Computer-Forensik (eBook)

Alexander Geschonneck leitet als Partner bei der KPMG AG Wirtschaftsprüfungsgesellschaft den Bereich Forensic Technology. Sein Tätigkeitsschwerpunkt ist die Sicherstellung und Analyse von digitalen Beweismitteln im Rahmen der Korruptions- und Betrugsbekämpfung sowie der Aufklärung von ITSicherheitsvorfällen. Davor war er leitender Sicherheitsberater und Partner bei der HiSolutions AG in Berlin sowie Senior Manager bei der Ernst & Young AG, wo er den Bereich Forensic Technology & Discovery Services leitete. Seit 1993 ist er branchenübergreifend im strategischen und operativen IT-Sicherheitsumfeld tätig. Alexander Geschonneck ist Mitautor der IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Seit 2002 ist er vom BSI lizenzierter IT-Grundschutzauditor sowie ISO27001-Auditor auf Basis von IT-Grundschutz. Er studierte in Berlin Wirtschaftsinformatik mit Themenschwerpunkt Informationssicherheit. Auf seiner privaten Homepage finden sich weitere Veröffentlichungen zu Themen der Computer-Forensik und allgemeinen IT-Sicherheit. Alexander Geschonneck ist Certified Fraud Examiner und Certified Information Systems Auditor.

Inhaltsverzeichnis 5
Einleitung 9
Wer sollte dieses Buch lesen? 10
Was lernt man in diesem Buch? 12
Was lernt man in diesem Buch nicht? 12
Wie liest man dieses Buch? 13
Kapitel 1 14
Kapitel 2 14
Kapitel 3 14
Kapitel 4 14
Kapitel 5 15
Kapitel 6 15
Kapitel 7 15
Kapitel 8 15
Kapitel 9 15
Kapitel 10 16
Was ist neu in der 6. Auflage? 16
Was ist neu in der 5. Auflage? 16
Was ist neu in der 4. Auflage? 17
Was ist neu in der 3. Auflage? 17
Was ist neu in der 2. Auflage? 17
1 Bedrohungssituation 19
1.1 Bedrohung und Wahrscheinlichkeit 19
1.2 Risikoverteilung 20
Abb. 1–1 Angreiferfähigkeiten vs. benötigtes Wissen1 21
Abb. 1–2 Verbreitungsmethoden von Malware aus dem Symantec Internet Security Threat Report – Attack Trends 2012 22
1.3 Motivation der Täter 24
Abb. 1–3 Defacement der Webseite von HP Belgien mit Hinweis auf den Defacement-Mirror zone-h.org und einer entsprechenden Rechtfertigung 27
Abb. 1–4 Versuch einer Analyse der Motivlage der Angreifer7 27
Abb. 1–5 Auswertung der Motivlage in einem größeren Fall von Missbrauch von Internetzugangskennungen 28
1.4 Innentäter vs. Außentäter 29
1.5 Bestätigung durch die Statistik? 33
1.6 Computerkriminalität 34
Abb. 1–6 Fallentwicklung und Aufklärung für das gesamte Bundesgebiet. Der Anstieg bei Datenveränderung und Computersabotage resultiert aus Angriffen mittels Schadsoftware. 34
Tab. 1–1 Delikte der IuK-Kriminalität im engeren Sinne 35
Abb. 1–7 Gesonderte Auswertung von »Tatmittel Internet« aus der PKS 2010 40
2 Ablauf von Angriffen 41
2.1 Typischer Angriffsverlauf 41
2.1.1 Footprinting 41
2.1.2 Port- und Protokollscan 42
2.1.3 Enumeration 42
2.1.4 Exploiting/Penetration 43
2.1.5 Hintertüren einrichten 43
2.1.6 Spuren verwischen 44
2.2 Beispiel eines Angriffs 44
Abb. 2–1 Meldungen des Intrusion-Detection-Systems Snort: Portscan, Kontakt des Telnet-Port, um das Banner zu analysieren, Kontaktaufnahme des Portmappers, um festzustellen, ob dieser aktiv ist, und abschließender Angriff (in der Abbildung hervorg... 45
Abb. 2–2 DS-Mitschnitt des Angriffs aus der vorherigen Abbildung auf den Portmapper, mit Installation einer Hintertür auf Port 4545 46
Abb. 2–3 Firewall-1 Logdatei: akzeptierte Verbindungen des Angriffs. Kontakt der RPC- und Telnet-Dienste 46
Abb. 2–4 Der Angreifer schaut, ob das System rebootet wurde und ob noch andere User angemeldet sind. Dann löscht er die Konfigurationsdateien des TCP-Wrapper und die Logdateien, die den Anmeldestatus zeigen. 47
Abb. 2–5 Der Angreifer stoppt den Syslog-Server und löscht die zugehörigen Startskripte. Dann fügt er einen zusätzlichen Account »own« mit Root-Rechten und einen normalen User »adm1« ein. Direkte Root-Anmeldungen via Telnet sind standardmä... 47
Abb. 2–6 Der Angreifer meldet sich mit dem Account »adm1« an (man bemerke das Passwort »eliteness«), wird mittels SU-Befel zum Root-User und überprüft, ob irgendwelche verdächtigen Prozesse laufen. Der Angreifer wird wahrscheinlich mitbekomm... 48
Abb. 2–7 Der Angreifer startet ftp ohne Parameter, damit in der Prozessliste nicht der besuchte FTP-Server auftaucht, und verbindet sich erst dann mittels »open«. So ist in der Prozessliste jetzt nur »ftp« zu sehen und nicht »ftp skipper.robot... 48
Abb. 2–8 Der Angreifer sieht sich den Inhalt des heruntergeladenen und entpackten Verzeichnisses (in /usr/man/ gespeichert !) an. Der Umfang der auszutauschenden und zu installierenden Dateien ist dabei sehr gut zu erkennen. 49
Abb. 2–9 Das Installationsskript, das der Angreifer verwendet hat: History-Dateien werden gelöscht und in das Null-Device gelinkt, damit die eingegebenen Kommandos nicht protokolliert werden können. Dann werden die trojanisierten Systemdateien un... 50
Abb. 2–10 Die eingegebenen Adressbereiche werden nicht angezeigt, wenn der trojanisierte netstat-Befehl aufgerufen wird. 50
Abb. 2–11 Verbindungen, die von der Domain home.com kommen, werden aus allen System-Logdateien gelöscht anschließend werden auch die Installationsdateien gelöscht.
3 Incident Response als Grundlage der Computer-Forensik 53
3.1 Der Incident-Response-Prozess 53
3.2 Organisatorische Vorbereitungen 54
3.3 Zusammensetzung des Response-Teams 55
3.4 Incident Detection: Systemanomalien entdecken 57
3.4.1 Vom Verdacht zum Beweis 57
3.4.2 Netzseitige Hinweise 58
3.4.3 Serverseitige Hinweise 59
3.4.4 Intrusion-Detection-Systeme 60
3.4.5 Externe Hinweise 60
Abb. 3–1 Intrusion-Mapping- System dshield.org 61
3.5 Incident Detection: Ein Vorfall wird gemeldet 62
Meldung des Vorfalls 62
Allgemeine Informationen 62
Informationen über den Anrufer 62
Informationen vom betroffenen System 63
Informationen über den Angreifer 64
Was wurde bereits unternommen? 64
3.6 Sicherheitsvorfall oder Betriebsstörung? 65
Abb. 3–2 Incidents identifizieren aus RFC 2196 67
3.7 Wahl der Response-Strategie 68
3.8 Reporting und Manöverkritik 69
4 Einführung in die Computer-Forensik 73
4.1 Ziele einer Ermittlung 73
4.2 Anforderungen an den Ermittlungsprozess 74
4.3 Phasen der Ermittlung 75
4.4 Das S-A-P-Modell 76
4.5 Welche Erkenntnisse kann man gewinnen? 78
Wer hatte Zugang? 78
Was hat der Angreifer auf dem System gemacht? 78
Wann fand der Vorfall statt? 79
Welche weiteren Systeme sind noch betroffen? 79
Warum ist gerade dieses Netz oder System angegriffen worden? 79
Wie konnte der Angreifer Zugriff erlangen? 79
Ist der Angriff vor Kurzem geschehen? Was macht der Angreifer jetzt? 80
Was konnte der Angreifer auf diesem System einsehen? 80
Was wurde vom Angreifer zurückgelassen? 80
Welche Tools wurden verwendet? 81
Wie wurden diese Tools aufgerufen? 81
In welcher Programmiersprache wurden die Tools geschrieben? 81
Haben diese Dateien Ähnlichkeiten mit Dateien, die auf dem System eines Tatverdächtigen gefunden wurden? 82
Welche Events wurden protokolliert? 82
Was wird durch die Protokolldaten enthüllt? 82
Protokolldaten der Remote-Access-Systeme 83
Protokolldaten der Zutrittskontrollsysteme 83
Was findet sich auf den Datenträgern? 83
Welche Spuren sind durch die verwendeten Applikationen hinterlassen worden? 83
Welche Dateien wurden gelöscht? 84
Existieren versteckte Dateien? 84
Existieren verschlüsselte Dateien? 84
Existieren versteckte Partitionen? 85
Existieren bekannte Hintertür- oder andere Fernzugriffstools? 85
4.6 Wie geht man korrekt mit Beweismitteln um? 85
4.6.1 Juristische Bewertung der Beweissituation 86
4.6.2 Datenschutz 87
4.6.3 Welche Daten können erfasst werden? 90
4.6.4 Bewertung der Beweisspuren 90
4.6.5 Durchgeführte Aktionen dokumentieren 91
Tab. 4–1 Beispiel einer Dokumentation der durchgeführten Aktionen 92
4.6.6 Beweise dokumentieren 92
Abb. 4–1 Beispiel eines Beweiszettels 93
4.6.7 Mögliche Fehler bei der Beweissammlung 94
4.7 Flüchtige Daten sichern: Sofort speichern 96
Aktuelle Uhrzeit 97
Cache-Inhalt 97
Speicherinhalte 98
Status der Netzverbindung 98
Status der laufenden Prozesse 98
Inhalt der Speichermedien 98
Inhalt des Hauptspeichers 98
4.8 Speichermedien sichern: Forensische Duplikation 99
Abb. 4–2 Der Writeblocker wird zwischen Analysesystem und zu sichernder Festplatte positioniert (in diesem Bild ist der Writeblocker via USB an das Analysesystem angeschlossen). 100
4.8.1 Wann ist eine forensische Duplikation sinnvoll? 100
4.8.2 Geeignete Verfahren 101
4.9 Was sollte alles sichergestellt werden? 102
4.10 Erste Schritte an einem System für die Sicherstellung 104
4.10.1 System läuft nicht (ist ausgeschaltet) 104
4.10.2 System läuft (ist eingeschaltet) 105
4.10.3 Entscheidungsprozesse 105
4.11 Untersuchungsergebnisse zusammenführen 106
Abb. 4–3 Beispielhafter Ablauf einer Erstreaktion durch Nicht- Spezialisten 106
Abb. 4–4 Herstellen der zeitlichen Abhängigkeiten zwischen den einzelnen Tatspuren 107
4.12 Häufige Fehler 108
Kein Incident-Response-Plan in Vorbereitung 108
Unterschätzen der Tragweite des Vorfalls 108
Keine rechtzeitige Meldung über den Vorfall 109
Entscheidungsträger sind nicht oder nur unzureichend informiert 109
Keine durchgängige Dokumentation der durchgeführten Aktionen 109
Digitale Beweise sind unzureichend vor Veränderung geschützt 109
4.13 Anti-Forensik 110
5 Einführung in die Post-mortem-Analyse 115
5.1 Was kann alles analysiert werden? 115
5.2 Analyse des File Slack 117
Abb. 5–1 Die Dateieigenschaften zeigen, dass diese 9 Byte große Datei 4 KB auf der Platte belegt: Der File Slack ist in diesem Fall also 4087 Byte groß. 118
Abb. 5–2 File Slack = RAM Slack + Drive Slack 119
5.3 Timeline-Analysen 121
Abb. 5–3 Nach dem Kopieren einer Datei unter NTFS ist Last Modification Time älter als Creation Time und Last Access Time (das gezeigte Tool filestat wird in Abschnitt 7.2.8 näher vorgestellt). 125
Abb. 5–4 Seit Windows Vista ist das Schreiben des Last-Access- Zeitstempels in einer Standardinstallation deaktiviert. 126
5.4 NTFS-Streams 127
Abb. 5–5 Verstecken der Datei getadmin.exe im Alternate Data Stream der Datei logo.gif (MAC-Time ändert sich aber) 127
5.5 NTFS TxF 128
5.6 NTFS-Volumen-Schattenkopien 130
Abb. 5–6 Der Anwender hat mehrere Möglichkeiten zur Auswahl der Wiederherstellung. 131
Abb. 5–7 In der Registry sind bereits vom VSS ausgeschlossene Dateien zu sehen. 131
Abb. 5–8 Mit dem ShadowExplorer lassen sich alte Systemversionen komfortabel wiederherstellen. 132
5.7 Windows-Registry 134
Virtualisierung 137
Abb. 5–9 Beispiel eines Spezialwerkzeuges, das Registry-Keys auswertet. Hier USBDeview12, das die in der Vergangenheit angeschlossenen USB- Devices übersichtlich darstellt. 137
Tab. 5–1 Die Virtualisierung setzt sich auch bei den Verzeichnissen fort. 138
5.8 Windows UserAssist Keys 138
Abb. 5–10 Das Programm UserAssist zeigt alle Informationen über häufig benutzte Anwendungen an. 139
5.9 Windows Prefetch-Dateien 139
Abb. 5–11 Die Prefetch-Dateien geben ausführlich Auskunft über nachgeladene Komponenten während eines Startvorgangs – hier mittels WinPrefetchView angezeigt. 141
Tab. 5–2 Der Prefetching- Mechanismus lässt sich über die Registry konfigurieren. 141
5.10 Auslagerungsdateien 142
5.11 Versteckte Dateien 143
Abb. 5–12 Aufteilung einer Festplatte in Sektoren 143
Rootkits 144
Abb. 5–13 Konfigurationsdatei eines Rootkits. In diesem Beispiel werden alle Prozesse verborgen, die mit dem String »hxdef« beginnen. Ebenso taucht der Service »HackerDefender« nicht auf. Die Registry Keys » HackerDefender073« und »LEGACY_HA... 145
Abb. 5–14 Auszug aus der Readme-Datei des Linux Rootkit »LRK5« 146
Abb. 5–15 Beschreibung der Konfiguration des trojanisierten Netstat aus dem Linux Rootkit »LRK5« 146
5.12 Dateien oder Fragmente wiederherstellen 147
5.13 Unbekannte Binärdateien analysieren 148
Abb. 5–16 Grundlegender Analyseablauf von unbekannten Binärdateien 149
Abb. 5–17 Für die Analyse unbekannter Malware können auch öffentliche Angebote verwendet werden. 151
Abb. 5–18 PEiD analysiert Binärdateien auf bekannte Packer und Compiler. 152
Abb. 5–19 String-Analyse einer verdächtigen Windows-Datei 153
Abb. 5–20 String-Analyse bei einem Windows RAS-Passwort-Spion 154
Abb. 5–21 Analyse der Registry- Zugriffe einer verdächtigen Datei mit dem Process Monitor 18 (nähere Informationen zu diesem Tool in Abschnitt 7.2.8) 155
Abb. 5–22 Die String-Analyse zeigt, dass es sich um eine Variante eines WU-FTP-Servers handelt. 156
Abb. 5–23 Quellcode des trojanisierten WU-FTP-Servers 157
Abb. 5–24 Analyse der benötigten Systembibliotheken 157
Abb. 5–25 String-Analyse einer unbekannten Binärdatei 158
Ein Beispiel für eine umfangreiche Analyse 158
Abb. 5–26 Nach Setzen der »speziellen« Display-Variable ist Root-Zugang möglich. 160
5.14 Systemprotokolle 161
Abb. 5–27 Verdächtiger Eintrag in der Logdatei eines WWW-Servers 162
Abb. 5–28 Fehlgeschlagene Netzwerkanmeldung an einem Windows-System 162
Abb. 5–29 Anzeichen dafür, dass jemand den SSH-Port kontaktiert hat, um entweder die Serverversion oder die unterstützten Protokolle zu identifizieren (Bannergrabbing) 162
5.15 Analyse von Netzwerkmitschnitten 163
Abb. 5–30 Analyseablauf bei Netzwerkmitschnitten 163
6 Forensik- und Incident-Response- Toolkits im Überblick 165
6.1 Grundsätzliches zum Tooleinsatz 165
6.2 Sichere Untersuchungsumgebung 167
6.3 F.I.R.E. 169
Abb. 6–1 Cygwin-Umgebung unter Windows XP 169
Abb. 6–2 Startbildschirm von F.I.R.E. unter Windows 170
Abb. 6–3 Statisch kompilierte Linux- Systemdateien von F.I.R.E. 171
Abb. 6–4 Statisch kompilierte Solaris-Systemdateien von F.I.R.E. 171
Abb. 6–5 Statisch kompilierte Windows-Systemdateien von F.I.R.E. 171
Abb. 6–6 F.I.R.E. verfügt über eine komplette X-Window- Umgebung. 172
6.4 Knoppix Security Tools Distribution 173
Abb. 6–7 F.I.R.E. verfügt auch über ein reines Textmenü. 173
Abb. 6–8 Knoppix Security Tools Distribution im Einsatz 173
6.5 Helix 174
Abb. 6–9 Startoberfläche von Helix unter Windows 174
Abb. 6–10 Ein komfortables Menü erleichtert die Image- Erstellung. 175
Abb. 6–11 Boot-Screen, wenn ein System mit Helix gebootet wird 176
Abb. 6–12 X-Window-Oberfläche von Helix mit Autopsy, Linen und Adepto 176
6.6 ForensiX-CD 179
Abb. 6–13 Die ForensiX-CD 180
6.7 C.A.I.N.E. und WinTaylor 181
Abb. 6–14 C.A.I.N.E bietet beim Start nicht nur die Analyse, sondern auch die Installation. 181
Abb. 6–15 Die forensischen Werkzeuge wurden unter einer grafischen Oberfläche zusammengefasst. (Das Autorenteam scheint ein Faible für amerikanische Krimiserien zu haben, wenn man sich die Grafiken so betrachtet.) 182
Abb. 6–16 Guymager zeichnet sich durch schnelle Sicherung aus. 183
Abb. 6–17 Die Oberfläche von WinTaylor fasst die wichtigsten Werkzeuge zusammen. Den Rest findet man in einigen Unterverzeichnissen. 183
6.8 DEFT und DEFT-Extra 184
Abb. 6–18 Die DEFT-Linux-Live-CD basiert ebenfalls auf Ubuntu und wird in Italien entwickelt. 184
Abb. 6–19 Der WINE-Ansatz bietet viele Möglichkeiten der Integration von Windows- Spezialwerkzeugen, die direkt unter Linux gestartet werden können. 184
Abb. 6–20 Das Digital Advanced Response Toolkit fasst sehr viele nützliche Werkzeuge unter einer Oberfläche zusammen. 185
Abb. 6–21 Mächtige Windows- Forensik-Werkzeuge lassen DEFT-Extra schnell zu einem unentbehrlichen Begleiter werden. 185
6.9 EnCase 186
Abb. 6–22 Hauptansicht von EnCase 6 186
Abb. 6–23 Konfiguration der Suchbegriffe unter EnCase 6 187
Abb. 6–24 Darstellung der Suchergebnisse unter EnCase 6 188
Abb. 6–25 Erfassung von Images mit EnCase 6 189
Abb. 6–26 LinEn unter Linux mit Encase Images erstellen 190
6.10 dd 190
6.11 Forensic Acquisition Utilities 195
6.12 AccessData Forensic Toolkit 196
Abb. 6–27 Analyse der Grafiken, die sich im Browser-Cache eines NTFS-Image befinden, mit dem AccessData FTK 197
Abb. 6–28 Extraktion eines bereits gelöschten, aber komplett wiederherstellbaren Rootkits unter Linux mit dem AccessData FTK 198
6.13 The Coroner’s Toolkit und TCTUtils 199
Abb. 6–29 FTK Imager ermöglicht neben der Image- Erstellung auch eine Vorschau des Datenträgers. 199
Abb. 6–30 Sichergestellte Images können als Laufswerksbuchstabe gemountet werden. 199
6.14 The Sleuth Kit 200
Zugriff auf Dateisystem-Ebene 202
Zugriff auf Dateinamen-Ebene 203
Zugriff auf Metadaten-Ebene 204
Zugriff auf Dateiebene 205
6.15 Autopsy Forensic Browser 206
Abb. 6–31 Startbildschirm von Autopsy Version 2 im Webbrowser 207
Abb. 6–32 Analyseoberfläche von Autopsy 3 (Screenshot von der Entwicklerseite) 207
Abb. 6–33 Anzeige des Verzeichnisinhaltes mit Autopsy Version 2 im Webbrowser 208
Abb. 6–34 Prüfsummenvergleich 209
Abb. 6–35 Timeline-Analysen lassen sich mit Autopsy 3 übersichtlich darstellen. (Screenshot von der Entwicklerseite) 209
Abb. 6–36 Eigene Notizen können während der Analyse jedem verdächtigen Inode zugeordnet werden. 210
Abb. 6–37 Autopsy-Protokoll der Tätigkeiten des Ermittlers 211
6.16 Eigene Toolkits für Unix und Windows erstellen 211
6.16.1 F.R.E.D. 212
Abb. 6–38 F.R.E.D. in Aktion 212
6.16.2 Incident Response Collection Report (IRCR) 212
Abb. 6–39 IRCR kann auch für Windows-NT-4.0-Systeme verwendet werden. 213
Abb. 6–40 IRCR erstellt aus den Ergebnissen eine HTML- Übersicht. 213
Tab. 6–1 Befehle, die durch IRCR ausgeführt werden 213
6.16.3 Windows Forensic Toolchest (WFT) 214
Abb. 6–41 Der HTML-Report von WFT zeigt alle wesentlichen Informationen auf einen Blick. 215
6.16.4 Live View 215
Abb. 6–42 Mit Live View lässt sich aus einem forensischen Image eine VMWare- Konfiguration erstellen. 216
7 Forensische Analyse im Detail 217
7.1 Forensische Analyse unter Unix 217
7.1.1 Die flüchtigen Daten speichern 217
Tab. 7–1 Befehle, die zum Erfassen von flüchtigen Daten unter Linux verwendet werden können 218
Abb. 7–1 Suche nach geöffneten Ressourcen durch den SSH-Daemon mit lsof 220
Abb. 7–2 Grave-robber in Aktion 220
Abb. 7–3 Übersicht der vom TCT (grave-robber) sichergestellten Dateien 221
Ein Beispiel für das Sichern flüchtiger Daten 221
7.1.2 Forensische Duplikation 223
Die verdächtige Platte an ein eigenes Analysesystem anschließen 223
Abb. 7–4 Boot-Protokoll des Analysesystems (Die SCSI-Platte /dev/sda dient als Speicher der Images, /dev/hdc ist die verdächtige Platte.) 223
Übertragung der Daten vom verdächtigen System aus 224
Abb. 7–5 Beispiel 1: Allgemeine Anwendung von Netcat 225
Abb. 7–6 Beispiel 2: dd mit Netcat 226
Abb. 7–7 Beispiel 3: dd mit Cryptcat 226
Abb. 7–8 Adepto starten 227
Abb. 7–9 Speichermedien analysieren 228
Abb. 7–10 Adepto konfigurieren 229
Abb. 7–11 Übertragung über Netcat 230
7.1.3 Manuelle P.m.-Analyse der Images 231
Abb. 7–12 Adepto erstellt ein ausführliches Protokoll, das sich in Auszügen direkt in den Ermittlungsbericht übernehmen lässt. 231
Timeline-Analyse mit dem Sleuth Kit 231
Abb. 7–13 Parameter von fls 232
Analyse von gelöschten Dateien mit dem Sleuth Kit 236
Suche mit Bordmitteln 237
7.1.4 P.m.-Analyse der Images mit Autopsy 238
Abb. 7–14 Start von Autopsy 238
Abb. 7–15 Case-Gallery von Autopsy Version 2 239
Abb. 7–16 Zuordnung eines neuen Image im Hostmanager von Autopsy Version 2 239
Abb. 7–17 Ansicht aller einem PC zugeordneten Images im Hostmanager von Autopsy Version 2 240
Abb. 7–18 Anzeige des gesamten Dateisystems und Inhalts der Dateien mit Autopsy Version 2 240
Abb. 7–19 Ergebnis der Dateityp- Analyse mit Autopsy Version 2 241
Abb. 7–20 Suchergebnis nach dem Wort »linsniff« mit Autopsy Version 2 242
Abb. 7–21 Anzeige der Metadaten eines Inode (Informationen über eine gelöschte Datei, MAC- Time, Dateityp, Zugriffsrechte, Größe, belegte Blöcke etc.) mit Autopsy Version 2 243
7.1.5 Dateiwiederherstellung mit unrm und lazarus 244
Abb. 7–22 Timeline-Analyse mit Autopsy Version 2 244
Abb. 7–23 HTML-Darstellung des gesamten unallozierten Bereichs mit unrm und lazarus 244
7.1.6 Weitere hilfreiche Tools 245
Abb. 7–24 Wiederherstellung von Daten mit foremost unter Linux . Hier: Rekonstruktion von Bildern, die mit einer Digitalkamera auf einer CF-Karte erstellt und wieder gelöscht wurden. 245
Abb. 7–25 Auszug der Ausgabe von chkrootkit 247
7.2 Forensische Analyse unter Windows 248
7.2.1 Die flüchtigen Daten speichern 249
7.2.2 Analyse des Hauptspeichers 252
Abb. 7–26 Poolfinder bei der Analyse eines Windows-Hauptspeicherabbildes 254
Abb. 7–27 Das OS-Detection-Skript identifiziert das Betriebssystem des Hauptspeicherabbildes. 255
Abb. 7–28 Durch die Verwendung des grafischen Frontends PTfinderFE16 lassen sich die Analyseschritte einfacher durchführen. 255
Abb. 7–29 Aus einem Hauptspeicherabbild mit pmodump extrahierte ausführbare Datei Netcat (nc.exe) 256
Abb. 7–30 Mit pd lassen sich auch unter Windows Prozessspeicherinhalte sichern. 256
Abb. 7–31 Ein mit pd erzeugtes Hauptspeicherabbild lässt sich mit dem Memory Parser auswerten. 257
7.2.3 Analyse des Hauptspeichers mit Volatility 258
Tab. 7–2 Übersicht über die mitgelieferten Module von Volatility 2.3.1 258
Abb. 7–32 Virustotal zeigt die unterschiedlichen »eigenen« Namen der AV-Hersteller, des unter dem Namen ZeuS bekannt gewordenen Banking-Trojaners an. Die mit »malfind« extrahierte Datei wurde dort hochgeladen. 265
7.2.4 Forensische Duplikation 267
Images mit den Forensic Acquisition Utilities erstellen 267
Abb. 7–33 Informationen über das logische Volume Laufwerk D:/ 268
Images mit dem AccessData FTK Imager erstellen 270
Abb. 7–34 Erstellen eines Image mit dem FTK Imager 271
Abb. 7–35 Der freie FTK-Imager ist neben Linux auch für Mac OS verfügbar und bietet dem Ermittler viele Möglichkeiten beim Erstellen von eigenen Skripten. 271
Images mit EnCase erstellen 272
Abb. 7–36 Neben der bekannten DOS-Variante ist seit EnCase 5 ein Linux-Tool zur Image-Erstellung enthalten. 272
7.2.5 Manuelle P.m.-Analyse der Images 272
7.2.6 P.m.-Analyse der Images mit dem AccessData FTK 273
Abb. 7–37 Das Sleuth Kit unter Windows (Cygwin) 273
Abb. 7–38 Einlesen eines vorher erstellten Image oder direkt von einem angeschlossenen Datenträger 274
Abb. 7–39 Statusüberblick über gefundene Dateitypen beim AccessData FTK 275
Abb. 7–40 Anzeige der gelöschten Installationsdatei eines Linux Rootkits mit dem AccessData FTK 275
Abb. 7–41 Bei der Extraktion von Archiven können auch einzelne Dateien selektiert werden, die natürlich auch in die Text- bzw. Binärsuche einfließen können. 276
Abb. 7–42 Suche im Image nach Zeichenketten mit dem AccessData FTK 277
7.2.7 P.m.-Analyse der Images mit EnCase 278
Abb. 7–43 Analyse des File Slack mit dem AccessData FTK 278
Abb. 7–44 Auswahl der Schnittstelle, an der der zu untersuchende Datenträger angeschlossen ist 279
Abb. 7–45 Definition von Suchmustern mit EnCase 279
Abb. 7–46 Suche nach URLs und E-Mail-Adressen in unallozierten Bereichen eines Dateisystems mit EnCase 280
Abb. 7–47 Wiederherstellung von Grafiken aus dem gelöschten Cache eines WWW-Browsers mit EnCase 280
7.2.8 P.m.-Analyse der Images mit X-Ways Forensics 281
Abb. 7–48 Analyse von Datenträgern, Images oder laufenden Prozessen 282
Abb. 7–49 Übersichtliche Darstellung gelöschter Inodes eines ext2-Dateisystems in einem Kalender 283
Abb. 7–50 Für jeden im Case- Management hinzugefügten Datenträger kann man eine Grafik-Suchfunktion aktivieren, die Bilder mit besonders viel »Haut« anzeigt. Dieses Feature wird von Strafverfolgungsbehörden beispielsweise auf der Suche nach p... 284
Abb. 7–51 Ergebnis der Analyse eines Dateisystems mit X-Ways Forensics (Es ist gut zu erkennen, dass bei diesem FAT-System nur das Datum, aber nicht die Uhrzeit des letzten Zugriffs – Last Access – eingesehen werden kann siehe hierzu Abschnitt...
7.2.9 Weitere hilfreiche Tools 285
Abb. 7–52 Zugriff auf das ext2- Dateisystem unter Windows mit Explore2fs 285
Abb. 7–53 Zugriff auf Dateisysteme unterschiedlicher Art mit Captain Nemo 286
Abb. 7–54 Anwendungsbeispiele für FileDisk 286
Abb. 7–55 Mount Image Pro bietet komfortablen Umgang mit dd- und EnCase-Images 287
Abb. 7–56 Der Zugriff auf Linux- Partitionen lässt sich einfach über die Systemsteuerung konfigurieren. 288
Abb. 7–57 X-Ways Trace bietet eine gute Übersicht der lokalen Browserspuren. 288
Abb. 7–58 Darstellung des Windows-Papierkorbs mit X-Ways Trace 289
Abb. 7–59 Der Windows FileAnalyzer vereint viele Analysemöglichkeiten. Er kann nicht nur auf dem lokalen System eingesetzt werden. 290
Abb. 7–60 Ansicht der Internet-History mit iehist 290
Abb. 7–61 FileStat aus dem Foundstone Forensic ToolKit zeigt alle Informationen einer verdächtigen Datei inkl. Alternate Data Streams. 292
Abb. 7–62 Mailbox-Import mit Paraben’s E-Mail Examiner 292
Abb. 7–63 Anzeige einiger Systeminformationen mit psinfo 293
Abb. 7–64 Anzeige der über das Netz geöffneten Dateien mit psfile 294
Abb. 7–65 Anzeige der lokal und über das Netz angemeldeten User mit psloggedon 294
Abb. 7–66 Anzeige weiterer Informationen über aktive und inaktive Dienste mit psservice 294
Abb. 7–67 Anzeige der durch einen Prozess verwendeten DLLs mit listdlls 295
Abb. 7–68 Export der Eventlogs mit psloglist 295
Abb. 7–69 Anzeige der von einem Prozess verwendeten Ressourcen mit handle 296
Abb. 7–70 FPort zeigt an, welche Datei den Port geöffnet hält. 296
Abb. 7–71 Direktes Suchen in Festplattensektoren mit SectorSpy 297
Abb. 7–72 Zeichensuche in den Clustern einer Festplatte mit dem Disk Investigator 297
Abb. 7–73 Ansicht von gelöschten Dateien mit dem Disk Investigator 298
Abb. 7–74 Suche nach Zeichenketten in Dateisystemen mit Evidor 298
Abb. 7–75 HTML-Ausgabe der Suchergebnisse von Evidor 299
7.3 Forensische Analyse von mobilen Geräten 300
Abb. 7–76 Analyse von Datenspuren in Office-Dokumenten mit dem Metadata Assistant 300
7.3.1 Was ist von Interesse bei mobilen Geräten? 301
7.3.2 Welche Informationen sind auf der SIM-Karte von Interesse? 303
7.3.3 Grundsätzlicher Ablauf der Sicherung von mobilen Geräten 303
Abb. 7–77 Schematischer Ablauf der forensischen Analyse eines mobilen Gerätes 304
7.3.4 Software für die forensische Analyse von mobilen Geräten im Überblick 305
Abb. 7–78 Suche im Speicherbereich eines Palm PDA mit PDA Seizure 305
Abb. 7–79 Nach dem Auslesen des PDA können die Daten mit PDA Seizure analysiert werden. 306
Abb. 7–80 Palm-OS-Passwort mit palmdecrypt entschlüsselt 307
Abb. 7–81 Dekodieren des Palm- Passworts mit PDA Seizure 307
Abb. 7–82 JL_Cmder 309
Abb. 7–83 Paraben’s Cell Seizure ermöglicht das Auslesen einiger Handy-Modelle. 310
Abb. 7–84 SIM Card 311
Abb. 7–85 Oxygen Forensic 312
Abb. 7–86 .XRY ermöglicht das umfangreiche Auslesen von Mobilendgeräten sowie SIM-Karten. 313
Abb. 7–87 Mit dem iPhone Analyzer lassen sich die Backup- Dateien von iTunes bequem einlesen und auswerten. 314
Abb. 7–88 In einer intuitiv zu bedienenden Oberfläche lassen sich alle wesentlichen Informationen des iPhones auslesen. Alle sqlite-Datenbanken sind durchsuchbar. 315
Abb. 7–89 Alle auf dem iPhone gespeicherten Multimediaobjekte lassen sich analysieren. Bei Fotos kann man auch die GPS- Informationen aus den EXIF-Daten auslesen, wenn die entsprechende Funktion nicht deaktiviert wurde. 315
7.4 Forensische Analyse von Routern 316
Abb. 7–90 Speichert eine Anwendung GPS-Daten, so lassen sich diese bequem auswerten. 316
Tab. 7–3 Befehle, um flüchtige Daten eines Router auszulesen 317
8 Empfehlungen für den Schadensfall 319
8.1 Logbuch 319
Tab. 8–1 Beispiel eines Logbuchs 319
8.2 Den Einbruch erkennen 321
Review der IDS-Logs 321
8.3 Tätigkeiten nach festgestelltem Einbruch 322
Identifizieren Sie, wo die Angreifer überall waren 324
8.4 Nächste Schritte 326
9 Backtracing 327
9.1 IP-Adressen überprüfen 327
9.1.1 Ursprüngliche Quelle 327
9.1.2 IP-Adressen, die nicht weiterhelfen 328
9.1.3 Private Adressen 328
9.1.4 Weitere IANA-Adressen 329
9.1.5 Augenscheinlich falsche Adressen 330
9.2 Spoof Detection 330
9.2.1 Traceroute Hopcount 330
Default-Werte der Initial TTL 331
Abb. 9–1 Einige Default Initial TTL verschiedener Betriebssysteme 332
Probleme mit Traceroute Hopcounting 332
9.3 Routen validieren 333
Abb. 9–2 RFC1918-Netze innerhalb einer Route 333
Abb. 9–3 Beispielhafte Abfrage der Routen auf einem dafür öffentlich zugänglichen Core- Router von AT& T
Abb. 9–4 Traceroute über das WWW-Interface von SamSpade.org 335
Ein Spoof-Beispiel 335
Abb. 9–5 Abfrage der Route zur verdächtigen IP-Adresse auf einem Core-Router (Ergebnis: keine Route vorhanden) 335
Abb. 9–6 Abfrage der Route zur verdächtigen IP-Adresse über ein WWW-Interface (Ergebnis: keine Route vorhanden – »Network not in table«) 336
Abb. 9–7 Whois-Query nach der verdächtigen IP-Adresse 336
9.4 Nslookup 337
9.5 Whois 338
Abb. 9–8 Whois-Proxy-Abfrage auf www.geektools.com 339
9.6 E-Mail-Header 340
Abb. 9–9 Mail-Header-Beispiel 340
10 Einbeziehung der Behörden 343
10.1 Organisatorische Vorarbeit 343
10.2 Strafrechtliches Vorgehen 345
10.2.1 Inanspruchnahme des Verursachers 345
10.2.2 Möglichkeiten der Anzeigeerstattung 345
Das Tatortprinzip 347
10.2.3 Einflussmöglichkeiten auf das Strafverfahren 348
10.3 Zivilrechtliches Vorgehen 349
10.4 Darstellung in der Öffentlichkeit 350
10.5 Die Beweissituation bei der privaten Ermittlung 351
Beweissituation im Sachbeweis 352
Beweissituation im Personalbeweis 352
10.6 Fazit 355
Anhang 357
A Tool-Überblick 359
Forensik-CD aus iX 07/2007 bzw. Forensik-DVD aus iX special 10/2008 365
B C.A.I.N.E.-Tools 367
C DEFT-Tools 375
Literaturempfehlungen 381
Index 383
www.dpunkt.de 0