Timo's Notitz-Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: tools_fuer_die_it-forensik
tools_fuer_die_it-forensik

Inhaltsverzeichnis

Tools für die IT-Forensik

Bei der IT-Forensik werden digitale Spuren in Computersystemen zur Ermittlung von Tatbeständen analysiert. Zur Beweismittelsicherung werden Kopien der Speichermedien angelegt. Die Arbeitsschritte zum Kopieren der Festplatten sind im Abschnitt Physical-to-Virtual beschrieben (siehe http://qemu-buch.de/d/Speichermedien/_Physical-to-Virtual). Diese Images werden mit speziellen Programmen untersucht.

afflib

Website: http://www.afflib.org

Das Paket afflib enthält Werkzeuge zur Verwendung des Advanced Forensic Format (AFF). Die Installation unter Ubuntu ist mit einer Befehlszeile erledigt.

Host ~$ sudo apt-get install afflib

Um ein Datenträger als Image im Format AFF zu importieren dient der Befehl aimage. In diesem Beispiel wird /dev/sda eingelesen und als Image mit dem Namen Platte.aff geschrieben.

Host ~$ sudo aimage /dev/sda Platte.aff

Es lassen sich mit einem Befehl mehrere Datenträger importieren.

Host ~$ sudo aimage /dev/sda Platte1.aff /dev/sdb Platte2.aff

Zum Verifizieren eines AFF-Images ist der Befehl afinfo mit der Option -v anzuwenden.

Host ~$ afinfo -v Platte.aff

Zur Konvertierung eines Images im Advanced Forensic Format in ein Image im RAW-Format wird der Befehl afcat verwendet.

Host ~$ afcat Platte.aff > Platte-raw.img

Zur Überprüfung von Konvertierungen dient der Befehl afcompare.

Host ~$ afcompare Platte.aff Platte-raw.img

Platte.aff and Platte-raw.img: files compare okay

xmount

Download: https://www.pinguin.lu/index.php

In der Computer-Forensik werden Images meist im Advanced Forensic Format (AFF) oder Expert Witness Format (EWF) gespeichert. Zur Konvertierung dieser Formate dient das Linux-Tool xmount. Dieses Tool legt virtuelle Images in Mount-Points an. Diese virtuellen Images können von QEMU oder anderen Emulatoren beziehungsweise Virtualisierungslösungen verwendet werden. xmount nutzt dazu das Filesystem in Userspace (FUSE). xmount steht als Debian-/Ubuntu-Paket zur Verfügung. Weiterhin kann dieses Tool aus den Quellen kompiliert werden. Zur Kompilation sind folgende Pakete notwendig (Beispiel Ubuntu):

Host ~$ sudo apt-get install libfuse-dev libfuse2 fuse-utils

Host ~$ sudo apt-get install libecryptfs-dev

Die Quellen werden heruntergeladen, entpackt und kompiliert.

Host ~$ mkdir xmount

Host ~$ cd xmount

Host ~$ wget –no-check-certificate \
https://files.pinguin.lu/projects/xmount-0.4.0-src.tar.gz

Host ~$ tar xzvf xmount-0.4.0-src.tar.gz

Host ~$ cd xmount-0.4.0

Host ~$ ./configure && make

Host ~$ sudo make install

Die Optionen von xmount listet -h auf.

Host ~$ xmount -h

xmount kann Images in den Formaten raw (dd), Advanced Forensic Format (aff) und Expert Witness Format (ewf) einlesen. Zur Angabe des Eingabe-Formates dient die Option –in. Mit der Option –out können virtuelle Images in den Formate RAW (dd), VirtualBox (vdi) und VMware (vmdk) generiert werden. Zur Verdeutlichung der Arbeitsweise wird ein Image im Format qcow2 als ein Image im Format raw (dd) abgebildet.

Host ~$ qemu-img info Platte-qcow2.img
file format: qcow2

Da xmount das Format qcow2 nicht lesen kann, ist dieses Image mit qemu-img umzuwandeln.

Host ~$ qemu-img convert -O raw Platte-qcow2.img Platte-raw.img

Es ist ein Verzeichnis als Mount-Point für das Filesystem in Userspace (FUSE) anzulegen.

Host ~$ mkdir fusemp

xmount wird mit den Optionen –in und –out zur Angabe der Formate aufgerufen. Anschließend ist der Name des zu lesenden Images und der Mount-Point anzugeben. Mit der Option –cache wird eine Overlay-Datei vorgegeben. Dadurch wird das ursprüngliche Image nicht verändert. Alle Änderungen werden in die angegebene Overlay-Datei geschrieben.

Host ~$ xmount –cache Platte.ovl –in dd –out dd Platte.img fusemp

Im Mount-Point steht nun das virtuelle Image zur Verfügung.

Host ~$ qemu-img info fusemp/Platte.dd
image: fusemp/Platte.dd
file format: raw
virtual size: 230M (241172480 bytes)
disk size: 0

Mit QEMU lässt sich das Betriebssystem auf diesem virtuellen Image booten.

Host ~$ qemu fusemp/Platte.dd

Das virtuelle Image lässt sich konvertieren.

Host ~$ qemu-img convert -O qcow2 fusemp/Platte.dd Platte-qcow2.img

Mit qemu-img und dem Parameter check kann man Images im Format qcow2 überprüfen.

Host ~$ qemu-img check Platte-qcow2.img
No errors were found on the image.

Wird das virtuelle Image nicht mehr benötigt, ist der FUSE-Mount auszuhängen.

Host ~$ sudo umount fusemp

Ein Image im Advanced Forensic Format (AFF) wird mit der Option –in aff als virtuelles Image abgebildet.

Host ~$ xmount –in aff –out dd Platte.aff fusemp/

Um ein aus mehreren Dateien bestehendes Image im Expert Witness Format (EWF) als virtuelles Image im Format raw abzubilden, ist die Option –in ewf anzuwenden. Die Namen der EWF-Dateien werden mit den Wildcards *.E?? adressiert. xmount erkennt die Dateien automatisch.

Host ~$ xmount –cache Platte.ovl –in ewf –out dd *.E?? fusemp

tools_fuer_die_it-forensik.txt · Zuletzt geändert: von 127.0.0.1
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki