| FOTO | AUTO | EDV | AUDIO |

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
edv:forensik:praxis [15 48 2025 20 : 48] – [4. Abschluss: Die forensische Korrektheit sicherstellen] André Reichert-Creutzedv:forensik:praxis [18 56 2025 18 : 56] (aktuell) – [Arbeiten mit dem NIRLauncher] André Reichert-Creutz
Zeile 1: Zeile 1:
 +{{:edv:forensik-logo.png?400|}} \\
 Forensische Toolsammlung: https://github.com/mesquidar/ForensicsTools#browser-artifacts Forensische Toolsammlung: https://github.com/mesquidar/ForensicsTools#browser-artifacts
  
Zeile 282: Zeile 283:
  
 Die erstellte .dd-Datei (ein sogenanntes RAW-Image) kann nun für die Analyse in forensische Software wie Autopsy oder den FTK Imager geladen werden. Die erstellte .dd-Datei (ein sogenanntes RAW-Image) kann nun für die Analyse in forensische Software wie Autopsy oder den FTK Imager geladen werden.
 +
 +
 +----
 +
 +====== Forensische Analyse mit Autopsy ======
 +Siehe: https://de.slideshare.net/slideshow/autopsy-digital-forensics-tool/145970562 \\
 +{{ :edv:forensik:autopsy.png?400|}}
 +Diese Anleitung beschreibt den vollständigen Arbeitsablauf zur Analyse eines forensischen Abbilds (//Image//) eines Linux-Systems. Als Grundlage dient ein mit Guymager erstelltes Image im E01-Format.
 +
 +Autopsy ist ein leistungsstarkes, quelloffenes Werkzeug, das eine grafische Oberfläche für die bewährten Kommandozeilen-Tools des //Sleuth Kit// bietet. Es ermöglicht eine strukturierte und nachvollziehbare Untersuchung.
 +
 +
 +
 +
 +===== 1. Vorbereitung und Fallanlage =====
 +
 +Eine saubere Vorbereitung ist die Grundlage jeder forensischen Untersuchung.
 +
 +==== Schritt 1: System-Vorbereitung ====
 +
 +Installation: Stellen Sie sicher, dass Sie eine aktuelle Version von Autopsy auf Ihrer forensischen Workstation installiert haben.
 +
 +Beweismittel: Halten Sie das mit Guymager erstellte Image (z.B. Fall-001.E01) und die dazugehörige .info-Datei bereit. Überprüfen Sie nochmals die Hashwerte in der Info-Datei, um die Integrität des Images zu bestätigen.
 +
 +==== Schritt 2: Einen neuen Fall in Autopsy anlegen ====
 +
 +Starten Sie Autopsy und wählen Sie "New Case".
 +
 +Case Information: Füllen Sie die Felder sorgfältig aus.
 +
 +Case Name: Geben Sie einen eindeutigen Fallnamen ein (z.B. Fall-001_Analyse_Linux-Server).
 +
 +Base Directory: Wählen Sie ein Verzeichnis auf Ihrer Workstation, in dem Autopsy alle Analyse-Daten, Logs und Berichte zu diesem Fall speichern wird.
 +
 +Case Type: Wählen Sie "Single-user".
 +
 +Optional Information: Füllen Sie die optionalen Felder für den Ermittler (//Examiner//) aus. Dies ist wichtig für die spätere Berichterstellung. Klicken Sie auf "Finish".
 +
 +===== 2. Datenquelle hinzufügen und verarbeiten =====
 +
 +Nachdem der "Container" für den Fall erstellt ist, wird das Image als Datenquelle hinzugefügt.
 +
 +==== Schritt 3: Datenquelle auswählen ====
 +
 +Im Assistenten, der sich nun öffnet, wählen Sie als Typ der Datenquelle "Disk Image or VM File" und klicken auf "Next".
 +
 +Select Data Source: Navigieren Sie zu Ihrer E01-Image-Datei und wählen Sie diese aus. Autopsy erkennt automatisch segmentierte Images (E01, E02, ...).
 +
 +Time Zone: Stellen Sie die korrekte Zeitzone des zu untersuchenden Systems ein. Dies ist entscheidend für eine korrekte Zeitstrahlanalyse.
 +
 +==== Schritt 4: Ingest Modules konfigurieren ====
 +Dies ist der wichtigste Schritt für die Automatisierung der Analyse. Die //Ingest Modules// sind Analyse-Roboter, die das Image nach bestimmten Spuren durchsuchen.
 +Wählen Sie die für eine Linux-Analyse relevanten Module aus:
 +
 +Recent Activity: Extrahiert Benutzeraktivitäten. Bei Linux relevant für z.B. Bash-History und Log-Dateien.
 +
 +Hash Lookup: Vergleicht die Hashwerte aller Dateien mit bekannten Datenbanken (z.B. NSRL für bekannte Systemdateien, die ignoriert werden können, oder Hash-Listen für bekannte Schadsoftware).
 +
 +File Type Identification: Identifiziert Dateien anhand ihrer Signatur (Magic Number) und nicht nur der Dateiendung.
 +
 +Keyword Search: Führt eine vordefinierte Stichwortsuche über das gesamte Image durch (z.B. nach IP-Adressen, Namen, verdächtigen Befehlen).
 +
 +PhotoRec Carver: Stellt gelöschte Dateien aus dem unzugeordneten Speicherplatz (//unallocated space//) wieder her. Sehr wichtig!
 +
 +Central Repository: Hilft bei der Korrelation von Daten über mehrere Fälle hinweg.
 +
 +Linux Log Analyzer (Community Plugin): Falls nicht standardmäßig vorhanden, kann dieses Modul nachinstalliert werden, um Linux-spezifische Logdateien (/var/log/) besser zu parsen.
 +
 +Klicken Sie auf "Next". Autopsy beginnt nun mit dem Hinzufügen und der Verarbeitung des Images. Dieser Prozess kann je nach Größe des Images und Leistung Ihrer Workstation mehrere Stunden oder sogar Tage dauern.
 +
 +===== 3. Die eigentliche Analyse in Autopsy =====
 +
 +Sobald die //Ingest Modules// ihre Arbeit beendet haben, beginnt die manuelle Untersuchung.
 +
 +==== Schritt 5: Sichten der Dateisysteme ====
 +Navigieren Sie im linken Baummenü unter "Data Sources" durch das Dateisystem des Images.
 +
 +Interessante Verzeichnisse unter Linux:
 +
 +/home/<user>: Benutzerverzeichnisse (Dokumente, Downloads, Konfigurationsdateien). Suchen Sie nach versteckten Dateien (z.B. .bash_history).
 +
 +/etc/: Konfigurationsdateien des Systems (z.B. passwd, shadow, sudoers, Netzwerkkonfiguration).
 +
 +/var/log/: System-Logdateien (auth.log, syslog, wtmp, btmp). Wer hat sich wann an- und abgemeldet? Gab es fehlgeschlagene Login-Versuche?
 +
 +/root/: Das Home-Verzeichnis des Superusers.
 +
 +/tmp/: Temporäre Dateien, oft von Angreifern für Skripte oder Malware missbraucht.
 +
 +==== Schritt 6: Ergebnisse der Ingest Modules prüfen ====
 +Im Baummenü unter "Results" finden Sie die von den Modulen automatisch extrahierten Artefakte.
 +
 +Extracted Content: Hier finden Sie z.B. Web-Bookmarks, Browser-History (sofern Firefox/Chrome installiert war), oder extrahierte Archive.
 +
 +Keyword Hits: Zeigt alle Dateien an, die Ihre vordefinierten Schlüsselwörter enthalten.
 +
 +Hashset Hits: Listet Dateien auf, die in Ihren Hash-Datenbanken gefunden wurden (z.B. bekannte Malware).
 +
 +Interesting Items: Hebt potenziell interessante Dateien oder Verzeichnisse hervor.
 +
 +==== Schritt 7: Zeitstrahl-Analyse (Timeline) ====
 +Eine der mächtigsten Funktionen von Autopsy.
 +
 +Klicken Sie auf "Tools" -> "Timeline".
 +
 +Die Timeline visualisiert alle Dateiaktivitäten (Erstellt, Geändert, Zugegriffen) auf einer Zeitachse. Sie können so "Aktivitätsspitzen" um den bekannten Zeitpunkt eines Vorfalls untersuchen.
 +
 +Fragen an die Timeline: Welche Dateien wurden kurz vor oder nach dem Vorfall erstellt oder verändert? Welche Programme wurden ausgeführt?
 +
 +==== Schritt 8: Gelöschte Daten untersuchen ====
 +Unter "Views" -> "File Types" -> "By MIME Type" können Sie sich alle wiederhergestellten Dateien ansehen (z.B. Bilder, Dokumente), die vom //PhotoRec Carver// gefunden wurden. Navigieren Sie auch manuell durch die Verzeichnisse und achten Sie auf Dateien mit einem roten "X", die gelöschte, aber noch im Dateisystem referenzierte Dateien markieren.
 +
 +===== 4. Berichterstellung =====
 +
 +Nach Abschluss der Analyse müssen die Ergebnisse in einem Gutachten zusammengefasst werden.
 +
 +==== Schritt 9: Ergebnisse markieren (Tagging) ====
 +Während der gesamten Analyse sollten Sie relevante Dateien oder Artefakte mit "Tags" versehen.
 +
 +Rechtsklicken Sie auf eine wichtige Datei und wählen Sie "Tag and Comment".
 +
 +Erstellen Sie Tags wie "Beweisstück", "Verdächtig" oder "Relevant für Fragestellung X".
 +
 +==== Schritt 10: Bericht generieren ====
 +
 +Klicken Sie auf den Button "Generate Report".
 +
 +Wählen Sie ein Ausgabeformat (HTML oder PDF).
 +
 +Wählen Sie aus, welche getaggten Ergebnisse und welche Informationen in den Bericht aufgenommen werden sollen.
 +
 +Autopsy erstellt einen detaillierten Bericht, der alle markierten Beweismittel, deren Metadaten, Hashwerte und Ihre Kommentare enthält. Dieser Bericht ist die Grundlage für Ihr finales forensisches Gutachten.
 +
 +
 +
 +
 +
 +
 +
 +
 +