| FOTO | AUTO | EDV | AUDIO |

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
edv:forensik:praxis [15 42 2025 20 : 42] – angelegt André Reichert-Creutzedv:forensik:praxis [18 56 2025 18 : 56] (aktuell) – [Arbeiten mit dem NIRLauncher] André Reichert-Creutz
Zeile 1: Zeile 1:
 +{{:edv:forensik-logo.png?400|}} \\
 Forensische Toolsammlung: https://github.com/mesquidar/ForensicsTools#browser-artifacts Forensische Toolsammlung: https://github.com/mesquidar/ForensicsTools#browser-artifacts
  
Zeile 4: Zeile 5:
 ====== Imaging mit FTK-Imager unter Windows ====== ====== Imaging mit FTK-Imager unter Windows ======
 Der FTK Imager von AccessData ist ein Standardwerkzeug in der IT-Forensik. Er dient primär dazu, eine bit-genaue, forensisch saubere Kopie (//Image//) eines Datenträgers zu erstellen. Dieser Prozess ist die Grundlage für fast jede weitere Analyse. Der FTK Imager von AccessData ist ein Standardwerkzeug in der IT-Forensik. Er dient primär dazu, eine bit-genaue, forensisch saubere Kopie (//Image//) eines Datenträgers zu erstellen. Dieser Prozess ist die Grundlage für fast jede weitere Analyse.
-{{ :edv:forensik:ftk.png?400|}}+{{ :edv:forensik:ftk.png?300|}}
 Hier ist eine Anleitung zur Vorgehensweise und zu den Erkenntnissen, die man daraus zieht. Hier ist eine Anleitung zur Vorgehensweise und zu den Erkenntnissen, die man daraus zieht.
 ===== 1. Vorbereitung: Die forensischen Grundsätze ===== ===== 1. Vorbereitung: Die forensischen Grundsätze =====
Zeile 184: Zeile 185:
  
 Sichern Sie die erstellten Image-Dateien sowie die .info-Datei zusammen mit Ihrem Untersuchungsprotokoll als Teil der Fallakte. Die Analyse findet nun ausschließlich auf den Image-Dateien statt. Sichern Sie die erstellten Image-Dateien sowie die .info-Datei zusammen mit Ihrem Untersuchungsprotokoll als Teil der Fallakte. Die Analyse findet nun ausschließlich auf den Image-Dateien statt.
 +
 +----
 +
 +====== Anleitung: Forensisches Imaging mit dd ======
 +
 +Das Linux-Standardwerkzeug dd kann für das forensische Imaging verwendet werden. Es erstellt eine exakte bit-genaue Kopie, erfordert jedoch absolute Sorgfalt und manuelle Zusatzschritte, um als forensisch korrekt zu gelten.
 +
 +<WRAP danger>
 +WARNUNG: dd ist ein extrem mächtiges, aber auch gefährliches Werkzeug. Ein einziger Tippfehler, insbesondere die Vertauschung von Quelle (//if//) und Ziel (//of//), kann das Original-Beweismittel unwiderruflich zerstören. Der Einsatz von sichereren, spezialisierten Tools wie Guymager wird für Einsteiger und wann immer möglich dringend empfohlen. Diese Anleitung richtet sich an erfahrene Anwender.
 +</WRAP>
 +
 +===== 1. Vorbereitung (Obligatorisch) =====
 +
 +1. Physischer Schreibschutz (Write-Blocker): Verbinden Sie den Original-Datenträger zwingend über einen Hardware-Write-Blocker mit Ihrer forensischen Workstation.
 +
 +2. Sauberes Zielmedium: Stellen Sie sicher, dass das Ziellaufwerk, auf dem das Image gespeichert wird, ausreichend groß und forensisch sauber (gewiped) ist.
 +
 +3. Lückenlose Dokumentation: Führen Sie ein genaues Protokoll (//Chain of Custody//). Notieren Sie alle Schritte, Zeiten, Gerätedaten und erstellen Sie Fotos vom Aufbau.
 +
 +4. Terminal öffnen: Alle folgenden Befehle werden in einem Linux-Terminal ausgeführt.
 +
 +===== 2. Der forensische Prozess mit dd (Schritt-für-Schritt) =====
 +
 +Der Prozess besteht aus mehreren manuellen Schritten, die exakt befolgt werden müssen.
 +
 +==== Schritt 1: Gerätedateien exakt identifizieren ====
 +Identifizieren Sie die Gerätedateien des Quell- und Ziellaufwerks. Führen Sie den Befehl mit administrativen Rechten aus.
 +
 +<code>sudo fdisk -l</code>
 +//oder//
 +<code>lsblk -o NAME,SIZE,MODEL,SERIAL</code>
 +
 +Die Ausgabe listet alle Laufwerke auf. Identifizieren Sie Ihr Quell-Laufwerk (z.B. /dev/sdb) und den Einhängepunkt Ihres Ziel-Laufwerks (z.B. /mnt/forensic_drive). Eine Verwechslung an dieser Stelle ist fatal!
 +
 +==== Schritt 2: Hashwert des Originals berechnen (Pre-Hashing) ====
 +Bevor Sie kopieren, müssen Sie den Hashwert des kompletten Original-Datenträgers berechnen. Dieser Wert ist der Referenzwert für die spätere Verifizierung.
 +
 +<code>sudo sha256sum /dev/sdb</code>
 +
 +Dieser Vorgang kann je nach Größe des Datenträgers lange dauern. Kopieren Sie den ausgegebenen Hashwert exakt in Ihre Dokumentation.
 +
 +//Beispiel-Ausgabe://
 +<code>a1b2c3d4e5f6[...]7890  /dev/sdb</code>
 +
 +==== Schritt 3: Das Imaging mit dd durchführen ====
 +Nun wird die bit-genaue Kopie erstellt. Der folgende Befehl enthält wichtige Parameter für den forensischen Einsatz:
 +
 +if= : Input File (Ihre Quelle, z.B. /dev/sdb)
 +
 +of= : Output File (Ihr Ziel, z.B. /mnt/forensic_drive/image.dd)
 +
 +bs= : Block Size (definiert die Les- und Schreib-Größe, 4M ist ein guter Standardwert für die Geschwindigkeit)
 +
 +conv=noerror,sync :
 +
 +noerror: Ignoriert Lesefehler (Bad Sectors) und bricht nicht ab.
 +
 +sync: Füllt die durch Lesefehler entstandenen Lücken in der Kopie mit Null-Bytes. Dies stellt sicher, dass die Daten-Offsets im Image mit dem Original übereinstimmen.
 +
 +Führen Sie den Befehl aus:
 +
 +<code>sudo dd if=/dev/sdb of=/mnt/forensic_drive/image.dd bs=4M conv=noerror,sync</code>
 +
 +Tipp für eine Fortschrittsanzeige:
 +dd zeigt standardmäßig keinen Fortschritt an. Sie können das Tool pv (Pipe Viewer) verwenden, um den Fortschritt zu sehen (muss eventuell nachinstalliert werden: sudo apt install pv):
 +
 +<code>sudo dd if=/dev/sdb bs=4M conv=noerror,sync | pv | sudo dd of=/mnt/forensic_drive/image.dd</code>
 +
 +==== Schritt 4: Hashwert der Kopie berechnen (Post-Hashing) ====
 +Nachdem der Kopiervorgang abgeschlossen ist, berechnen Sie den Hashwert der erstellten Image-Datei.
 +
 +<code>sha256sum /mnt/forensic_drive/image.dd</code>
 +
 +Kopieren Sie auch diesen Hashwert exakt in Ihre Dokumentation.
 +
 +//Beispiel-Ausgabe://
 +<code>a1b2c3d4e5f6[...]7890  /mnt/forensic_drive/image.dd</code>
 +
 +==== Schritt 5: Hashwerte vergleichen (Der Beweis) ====
 +Dies ist der entscheidende Schritt zur Verifizierung. Vergleichen Sie den Hashwert des Originals (aus Schritt 2) mit dem Hashwert der Kopie (aus Schritt 4).
 +
 +Sind die Hashwerte absolut identisch? Herzlichen Glückwunsch. Sie haben den mathematischen Beweis erbracht, dass es sich bei Ihrer Kopie um ein exaktes, unverändertes 1:1-Abbild des Originals handelt.
 +
 +Weichen die Hashwerte voneinander ab? Der Prozess ist fehlgeschlagen. Das Image ist forensisch wertlos. Mögliche Ursachen sind ein defekter Write-Blocker, fehlerhafter RAM in der Workstation oder ein Fehler im Vorgehen.
 +
 +===== 3. Abschluss und Dokumentation =====
 +
 +Ein mit dd erstelltes Image ist nur dann forensisch korrekt, wenn der gesamte Prozess lückenlos dokumentiert wurde. Ihre finale Dokumentation muss enthalten:
 +
 +Alle Befehle, die Sie eingegeben haben.
 +
 +Die vollständigen Terminal-Ausgaben, insbesondere die Hash-Berechnungen.
 +
 +Die Ergebnisse des Hash-Vergleichs.
 +
 +Alle Informationen aus Ihrer manuellen Protokollierung (Zeiten, Personen, Fotos etc.).
 +
 +Die erstellte .dd-Datei (ein sogenanntes RAW-Image) kann nun für die Analyse in forensische Software wie Autopsy oder den FTK Imager geladen werden.
 +
 +
 +----
 +
 +====== Forensische Analyse mit Autopsy ======
 +Siehe: https://de.slideshare.net/slideshow/autopsy-digital-forensics-tool/145970562 \\
 +{{ :edv:forensik:autopsy.png?400|}}
 +Diese Anleitung beschreibt den vollständigen Arbeitsablauf zur Analyse eines forensischen Abbilds (//Image//) eines Linux-Systems. Als Grundlage dient ein mit Guymager erstelltes Image im E01-Format.
 +
 +Autopsy ist ein leistungsstarkes, quelloffenes Werkzeug, das eine grafische Oberfläche für die bewährten Kommandozeilen-Tools des //Sleuth Kit// bietet. Es ermöglicht eine strukturierte und nachvollziehbare Untersuchung.
 +
 +
 +
 +
 +===== 1. Vorbereitung und Fallanlage =====
 +
 +Eine saubere Vorbereitung ist die Grundlage jeder forensischen Untersuchung.
 +
 +==== Schritt 1: System-Vorbereitung ====
 +
 +Installation: Stellen Sie sicher, dass Sie eine aktuelle Version von Autopsy auf Ihrer forensischen Workstation installiert haben.
 +
 +Beweismittel: Halten Sie das mit Guymager erstellte Image (z.B. Fall-001.E01) und die dazugehörige .info-Datei bereit. Überprüfen Sie nochmals die Hashwerte in der Info-Datei, um die Integrität des Images zu bestätigen.
 +
 +==== Schritt 2: Einen neuen Fall in Autopsy anlegen ====
 +
 +Starten Sie Autopsy und wählen Sie "New Case".
 +
 +Case Information: Füllen Sie die Felder sorgfältig aus.
 +
 +Case Name: Geben Sie einen eindeutigen Fallnamen ein (z.B. Fall-001_Analyse_Linux-Server).
 +
 +Base Directory: Wählen Sie ein Verzeichnis auf Ihrer Workstation, in dem Autopsy alle Analyse-Daten, Logs und Berichte zu diesem Fall speichern wird.
 +
 +Case Type: Wählen Sie "Single-user".
 +
 +Optional Information: Füllen Sie die optionalen Felder für den Ermittler (//Examiner//) aus. Dies ist wichtig für die spätere Berichterstellung. Klicken Sie auf "Finish".
 +
 +===== 2. Datenquelle hinzufügen und verarbeiten =====
 +
 +Nachdem der "Container" für den Fall erstellt ist, wird das Image als Datenquelle hinzugefügt.
 +
 +==== Schritt 3: Datenquelle auswählen ====
 +
 +Im Assistenten, der sich nun öffnet, wählen Sie als Typ der Datenquelle "Disk Image or VM File" und klicken auf "Next".
 +
 +Select Data Source: Navigieren Sie zu Ihrer E01-Image-Datei und wählen Sie diese aus. Autopsy erkennt automatisch segmentierte Images (E01, E02, ...).
 +
 +Time Zone: Stellen Sie die korrekte Zeitzone des zu untersuchenden Systems ein. Dies ist entscheidend für eine korrekte Zeitstrahlanalyse.
 +
 +==== Schritt 4: Ingest Modules konfigurieren ====
 +Dies ist der wichtigste Schritt für die Automatisierung der Analyse. Die //Ingest Modules// sind Analyse-Roboter, die das Image nach bestimmten Spuren durchsuchen.
 +Wählen Sie die für eine Linux-Analyse relevanten Module aus:
 +
 +Recent Activity: Extrahiert Benutzeraktivitäten. Bei Linux relevant für z.B. Bash-History und Log-Dateien.
 +
 +Hash Lookup: Vergleicht die Hashwerte aller Dateien mit bekannten Datenbanken (z.B. NSRL für bekannte Systemdateien, die ignoriert werden können, oder Hash-Listen für bekannte Schadsoftware).
 +
 +File Type Identification: Identifiziert Dateien anhand ihrer Signatur (Magic Number) und nicht nur der Dateiendung.
 +
 +Keyword Search: Führt eine vordefinierte Stichwortsuche über das gesamte Image durch (z.B. nach IP-Adressen, Namen, verdächtigen Befehlen).
 +
 +PhotoRec Carver: Stellt gelöschte Dateien aus dem unzugeordneten Speicherplatz (//unallocated space//) wieder her. Sehr wichtig!
 +
 +Central Repository: Hilft bei der Korrelation von Daten über mehrere Fälle hinweg.
 +
 +Linux Log Analyzer (Community Plugin): Falls nicht standardmäßig vorhanden, kann dieses Modul nachinstalliert werden, um Linux-spezifische Logdateien (/var/log/) besser zu parsen.
 +
 +Klicken Sie auf "Next". Autopsy beginnt nun mit dem Hinzufügen und der Verarbeitung des Images. Dieser Prozess kann je nach Größe des Images und Leistung Ihrer Workstation mehrere Stunden oder sogar Tage dauern.
 +
 +===== 3. Die eigentliche Analyse in Autopsy =====
 +
 +Sobald die //Ingest Modules// ihre Arbeit beendet haben, beginnt die manuelle Untersuchung.
 +
 +==== Schritt 5: Sichten der Dateisysteme ====
 +Navigieren Sie im linken Baummenü unter "Data Sources" durch das Dateisystem des Images.
 +
 +Interessante Verzeichnisse unter Linux:
 +
 +/home/<user>: Benutzerverzeichnisse (Dokumente, Downloads, Konfigurationsdateien). Suchen Sie nach versteckten Dateien (z.B. .bash_history).
 +
 +/etc/: Konfigurationsdateien des Systems (z.B. passwd, shadow, sudoers, Netzwerkkonfiguration).
 +
 +/var/log/: System-Logdateien (auth.log, syslog, wtmp, btmp). Wer hat sich wann an- und abgemeldet? Gab es fehlgeschlagene Login-Versuche?
 +
 +/root/: Das Home-Verzeichnis des Superusers.
 +
 +/tmp/: Temporäre Dateien, oft von Angreifern für Skripte oder Malware missbraucht.
 +
 +==== Schritt 6: Ergebnisse der Ingest Modules prüfen ====
 +Im Baummenü unter "Results" finden Sie die von den Modulen automatisch extrahierten Artefakte.
 +
 +Extracted Content: Hier finden Sie z.B. Web-Bookmarks, Browser-History (sofern Firefox/Chrome installiert war), oder extrahierte Archive.
 +
 +Keyword Hits: Zeigt alle Dateien an, die Ihre vordefinierten Schlüsselwörter enthalten.
 +
 +Hashset Hits: Listet Dateien auf, die in Ihren Hash-Datenbanken gefunden wurden (z.B. bekannte Malware).
 +
 +Interesting Items: Hebt potenziell interessante Dateien oder Verzeichnisse hervor.
 +
 +==== Schritt 7: Zeitstrahl-Analyse (Timeline) ====
 +Eine der mächtigsten Funktionen von Autopsy.
 +
 +Klicken Sie auf "Tools" -> "Timeline".
 +
 +Die Timeline visualisiert alle Dateiaktivitäten (Erstellt, Geändert, Zugegriffen) auf einer Zeitachse. Sie können so "Aktivitätsspitzen" um den bekannten Zeitpunkt eines Vorfalls untersuchen.
 +
 +Fragen an die Timeline: Welche Dateien wurden kurz vor oder nach dem Vorfall erstellt oder verändert? Welche Programme wurden ausgeführt?
 +
 +==== Schritt 8: Gelöschte Daten untersuchen ====
 +Unter "Views" -> "File Types" -> "By MIME Type" können Sie sich alle wiederhergestellten Dateien ansehen (z.B. Bilder, Dokumente), die vom //PhotoRec Carver// gefunden wurden. Navigieren Sie auch manuell durch die Verzeichnisse und achten Sie auf Dateien mit einem roten "X", die gelöschte, aber noch im Dateisystem referenzierte Dateien markieren.
 +
 +===== 4. Berichterstellung =====
 +
 +Nach Abschluss der Analyse müssen die Ergebnisse in einem Gutachten zusammengefasst werden.
 +
 +==== Schritt 9: Ergebnisse markieren (Tagging) ====
 +Während der gesamten Analyse sollten Sie relevante Dateien oder Artefakte mit "Tags" versehen.
 +
 +Rechtsklicken Sie auf eine wichtige Datei und wählen Sie "Tag and Comment".
 +
 +Erstellen Sie Tags wie "Beweisstück", "Verdächtig" oder "Relevant für Fragestellung X".
 +
 +==== Schritt 10: Bericht generieren ====
 +
 +Klicken Sie auf den Button "Generate Report".
 +
 +Wählen Sie ein Ausgabeformat (HTML oder PDF).
 +
 +Wählen Sie aus, welche getaggten Ergebnisse und welche Informationen in den Bericht aufgenommen werden sollen.
 +
 +Autopsy erstellt einen detaillierten Bericht, der alle markierten Beweismittel, deren Metadaten, Hashwerte und Ihre Kommentare enthält. Dieser Bericht ist die Grundlage für Ihr finales forensisches Gutachten.
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +