 0016531456 Linux Swap/Solarisx86 (0x82) 07: ----- 0976771072 0976773167 0000002096 Unallocated

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 27/40 Datenträgeranalyse Fallbeispiel: Partitionierung externer HDD Wir sehen, dass es sich um eine DOS-Partitionierung handelt, die Zählung am Beginn des Datenträgers startet und dass die Zahlen in der Maßeinheit Sektoren zu je 512 Byte angegeben werden. Wir sehen insgesamt zwei Partitionstabellen: die primäre Tabelle steht im MBR (Primary Table (#0) im Eintrag 00), die zweite Partitionstabelle findet sich im ersten Sektor der erweiterten Partition als Eintrag 05. Wir finden drei nicht-allozierte Bereiche (Einträge 01, 03 und 07) sowie zwei Dateisystempartitionen vor (Einträge 02 und 06).

Fallbeispiel: USB-Stick Datenträgeranalyse [SECURE /dev/sdb to image-usb.dd] $ mmls image-usb.dd DOS Partition Table Offset Sector: 0 Units are in 512-byte sectors Slot Start End Length Description 00: Meta 0000000000 0000000000 0000000001 Primary Table (#0) 01: ----- 0000000000 0000000031 0000000032 Unallocated 02: 00:00 0000000032 0003915775 0003915744 DOS FAT16 (0x06) $ dd if=image-usb.dd of=partition-fat.dd bs=512 skip=32 count=3915744 3915744+0 records in 3915744+0 records out $ sha256sum partition-fat.dd c3ddd15edc5af356dc51f80dd5f54aefcfa34166ee950dd410651e08fd32a649 partition-fat.dd Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 28/40

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 29/40 Dateisystemanalyse Grundlagen 1. Schnittstelle zwischen Betriebssystem und verbundenen Datenträgern. 2. Verwaltung von Dateien: Namen, Zeitstempel, Speicherort. 3. Phänomen Fragmentierung. 4. Cluster: Kleinste adressierbare Einheit auf Dateisystemebene. Alternative Bezeichnungen: FS-Block (File System Block) oder nur Block. Typische Größe: 4096 Byte = 4 KiB. 5. Dateisystemanalyse: Untersuchung der analysefähigen Strukturen auf Dateisystemebene.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 30/40 Dateisystemanalyse Beispiele für Dateisysteme 1. extended file system: (ext2, ext3, ext4 = extx) Standarddateisystem unter Linux. ext4 ist heute Standarddateisystem unter Android. 2. FAT-Dateisystem (FAT12, FAT16, FAT32) Älteres Dateisystem von Microsoft (aus MS-DOS-Zeiten). Heute noch gebräuchlich auf Wechseldatenträgern. 3. New Technology File System (NTFS): Aktuelles Dateisystem von Microsoft. Wegen Windows-Verbreitung sehr bedeutend. 4. Hierarchical File System (HFS/HFS+): Aktuelles Dateisystem von Apple.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 31/40 Kategorien Dateisystemdaten: Dateisystemanalyse 1. Grundlegende Informationen zu Dateisystem. 2. Am Anfang des Dateisystems: Bootsektor. 3. Typische Dateisystemdaten: Clustergröße. Größe des Dateisystems. Belegtstatus der Cluster: welche sind belegt, wie viele sind belegt. Pointer zu weiteren Informationen über das Dateisystem.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 32/40 Kategorien Metadaten: Dateisystemanalyse 1. Verwaltungs-Informationen über eine Datei. 2. Zeitstempel: Modified Time: Last write access. 3. Dateigröße. Accessed Time: Last read access. Creation Time: File has been created. Manchmal noch vierter Zeitstempel (wann gelöscht, wann Metadaten geändert,...). 4. Pointer zu den Inhaltsdaten (z.b. Clusteradressen). 5. Inhaber samt Zugriffsrechte.

Dateisystemanalyse Fallbeispiel: Bootsektor einer FAT-Partition (1/2) $ fsstat partition-fat.dd FILE SYSTEM INFORMATION -------------------------------------------- OEM Name: MSWIN4.1 Volume ID: 0xc2f8e4f2 Volume Label (Boot Sector): NO NAME File System Type Label: FAT16 File System Layout (in sectors) Total Range: 0-3915743 * Reserved: 0-1 ** Boot Sector: 0 * FAT 0: 2-240 * FAT 1: 241-479 * Data Area: 480-3915743 ** Root Directory: 480-511 ** Cluster Area: 512-3915711 ** Non-clustered: 3915712-3915743 [cont] Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 33/40

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 34/40 Dateisystemanalyse Fallbeispiel: Bootsektor einer FAT-Partition (2/2) [cont] METADATA INFORMATION -------------------------------------------- Range: 2-62644230 Root Directory: 2 CONTENT INFORMATION -------------------------------------------- Sector Size: 512 Cluster Size: 32768 Total Cluster Range: 2-61176 FAT CONTENTS (in sectors) -------------------------------------------- [REMOVED]

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 35/40 Dateisystemanalyse Fallbeispiel: Bootsektor einer FAT-Partition In der ersten Kategorie FILE SYSTEM INFORMATION sehen wir, dass es sich um ein FAT16-Dateisystem handelt und die Adressierung der Sektoren von 0 bis 3915743 reicht mit der Sektorgröße 512 Byte = 1 2 KiB. Daraus ergibt das eine Dateisystemgröße von 3915744 1 2 KiB = 1911 1024 KiB = 1.86 GB. Die weiteren Informationen in der Kategorie FILE SYSTEM INFORMATION beschreiben die Lage der drei Bereiche eines FAT-Dateisystems, nämlich den reservierten Bereich, die beiden File Allocation Tables (FAT0 bzw. deren Backup FAT1) sowie den Datenbereich.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 36/40 Dateisystemanalyse Fallbeispiel: Bootsektor einer FAT-Partition In der zweiten Kategorie METADATA INFORMATION erhalten wir Informationen über den Adressbereich der Inodes. Das Wurzelverzeichnis des Dateisystems hat die Inode-Nummer 2, Inodes 0 oder 1 gibt es unter FAT nicht. Unter CONTENT INFORMATION erfahren wir die Sektor- und die Clustergröße (bitte beachten, dass die Sektorgröße vom Datenträger, nicht aber vom Dateisystem festgelegt wird). Der Adressbereich der Cluster ist 2 bis 61176. Auch hier gilt, dass es weder einen Cluster 0 noch einen Cluster 1 gibt. Schließlich erfahren wir in der Kategorie FAT CONTENTS Informationen über die Anzahl und Fragmentierung allozierter Dateien und Verzeichnisse.

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 37/40 Dateisystemanalyse Fallbeispiel: Dateien auf USB-Stick $ fls -ar partition-fat.dd r/r * 3: r/r * 4: r/r * 5: r/r * 6: r/r * 7: r/r * 8: [REMOVED] _ICT0001.JPG _ICT0003.JPG _ICT0004.JPG _ICT0005.JPG _ICT0017.JPG _ICT0009.JPG

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 38/40 Dateisystemanalyse Fallbeispiel: Dateien auf USB-Stick In der ersten Spalte steht r/r für eine regularäre Datei, v/v für eine virtuelle (d.h. nicht existierende) Datei, die das Sleuthkit einfügt. d/d bezeichnet ein Verzeichnis. Die zweite Spalte gibt an, ob eine Datei oder ein Verzeichnis alloziert oder gelöscht ist. Im ersten Fall gibt fls die Inode-Nummer an, im Falle eines gelöschten Objekts zusätzlich ein *. Es befinden sich also nur gelöschte Dateien auf dem USB-Stick

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 39/40 Dateisystemanalyse Fallbeispiel: Metadaten auf USB-Stick Metadaten der gelöschten Datei unter Inode 3 $ istat partition-fat.dd 3 Directory Entry: 3 Not Allocated File Attributes: File, Archive Size: 2438492 Name: _ICT0001.JPG Directory Entry Times: Written: Sat Mar 27 09:23:06 2010 Accessed: Fri Jun 4 00:00:00 2010 Created: Sat Apr 3 14:26:56 2010 Sectors: 512 513 514 515 516 517 518 519 520 521 522 523 524 525 526 527 528 529 530 531 532 533 534 535 536 537 538 539 540 541 542 543 [REMOVED]

Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 40/40 Dateisystemanalyse Fallbeispiel: Wiederherstellung auf USB-Stick Wiederherstellung von (vermutetem) Dateinamen PICT0001.JPG $ icat -r partition-fat.dd 3 > usb-pic1.jpg $ file usb-pic1.jpg usb-pic1.jpg: JPEG image data, JFIF standard 1.01 $ sha256sum usb-pic1.jpg 0fae1c92bd80ff326cd14005a8fce92c7ee454fb28e6a8e016ee048a958ad4d3 usb-pic1.jpg

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback