Der FTK Imager von AccessData ist ein Standardwerkzeug in der IT-Forensik. Er dient primär dazu, eine bit-genaue, forensisch saubere Kopie (Image) eines Datenträgers zu erstellen. Dieser Prozess ist die Grundlage für fast jede weitere Analyse. Hier ist eine Anleitung zur Vorgehensweise und zu den Erkenntnissen, die man daraus zieht.

Bevor die Software gestartet wird, muss die Integrität des Beweismittels sichergestellt werden.

Schreibschutz (Write-Blocking): Das Original-Medium (z.B. eine Festplatte) muss über einen Hardware-Write-Blocker an die forensische Workstation angeschlossen werden. Dies verhindert jegliche Schreibzugriffe und damit Veränderungen am Original-Beweismittel.

Dokumentation: Führen Sie von Anfang an ein genaues Protokoll (Chain of Custody). Notieren Sie Datum, Zeit, beteiligte Personen und fotografieren Sie den Aufbau und das Asservat (inkl. Seriennummern).

Ziel-Laufwerk: Stellen Sie sicher, dass das Ziellaufwerk, auf dem das Image gespeichert wird, leer (forensisch „gewiped“) und ausreichend groß ist.

Der Prozess wird durch einen Assistenten in FTK Imager geführt.

Nach dem Start von FTK Imager wählen Sie im Menü File → Create Disk Image. Sie werden aufgefordert, den Quell-Typ anzugeben.

Source Type: Wählen Sie hier Physical Drive. Dies stellt sicher, dass der gesamte Datenträger Sektor für Sektor kopiert wird, inklusive unpartitionierter Bereiche und des Master Boot Records (MBR). Die Auswahl Logical Drive würde nur eine einzelne Partition (z.B. C:) sichern, was unvollständig wäre.

Sie müssen nun das Format für die Image-Datei festlegen. E01 (EnCase Evidence File) ist der De-facto-Industriestandard und wird empfohlen.

Füllen Sie die nachfolgende Maske sorgfältig aus. Diese Informationen werden in die Image-Datei (bei E01) eingebettet und sind ein wichtiger Teil der Dokumentation.

Case Number: Aktenzeichen oder Fallnummer

Evidence Number: Eindeutige Asservatennummer (z.B. 001)

Unique Description: Kurze Beschreibung (z.B. „HDD aus Notebook von Max Mustermann“)

Examiner: Name des durchführenden Forensikers

Wählen Sie den Zielordner und den Dateinamen für das Image. Wichtig: Aktivieren Sie die Option „Verify images after they are created“.

Start: Klicken Sie auf „Start“. Der Prozess beginnt nun. FTK Imager liest den gesamten Quelldatenträger und schreibt die Daten in die Zieldatei(en).

Nachdem das Image geschrieben wurde, startet automatisch der Verifizierungsprozess. FTK Imager liest das gerade erstellte Image erneut und berechnet dessen Hashwert.

Der reine Vorgang des Imaging liefert bereits entscheidende, gerichtsverwertbare Fakten:

Nachweis der Integrität: Am Ende des Prozesses zeigt FTK Imager eine Zusammenfassung an. Dort werden die berechneten Hashwerte (MD5 und SHA1) des Original-Laufwerks und des erstellten Images gegenübergestellt. Wenn diese Werte identisch sind, haben Sie den mathematischen Beweis, dass Ihre Kopie eine exakte 1:1-Kopie des Originals ist. Dieser Schritt ist der wichtigste für die Gerichtsverwertbarkeit.

Hardware-Dokumentation: Die Software protokolliert technische Details des Original-Datenträgers wie Modell, Seriennummer und Größe.

Fehlerhafte Sektoren: FTK Imager meldet und protokolliert Lesefehler (Bad Sectors). Dies kann ein Hinweis auf einen physischen Defekt des Datenträgers sein.

Das Image ist nun die Grundlage für die eigentliche Analyse. Mit FTK Imager selbst können Sie bereits eine erste Sichtung durchführen, ohne das Original zu gefährden:

Sichere Dateisystem-Analyse: Sie können das Image in FTK Imager öffnen (File → Add Evidence Item) und durch die Verzeichnisstruktur navigieren, als wäre es ein normales Laufwerk. Sie sehen alle Dateien, auch versteckte und Systemdateien.

Wiederherstellung gelöschter Daten: FTK Imager zeigt gelöschte Dateien an und erlaubt deren Export. Das Image enthält auch den unallocated space, in dem die Inhalte dieser Dateien noch liegen.

Vorschau und Export: Sie können Dateien direkt im Programm ansehen (Texte, Bilder etc.) und gezielt exportieren, ohne das Image zu verändern.

Metadaten-Sichtung: Sie können grundlegende Metadaten von Dateien (Erstellt, Geändert, Letzter Zugriff - MAC-Times) einsehen.

Suche im Arbeitsspeicher: Wenn Sie ein Image des Arbeitsspeichers (RAM) erstellt haben, können Sie dieses nach Passwörtern im Klartext, IP-Adressen, Chat-Fragmenten und anderer flüchtiger Evidenz durchsuchen.

Diese Anleitung beschreibt das methodisch saubere Vorgehen zur Erstellung einer bit-genauen Kopie (Image) eines Datenträgers mit dem Werkzeug Guymager. Das Ziel ist nicht nur die reine Kopie, sondern die Einhaltung forensischer Prinzipien, um die Gerichtsverwertbarkeit des Images sicherzustellen.

Bevor Guymager gestartet wird, müssen die Rahmenbedingungen stimmen. Dieser Schritt ist entscheidend für die forensische Korrektheit.

1. Physischer Schreibschutz (Write-Blocker): Das Original-Beweismittel (Source) muss über einen Hardware-Write-Blocker mit der forensischen Workstation verbunden werden. Dies ist die einzige Garantie dafür, dass keine Daten auf dem Original verändert werden.

2. Forensisch sauberes Zielmedium (Destination): Der Datenträger, auf dem das Image gespeichert werden soll, muss ausreichend groß und nachweislich leer sein (z.B. durch einen vorherigen Wipe-Vorgang). Dies verhindert eine Kontamination der Beweise.

3. Lückenlose Dokumentation: Beginnen Sie Ihr Untersuchungsprotokoll (Chain of Custody). Dokumentieren Sie Datum, Uhrzeit, Fallnummer, Asservatennummer, Seriennummern der Geräte (Beweismittel, Write-Blocker, Zieldatenträger) und machen Sie Fotos vom Aufbau.

Führen Sie Guymager mit administrativen Rechten aus (z.B. via sudo guymager).

Guymager listet nach dem Start alle erkannten Laufwerke auf.

Identifizieren Sie das korrekte Quell-Laufwerk anhand seiner Bezeichnung (z.B. /dev/sdb), Größe und des Herstellermodells. Guymager hilft dabei, indem es Systemlaufwerke der Workstation markiert, um Verwechslungen zu vermeiden.

Klicken Sie mit der rechten Maustaste auf das Quell-Laufwerk und wählen Sie „Acquire image“.

Ein Konfigurationsfenster öffnet sich. Hier werden alle Parameter für das forensisch saubere Image festgelegt.

Reiter „Format“:

File format: Wählen Sie „Linux DD raw image“ für maximale Kompatibilität oder „Expert Witness Compression Format (EWF/E01)“.

Empfehlung: E01 ist der Industriestandard. Es bietet Komprimierung, teilt das Image in handhabbare Segmente und speichert Metadaten direkt in der Datei.

Split image files: Legen Sie eine Segmentgröße fest (z.B. 2048 MiB), um das Image in kleinere Dateien aufzuteilen.

Reiter „Destination“:

Image directory: Wählen Sie den Ordner auf Ihrem Ziel-Laufwerk.

Image filename: Geben Sie einen aussagekräftigen Dateinamen nach einem festen Schema ein, z.B. Fallnummer_Asservatennummer_Datum (Bsp: 2025-09-15_A01_System-HDD).

Reiter „Hash calculation / verification“:

Hashes to calculate: Aktivieren Sie MD5 und mindestens SHA1 oder SHA256. Die Berechnung mehrerer Hashes erhöht die Beweiskraft.

Verify image after acquisition: Diese Option ist zwingend erforderlich. Guymager berechnet nach dem Schreibvorgang den Hashwert des erstellten Images erneut und vergleicht ihn mit dem Hash des Originals.

Reiter „Case information“:

Füllen Sie die Metadaten-Felder sorgfältig aus. Diese Informationen werden Teil der Log-Datei und (bei E01) des Images selbst.

Case number: Fallnummer

Evidence number: Asservatennummer

Examiner: Name des Forensikers

Description: Kurzbeschreibung des Asservats

Klicken Sie auf „Start“. Der Imaging-Prozess beginnt.

Das Statusfenster zeigt nun in Echtzeit den Fortschritt, die Lesegeschwindigkeit, gefundene Fehler (Bad Sectors) und die verbleibende Zeit an.

Warten Sie, bis der Lese- (Acquisition) und der anschließende Verifizierungs-Prozess (Verification) vollständig abgeschlossen sind.

Nach erfolgreichem Abschluss finden Sie im Zielordner:

Die Image-Datei(en): Z.B. 2025-09-15_A01_System-HDD.E01, …E02, usw.

Die Info-Datei: Z.B. 2025-09-15_A01_System-HDD.info. Diese Textdatei ist ein essentieller Teil Ihrer Dokumentation.

Die .info-Datei enthält:

Alle von Ihnen eingegebenen Fall-Informationen.

Genaue technische Details zum Quell-Laufwerk (Hersteller, Modell, Seriennummer).

Den exakten Start- und Endzeitpunkt des Prozesses.

Die berechneten Hashwerte (MD5, SHA1/256) der Quelle.

Die berechneten Hashwerte des Images nach der Verifizierung.

Eine Liste aller Lesefehler, falls vorhanden.

Ein Image ist dann „forensisch korrekt“ erstellt, wenn Sie die folgenden Punkte zweifelsfrei belegen können:

Unveränderlichkeit: Der Einsatz eines Hardware-Write-Blockers hat das Original geschützt.

Vollständigkeit: Das Image ist eine bit-genaue Kopie des Originals.

Integrität: Der Hashwert der Quelle und der Hashwert des Images sind identisch. Dies wird in der .info-Datei von Guymager bestätigt und ist der mathematische Beweis für eine 1:1-Kopie.

Dokumentation: Der gesamte Prozess wurde sowohl manuell im Untersuchungsprotokoll als auch automatisch durch die .info-Datei von Guymager lückenlos dokumentiert.

Sichern Sie die erstellten Image-Dateien sowie die .info-Datei zusammen mit Ihrem Untersuchungsprotokoll als Teil der Fallakte. Die Analyse findet nun ausschließlich auf den Image-Dateien statt.

Das Linux-Standardwerkzeug dd kann für das forensische Imaging verwendet werden. Es erstellt eine exakte bit-genaue Kopie, erfordert jedoch absolute Sorgfalt und manuelle Zusatzschritte, um als forensisch korrekt zu gelten.

1. Physischer Schreibschutz (Write-Blocker): Verbinden Sie den Original-Datenträger zwingend über einen Hardware-Write-Blocker mit Ihrer forensischen Workstation.

2. Sauberes Zielmedium: Stellen Sie sicher, dass das Ziellaufwerk, auf dem das Image gespeichert wird, ausreichend groß und forensisch sauber (gewiped) ist.

3. Lückenlose Dokumentation: Führen Sie ein genaues Protokoll (Chain of Custody). Notieren Sie alle Schritte, Zeiten, Gerätedaten und erstellen Sie Fotos vom Aufbau.

4. Terminal öffnen: Alle folgenden Befehle werden in einem Linux-Terminal ausgeführt.

Der Prozess besteht aus mehreren manuellen Schritten, die exakt befolgt werden müssen.

Identifizieren Sie die Gerätedateien des Quell- und Ziellaufwerks. Führen Sie den Befehl mit administrativen Rechten aus.

sudo fdisk -l

oder

lsblk -o NAME,SIZE,MODEL,SERIAL

Die Ausgabe listet alle Laufwerke auf. Identifizieren Sie Ihr Quell-Laufwerk (z.B. /dev/sdb) und den Einhängepunkt Ihres Ziel-Laufwerks (z.B. /mnt/forensic_drive). Eine Verwechslung an dieser Stelle ist fatal!

Bevor Sie kopieren, müssen Sie den Hashwert des kompletten Original-Datenträgers berechnen. Dieser Wert ist der Referenzwert für die spätere Verifizierung.

sudo sha256sum /dev/sdb

Dieser Vorgang kann je nach Größe des Datenträgers lange dauern. Kopieren Sie den ausgegebenen Hashwert exakt in Ihre Dokumentation.

Beispiel-Ausgabe:

a1b2c3d4e5f6[...]7890  /dev/sdb

Nun wird die bit-genaue Kopie erstellt. Der folgende Befehl enthält wichtige Parameter für den forensischen Einsatz:

if= : Input File (Ihre Quelle, z.B. /dev/sdb)

of= : Output File (Ihr Ziel, z.B. /mnt/forensic_drive/image.dd)

bs= : Block Size (definiert die Les- und Schreib-Größe, 4M ist ein guter Standardwert für die Geschwindigkeit)

conv=noerror,sync :

noerror: Ignoriert Lesefehler (Bad Sectors) und bricht nicht ab.

sync: Füllt die durch Lesefehler entstandenen Lücken in der Kopie mit Null-Bytes. Dies stellt sicher, dass die Daten-Offsets im Image mit dem Original übereinstimmen.

Führen Sie den Befehl aus:

sudo dd if=/dev/sdb of=/mnt/forensic_drive/image.dd bs=4M conv=noerror,sync

Tipp für eine Fortschrittsanzeige: dd zeigt standardmäßig keinen Fortschritt an. Sie können das Tool pv (Pipe Viewer) verwenden, um den Fortschritt zu sehen (muss eventuell nachinstalliert werden: sudo apt install pv):

sudo dd if=/dev/sdb bs=4M conv=noerror,sync | pv | sudo dd of=/mnt/forensic_drive/image.dd

Nachdem der Kopiervorgang abgeschlossen ist, berechnen Sie den Hashwert der erstellten Image-Datei.

sha256sum /mnt/forensic_drive/image.dd

Kopieren Sie auch diesen Hashwert exakt in Ihre Dokumentation.

Beispiel-Ausgabe:

a1b2c3d4e5f6[...]7890  /mnt/forensic_drive/image.dd

Dies ist der entscheidende Schritt zur Verifizierung. Vergleichen Sie den Hashwert des Originals (aus Schritt 2) mit dem Hashwert der Kopie (aus Schritt 4).

Sind die Hashwerte absolut identisch? Herzlichen Glückwunsch. Sie haben den mathematischen Beweis erbracht, dass es sich bei Ihrer Kopie um ein exaktes, unverändertes 1:1-Abbild des Originals handelt.

Weichen die Hashwerte voneinander ab? Der Prozess ist fehlgeschlagen. Das Image ist forensisch wertlos. Mögliche Ursachen sind ein defekter Write-Blocker, fehlerhafter RAM in der Workstation oder ein Fehler im Vorgehen.

Ein mit dd erstelltes Image ist nur dann forensisch korrekt, wenn der gesamte Prozess lückenlos dokumentiert wurde. Ihre finale Dokumentation muss enthalten:

Alle Befehle, die Sie eingegeben haben.

Die vollständigen Terminal-Ausgaben, insbesondere die Hash-Berechnungen.

Die Ergebnisse des Hash-Vergleichs.

Alle Informationen aus Ihrer manuellen Protokollierung (Zeiten, Personen, Fotos etc.).

Die erstellte .dd-Datei (ein sogenanntes RAW-Image) kann nun für die Analyse in forensische Software wie Autopsy oder den FTK Imager geladen werden.

Siehe: https://de.slideshare.net/slideshow/autopsy-digital-forensics-tool/145970562
Diese Anleitung beschreibt den vollständigen Arbeitsablauf zur Analyse eines forensischen Abbilds (Image) eines Linux-Systems. Als Grundlage dient ein mit Guymager erstelltes Image im E01-Format.

Autopsy ist ein leistungsstarkes, quelloffenes Werkzeug, das eine grafische Oberfläche für die bewährten Kommandozeilen-Tools des Sleuth Kit bietet. Es ermöglicht eine strukturierte und nachvollziehbare Untersuchung.

Eine saubere Vorbereitung ist die Grundlage jeder forensischen Untersuchung.

Installation: Stellen Sie sicher, dass Sie eine aktuelle Version von Autopsy auf Ihrer forensischen Workstation installiert haben.

Beweismittel: Halten Sie das mit Guymager erstellte Image (z.B. Fall-001.E01) und die dazugehörige .info-Datei bereit. Überprüfen Sie nochmals die Hashwerte in der Info-Datei, um die Integrität des Images zu bestätigen.

Starten Sie Autopsy und wählen Sie „New Case“.

Case Information: Füllen Sie die Felder sorgfältig aus.

Case Name: Geben Sie einen eindeutigen Fallnamen ein (z.B. Fall-001_Analyse_Linux-Server).

Base Directory: Wählen Sie ein Verzeichnis auf Ihrer Workstation, in dem Autopsy alle Analyse-Daten, Logs und Berichte zu diesem Fall speichern wird.

Case Type: Wählen Sie „Single-user“.

Optional Information: Füllen Sie die optionalen Felder für den Ermittler (Examiner) aus. Dies ist wichtig für die spätere Berichterstellung. Klicken Sie auf „Finish“.

Nachdem der „Container“ für den Fall erstellt ist, wird das Image als Datenquelle hinzugefügt.

Im Assistenten, der sich nun öffnet, wählen Sie als Typ der Datenquelle „Disk Image or VM File“ und klicken auf „Next“.

Select Data Source: Navigieren Sie zu Ihrer E01-Image-Datei und wählen Sie diese aus. Autopsy erkennt automatisch segmentierte Images (E01, E02, …).

Time Zone: Stellen Sie die korrekte Zeitzone des zu untersuchenden Systems ein. Dies ist entscheidend für eine korrekte Zeitstrahlanalyse.

Dies ist der wichtigste Schritt für die Automatisierung der Analyse. Die Ingest Modules sind Analyse-Roboter, die das Image nach bestimmten Spuren durchsuchen. Wählen Sie die für eine Linux-Analyse relevanten Module aus:

Recent Activity: Extrahiert Benutzeraktivitäten. Bei Linux relevant für z.B. Bash-History und Log-Dateien.

Hash Lookup: Vergleicht die Hashwerte aller Dateien mit bekannten Datenbanken (z.B. NSRL für bekannte Systemdateien, die ignoriert werden können, oder Hash-Listen für bekannte Schadsoftware).

File Type Identification: Identifiziert Dateien anhand ihrer Signatur (Magic Number) und nicht nur der Dateiendung.

Keyword Search: Führt eine vordefinierte Stichwortsuche über das gesamte Image durch (z.B. nach IP-Adressen, Namen, verdächtigen Befehlen).

PhotoRec Carver: Stellt gelöschte Dateien aus dem unzugeordneten Speicherplatz (unallocated space) wieder her. Sehr wichtig!

Central Repository: Hilft bei der Korrelation von Daten über mehrere Fälle hinweg.

Linux Log Analyzer (Community Plugin): Falls nicht standardmäßig vorhanden, kann dieses Modul nachinstalliert werden, um Linux-spezifische Logdateien (/var/log/) besser zu parsen.

Klicken Sie auf „Next“. Autopsy beginnt nun mit dem Hinzufügen und der Verarbeitung des Images. Dieser Prozess kann je nach Größe des Images und Leistung Ihrer Workstation mehrere Stunden oder sogar Tage dauern.

Sobald die Ingest Modules ihre Arbeit beendet haben, beginnt die manuelle Untersuchung.

Navigieren Sie im linken Baummenü unter „Data Sources“ durch das Dateisystem des Images.

Interessante Verzeichnisse unter Linux:

/home/<user>: Benutzerverzeichnisse (Dokumente, Downloads, Konfigurationsdateien). Suchen Sie nach versteckten Dateien (z.B. .bash_history).

/etc/: Konfigurationsdateien des Systems (z.B. passwd, shadow, sudoers, Netzwerkkonfiguration).

/var/log/: System-Logdateien (auth.log, syslog, wtmp, btmp). Wer hat sich wann an- und abgemeldet? Gab es fehlgeschlagene Login-Versuche?

/root/: Das Home-Verzeichnis des Superusers.

/tmp/: Temporäre Dateien, oft von Angreifern für Skripte oder Malware missbraucht.

Im Baummenü unter „Results“ finden Sie die von den Modulen automatisch extrahierten Artefakte.

Extracted Content: Hier finden Sie z.B. Web-Bookmarks, Browser-History (sofern Firefox/Chrome installiert war), oder extrahierte Archive.

Keyword Hits: Zeigt alle Dateien an, die Ihre vordefinierten Schlüsselwörter enthalten.

Hashset Hits: Listet Dateien auf, die in Ihren Hash-Datenbanken gefunden wurden (z.B. bekannte Malware).

Interesting Items: Hebt potenziell interessante Dateien oder Verzeichnisse hervor.

Eine der mächtigsten Funktionen von Autopsy.

Klicken Sie auf „Tools“ → „Timeline“.

Die Timeline visualisiert alle Dateiaktivitäten (Erstellt, Geändert, Zugegriffen) auf einer Zeitachse. Sie können so „Aktivitätsspitzen“ um den bekannten Zeitpunkt eines Vorfalls untersuchen.

Fragen an die Timeline: Welche Dateien wurden kurz vor oder nach dem Vorfall erstellt oder verändert? Welche Programme wurden ausgeführt?

Unter „Views“ → „File Types“ → „By MIME Type“ können Sie sich alle wiederhergestellten Dateien ansehen (z.B. Bilder, Dokumente), die vom PhotoRec Carver gefunden wurden. Navigieren Sie auch manuell durch die Verzeichnisse und achten Sie auf Dateien mit einem roten „X“, die gelöschte, aber noch im Dateisystem referenzierte Dateien markieren.

Nach Abschluss der Analyse müssen die Ergebnisse in einem Gutachten zusammengefasst werden.

Während der gesamten Analyse sollten Sie relevante Dateien oder Artefakte mit „Tags“ versehen.

Rechtsklicken Sie auf eine wichtige Datei und wählen Sie „Tag and Comment“.

Erstellen Sie Tags wie „Beweisstück“, „Verdächtig“ oder „Relevant für Fragestellung X“.

Klicken Sie auf den Button „Generate Report“.

Wählen Sie ein Ausgabeformat (HTML oder PDF).

Wählen Sie aus, welche getaggten Ergebnisse und welche Informationen in den Bericht aufgenommen werden sollen.

Autopsy erstellt einen detaillierten Bericht, der alle markierten Beweismittel, deren Metadaten, Hashwerte und Ihre Kommentare enthält. Dieser Bericht ist die Grundlage für Ihr finales forensisches Gutachten.