IT Sicherheit: IT-Forensik Forensik Forensik ist ein Sammelbegri f ur wissenschaftliche und...
Transcript of IT Sicherheit: IT-Forensik Forensik Forensik ist ein Sammelbegri f ur wissenschaftliche und...
IT Sicherheit:IT-Forensik
Dr. Marta Gomez-Barrero
Hochschule Darmstadt, CRISP, da/sec Security Group
27.11.2018
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 1/39
Grundlagen
Forensik
Forensik ist ein Sammelbegriff fur wissenschaftliche und technischeArbeitsgebiete, in denen “Spuren” systematisch untersucht werdenum strafbare bzw. anderweitig rechtswidrige oder sozialschadlicheHandlungen nachzuweisen und aufzuklaren.
Etymologie:
I Forum = Marktplatz (im antiken Rom).
I Auf Forum fanden Gerichtsverhandlungen statt.
I Beantwortung der Rechtsfragen im offentlichen Raum.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 2/39
Grundlagen
Spur
Spuren im foresnischen Sinne sind hinterlassene Zeichen welche alsAusgangspunkt fur eine Untersuchung dienen (z.B. Fingerabdruck)
Arten von Spuren:
I Materielle: Blutspritzer, Fingerabdrucke, Schuhabdruck, Haar.
I Immaterielle: Menschliches Verhalten (z.B. Unsicherheit).
I Im Kontext von IT-Forensik: digitale Spuren
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 3/39
Grundlagen
Spur
Spuren im foresnischen Sinne sind hinterlassene Zeichen welche alsAusgangspunkt fur eine Untersuchung dienen (z.B. Fingerabdruck)
Arten von Spuren:
I Materielle: Blutspritzer, Fingerabdrucke, Schuhabdruck, Haar.
I Immaterielle: Menschliches Verhalten (z.B. Unsicherheit).
I Im Kontext von IT-Forensik: digitale Spuren
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 3/39
Grundlagen
Indiz, Beweis
I Indiz: Hinweis, der alleine oder mit anderen Indizienzusammen auf das Vorliegen eines Sachverhalts schließen lasst(gewurdigte Spur)
I Beispiel: dieser Fußabdruck gehort mutmaßlich zum Schuh desVerdachtigen.
I Beweis: Feststellung eines Sachverhalts als Tatsache in einemGerichtsverfahren aufgrund richterlicher Uberzeugung(Juristische Wahrheit)
I Beispiel: dieser Fußabdruck gehort zum Schuh desVerdachtigen.
I Im Allgemeinen ist ein Indiz mehr als eine Behauptung, aberweniger als ein Beweis
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 4/39
Grundlagen
Indiz, Beweis
I Indiz: Hinweis, der alleine oder mit anderen Indizienzusammen auf das Vorliegen eines Sachverhalts schließen lasst(gewurdigte Spur)
I Beispiel: dieser Fußabdruck gehort mutmaßlich zum Schuh desVerdachtigen.
I Beweis: Feststellung eines Sachverhalts als Tatsache in einemGerichtsverfahren aufgrund richterlicher Uberzeugung(Juristische Wahrheit)
I Beispiel: dieser Fußabdruck gehort zum Schuh desVerdachtigen.
I Im Allgemeinen ist ein Indiz mehr als eine Behauptung, aberweniger als ein Beweis
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 4/39
Grundlagen
Teilgebiete der Forensik
1. Forensische Medizin / Rechtsmedizin: Beantwortung vonRechtsfragen im Zusammenhang eines vermuteten
I nicht-naturlichen Todes (z.B. Todesursache, Todeszeitpunkt),
I Gewaltdeliktes (z.B. gegen Kinder, sexuelle Gewalt).
Bitte nicht mit Pathologie verwechseln!!
2. Forensische Toxikologie: Rechtsfragen zu chemischen oderbiologischen Stoffen (z.B. liegt eine Vergiftung vor?).
3. Ballistik: Rechtsfragen zu Geschossen (z.B. Zuordnung einerPatrone zu einer Pistole).
4. IT-Forensik: Rechtsfragen im Kontext von IT-Systemen.
5. etc.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 5/39
Grundlagen
Aufgaben der Forensik im Einzelnen
I Identifizieren, Sicherstellen, Selektieren und Analysieren vonSpuren, die im weiteren Verlauf der Ermittlungen zu Indizienund Beweisen werden konnen.
I Dabei soll der Forensiker so wenig wie moglich in denUntersuchungsgegenstand eingreifen.
I Grundsatzlich gilt das Paradigma der Integritat vonBeweismitteln.
I Beispiel der IT-Forensik: Unverandertheit einer zuuntersuchenden Festplatte.
I Dabei stets Einhaltung der Sorgfaltskette (engl. Chain ofCustody). Es muss immer klar dokumentiert sein, wer wannwie auf ein Beweisstuck zugreifen kann.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 6/39
Grundlagen
Das Locardsche Austauschprinzip: Einfuhrung
1. Edmond Locard (1877-1966):I Franzosischer Mediziner und Rechtsanwalt.
I Pionier der Kriminalistik und Forensik.
I Direktor des weltweit ersten Kriminallabors in Lyon (1912 vonPolizei anerkannt).
2. Locard’s exchange principle:I With contact between two items, there will be an exchange.
I Jeder und alles am Tatort hinterlasst etwas und nimmt etwasmit (physische Spuren).
I Basis fur die Suche nach Spuren (die immer existieren).
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 7/39
Grundlagen
Das Locardsche Austauschprinzip: Ubersicht
Spuren: Fingerabdrucke, Fußabdrucke, Schmauchspuren,Faserspuren, etc. sind oft die Hauptbelastungsbeweise fur dieAufklarung zahlreicher Verbrechen.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 8/39
Grundlagen
Das Locardsche Austauschprinzip: Zitat
Uberall dort, wo er geht, was er beruhrt, was er hinterlasst, auchunbewusst, all das dient als stummer Zeuge gegen ihn. Nicht nur seineFingerabdrucke oder seine Fußabdrucke, auch seine Haare, die Fasern ausseiner Kleidung, das Glas, das er bricht, die Abdrucke der Werkzeuge, dieer hinterlasst, die Kratzer, die er in die Farbe macht, das Blut oderSperma, das er hinterlasst oder an sich tragt. All dies und mehr sindstumme Zeugen gegen ihn. Dies ist der Beweis, der niemals vergisst. Erist nicht verwirrt durch die Spannung des Augenblicks. Er ist nichtunkonzentriert, wie es die menschlichen Zeugen sind. Er ist ein sachlicherBeweis. Physikalische Beweismittel konnen nicht falsch sein, sie konnensich selbst nicht verstellen, sie konnen nicht vollstandig verschwinden.Nur menschliches Versagen diese zu finden, zu studieren und zuverstehen kann ihren Wert zunichte machen.
Zitiert nach Wikipedia
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 9/39
Grundlagen
IT-Forensik
1. Indizien, Spuren im Kontext eines IT-Systems (Computer,Smartphone, HDD, SSD, RAM, USB-Stick, SD-Karte, Router,Netzkabel, WLAN, Cloud, ...).
2. Abstraktionsgrade:I Anwendungsebene: Applikationsdaten (z.B. sqlite, doc).
I Dateisystemebene: Dateisystem (z.B. NTFS, ext3).
I Datentragerebene: Partitionen (z.B. DOS-Partitionen).
I Bits und Bytes.
I Physische Spur: Signal.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 10/39
Prinzipien und Vorgehensmo-delle
Sieben W-Fragen der Kriminalistik
Typische Fragen im Zusammenhang mit einemErmittlungsverfahren:
1. Wer? - Tater
2. Was? - Straftat
3. Wo? - Tatort
4. Wann? - Tatzeitpunkt
5. Womit? - Spuren (z.B. Waffe)
6. Wie? - Tathergang
7. Weshalb? - Motiv
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 11/39
Prinzipien und Vorgehensmo-delle
Anforderungen an IT-Forensik
1. Akzeptanz: Untersuchungsschritte und Methoden in derFachwelt dokumentiert und anerkannt
2. Glaubwurdigkeit: Robustheit und Funktionalitat derangewandten Methoden (Unterschied zu Akzeptanz?)
3. Wiederholbarkeit: Erneute Durchfuhrung der forensischenUntersuchung erzielt dieselben Ergebnisse
4. Integritat: Digitalen Spuren bleiben unverandert
5. Ursache und Auswirkungen: Verbindungen zwischenEreignissen, Spuren und evtl. auch Personen herstellen.
6. Dokumentation: Insbesondere Chain of Custody
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 12/39
Prinzipien und Vorgehensmo-delle
SAP - Vorgehensmodell: Ubersicht
I Das S-A-P Modell ist ein Modell zur Beschreibung derVorgehensweise bei einer forensischen Untersuchung.
I Vorteil: Einfachheit
1. Secure: Identifizierung der Datenquellen, Datensicherung (zB:Erstellung von Kopien)
2. Analyse: Vorverarbeitung, Interpretierung
3. Present: Dokumentation, zielgruppenorientierte Prasentation
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 13/39
Prinzipien und Vorgehensmo-delle
BSI-Vorgehensmodell: Ubersicht
I Das BSI (Bundesamtes fur Sicherheit in derInformationstechnik) untergliedert forensische Prozess infolgende Untersuchungsabschnitte (Phasen):
1. strategische Vorbereitung;
2. operationale Vorbereitung;
3. Datensammlung;
4. Untersuchung;
5. Datenanalyse;
6. Dokumentation
einer forensischen Untersuchung
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 14/39
Prinzipien und Vorgehensmo-delle
BSI-Vorgehensmodell: Ubersicht
Quelle: Denise Muth, BSI
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 15/39
Prinzipien und Vorgehensmo-delle
BSI-Vorgehensmodell: Phase 1 + Phase 2
1. Strategische Vorbereitung:I Vor Eintritt eines Zwischenfalls (Zwischenfall = Symptom).
I Bereitstellung von Datenquellen (z.B. Logs von Webdiensten,Verbindungsdaten von Routern).
I Einrichtung einer forensischen Workstation samt Zubehor(Tools, Write-Blocker, Kabel fur Smartphones).
I Festlegung von Handlungsanweisungen (z.B. Rucksprache mitJuristen).
2. Operative Vorbereitung:I Bestandsaufnahme vor Ort nach Eintritt eines Zwischenfalls.
I Festlegung des konkreten Ziels der Ermittlung.
I Festlegung der nutzbaren Datenquellen (Datenschutzbeachten).
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 16/39
Prinzipien und Vorgehensmo-delle
BSI-Vorgehensmodell: Phase 3 + Phase 4
3. Datensammlung:I Eigentlich: Datenakquise oder Datensicherung.
I Sicherung der im Rahmen der operativen Vorbereitungfestgelegten Daten.
I Integritat der Datentrager sowie Vier-Augen-Prinzipberucksichtigen.
I Order of Volatility (Unbestandigkeit) bei der Datensicherungbeachten (z.B. RAM zuerst).
4. Datenuntersuchung:I Eigentlich: Vorverarbeitung fur anschließende Analyse.
I Datenreduktion (irrelevant vs. relevant).
I Datenrekonstruktion (z.B. Dateiwiederherstellung).
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 17/39
Prinzipien und Vorgehensmo-delle
BSI-Vorgehensmodell: Phase 5 + Phase 6
5. Datenanalyse:I Eigentliche Analyse der vorverarbeiteten Daten.
I Insbesondere Korrelation der Daten.
6. Dokumentation:I Verlaufsprotokoll: Protokollierung aller Einzelschritte im Laufe
der verschiedenen Ermittlungsphasen.
I Ergebnisprotokoll: Adaption des Verlaufsprotokolls fur einebestimmte Zielgruppe (z.B. Staatsanwalt, Geschaftsleitung,IT-Abteilung).
I Nutzung standardisierter Terminologie (CERT-Terminologie).
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 18/39
Prinzipien und Vorgehensmo-delle
BSI-Vorgehensmodell: Phase 6
I Der prozessbegleitende Dokumentationsprozess verlauftparallel zu der Durchfuhrung der anderen Phasen.
I Seine Aufgabe ist das Protokollieren der gewonnenen Datenund durchgefuhrten Prozesse.
I Der prozessbegleitende Dokumentationsprozess zeichnet alsoauf, welche Daten beim Durchfuhren der einzelnen Methodengewonnen wurden, protokolliert aber gleichzeitig auchParameter der Durchfuhrung selbst.
I Beipiele: Name und Versionsnummer des verwendetenProgramms, Motivation zur Auswahl dieses Programms, etc.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 19/39
Prinzipien und Vorgehensmo-delle
Kurzabriss: Tools
1. The Sleuthkit (TSK):I Toolsammlung zur IT-forensischen Analyse von Datentragern.
I Autor: Brian Carrier.
I Frontend (insbesondere fur Windows): Autopsy.
I Tools auf unterschiedlichen Abstraktionsebenen:I Dateisystemebene: fls, ils, blkcat.
I Datentragerebene: mmls.
2. dd: Datensicherung.
3. sha256sum: Berechnung von Hashwerten.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 20/39
Datentrageranalyse
Erstellung der Arbeitskopien
Quelle: Denise Muth
1. Paradigma: Original so selten wie moglich verwenden.I Einfach bei klassischen Datentragern wie HDDs, SSDs,
SD-Karten, USB-Sticks.
I Schwierig(er) bei Smartphones, Hauptspeicher, Cloud
2. Verwendung von Schreibschutz (typischerweiseHardware-basierte Write-Blocker).
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 21/39
Datentrageranalyse
Fallbeispiel: Sicherung externer HDD
# sha256sum /dev/sdb
6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 /dev/sdb
# dd if=/dev/sdb of=mastercopy.dd bs=512
# dd if=mastercopy.dd of=workingcopy.dd bs=512
# sha256sum mastercopy.dd workingcopy.dd
6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921
mastercopy.dd
6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921
workingcopy.dd
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 22/39
Datentrageranalyse
Sektor, Partitionierung
Sektor:
I Kleinste adressierbare Einheit auf einem Datentrager.
I Adressierungsschema: Logical Block Address (LBA), vonvorne nach hinten.
I Große: 512 Byte (alter), 4096 Byte (modern).
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 23/39
Datentrageranalyse
Partitionierung
Partitionierung:
I Ziel: Organisation in kleinere Bereiche zur Ablageunterschiedlicher Daten (z.B. Windows parallel zu Linux;Betriebssystem vs. Nutzerdaten).
I Layout des Datentragers in Partitionstabelle beschrieben.
I Verbreitete Schemata: DOS-Partitionierung,GPT-Partitionierung.
I Sleuthkit-Tool: mmls.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 24/39
Datentrageranalyse
Fallbeispiel: Partitionierung externer HDD
# mmls workingcopy.dd
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
Slot Start End Length Description
00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000000 0000002047 0000002048 Unallocated
02: 00:00 0000002048 0960237567 0960235520 Win95 FAT32 (0x0C)
03: ----- 0960237568 0960239615 0000002048 Unallocated
04: Meta 0960239614 0976771071 0016531458 DOS Extended (0x05)
05: Meta 0960239614 0960239614 0000000001 Extended Table (#1)
06: 01:00 0960239616 0976771071 0016531456 Linux Swap/Solarisx86 (0x82)
07: ----- 0976771072 0976773167 0000002096 Unallocated
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 25/39
Datentrageranalyse
Fallbeispiel: Partitionierung externer HDD
I Wir sehen, dass es sich um eine DOS-Partitionierung handelt,die Zahlung am Beginn des Datentragers startet und dass dieZahlen in der Maßeinheit Sektoren zu je 512 Byte angegebenwerden.
I Wir sehen insgesamt zwei Partitionstabellen: die primareTabelle steht im MBR (Primary Table (#0) im Eintrag 00),die zweite Partitionstabelle findet sich im ersten Sektor dererweiterten Partition als Eintrag 05.
I Wir finden drei nicht-allozierte Bereiche (Eintrage 01, 03 und07) sowie zwei Dateisystempartitionen vor (Eintrage 02 und06).
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 26/39
Datentrageranalyse
Fallbeispiel: USB-Stick
[SECURE /dev/sdb to image-usb.dd]
$ mmls image-usb.dd
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
Slot Start End Length Description
00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000000 0000000031 0000000032 Unallocated
02: 00:00 0000000032 0003915775 0003915744 DOS FAT16 (0x06)
$ dd if=image-usb.dd of=partition-fat.dd bs=512 skip=32 count=3915744
3915744+0 records in
3915744+0 records out
$ sha256sum partition-fat.dd
c3ddd15edc5af356dc51f80dd5f54aefcfa34166ee950dd410651e08fd32a649
partition-fat.dd
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 27/39
Dateisystemanalyse
Grundlagen
1. Schnittstelle zwischen Betriebssystem und verbundenenDatentragern.
2. Verwaltung von Dateien: Namen, Zeitstempel, Speicherort.
3. Phanomen Fragmentierung.
4. Cluster:I Kleinste adressierbare Einheit auf Dateisystemebene.
I Alternative Bezeichnungen: FS-Block (File System Block) odernur Block.
I Typische Große: 4096 Byte = 4 KiB.
5. Dateisystemanalyse: Untersuchung der analysefahigenStrukturen auf Dateisystemebene.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 28/39
Dateisystemanalyse
Beispiele fur Dateisysteme
1. extended file system: (ext2, ext3, ext4 = extX)I Standarddateisystem unter Linux.
I ext4 ist heute Standarddateisystem unter Android.
2. FAT-Dateisystem (FAT12, FAT16, FAT32)I Alteres Dateisystem von Microsoft (aus MS-DOS-Zeiten).
I Heute noch gebrauchlich auf Wechseldatentragern.
3. New Technology File System (NTFS):I Aktuelles Dateisystem von Microsoft.
I Wegen Windows-Verbreitung sehr bedeutend.
4. Hierarchical File System (HFS/HFS+):I Aktuelles Dateisystem von Apple.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 29/39
Dateisystemanalyse
Kategorien
Dateisystemdaten:
1. Grundlegende Informationen zu Dateisystem.
2. ’Am Anfang’ des Dateisystems: Bootsektor.
3. Typische Dateisystemdaten:I Clustergroße.
I Große des Dateisystems.
I Belegtstatus der Cluster: welche sind belegt, wie viele sindbelegt.
I Pointer zu weiteren Informationen uber das Dateisystem.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 30/39
Dateisystemanalyse
Kategorien
Metadaten:
1. Verwaltungs-Informationen uber eine Datei.
2. Zeitstempel:I Modified Time: Last write access.
I Accessed Time: Last read access.
I Creation Time: File has been created.
I Manchmal noch vierter Zeitstempel (wann geloscht, wannMetadaten geandert, ...).
3. Dateigroße.
4. Pointer zu den Inhaltsdaten (z.B. Clusteradressen).
5. Inhaber samt Zugriffsrechte.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 31/39
Dateisystemanalyse
Fallbeispiel: Bootsektor einer FAT-Partition (1/2)
$ fsstat partition-fat.dd
FILE SYSTEM INFORMATION
--------------------------------------------
OEM Name: MSWIN4.1
Volume ID: 0xc2f8e4f2
Volume Label (Boot Sector): NO NAME
File System Type Label: FAT16
File System Layout (in sectors)
Total Range: 0 - 3915743
* Reserved: 0 - 1
** Boot Sector: 0
* FAT 0: 2 - 240
* FAT 1: 241 - 479
* Data Area: 480 - 3915743
** Root Directory: 480 - 511
** Cluster Area: 512 - 3915711
** Non-clustered: 3915712 - 3915743
[cont]
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 32/39
Dateisystemanalyse
Fallbeispiel: Bootsektor einer FAT-Partition (2/2)
[cont]
METADATA INFORMATION
--------------------------------------------
Range: 2 - 62644230
Root Directory: 2
CONTENT INFORMATION
--------------------------------------------
Sector Size: 512
Cluster Size: 32768
Total Cluster Range: 2 - 61176
FAT CONTENTS (in sectors)
--------------------------------------------
[REMOVED]
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 33/39
Dateisystemanalyse
Fallbeispiel: Bootsektor einer FAT-Partition
I In der ersten Kategorie FILE SYSTEM INFORMATION sehenwir, dass es sich um ein FAT16-Dateisystem handelt und dieAdressierung der Sektoren von 0 bis 3915743 reicht – mit derSektorgroße 512 Byte = 1
2 KiB.
I Daraus ergibt das eine Dateisystemgroße von
3915744 · 12KiB = 1911 · 1024 KiB = 1.86 GB .
I Die weiteren Informationen in der KategorieFILE SYSTEM INFORMATION beschreiben die Lage der dreiBereiche eines FAT-Dateisystems, namlich den reserviertenBereich, die beiden File Allocation Tables (FAT0 bzw. derenBackup FAT1) sowie den Datenbereich.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 34/39
Dateisystemanalyse
Fallbeispiel: Bootsektor einer FAT-Partition
I In der zweiten Kategorie METADATA INFORMATION erhaltenwir Informationen uber den Adressbereich der ’Inodes’.
I Das Wurzelverzeichnis des Dateisystems hat dieInode-Nummer 2, Inodes 0 oder 1 gibt es unter FAT nicht.
I Unter CONTENT INFORMATION erfahren wir die Sektor- unddie Clustergroße (bitte beachten, dass die Sektorgroße vomDatentrager, nicht aber vom Dateisystem festgelegt wird).Der Adressbereich der Cluster ist 2 bis 61176. Auch hier gilt,dass es weder einen Cluster 0 noch einen Cluster 1 gibt.
I Schließlich erfahren wir in der Kategorie FAT CONTENTS
Informationen uber die Anzahl und Fragmentierung allozierterDateien und Verzeichnisse.
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 35/39
Dateisystemanalyse
Fallbeispiel: Dateien auf USB-Stick
$ fls -ar partition-fat.dd
r/r * 3: _ICT0001.JPG
r/r * 4: _ICT0003.JPG
r/r * 5: _ICT0004.JPG
r/r * 6: _ICT0005.JPG
r/r * 7: _ICT0017.JPG
r/r * 8: _ICT0009.JPG
[REMOVED]
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 36/39
Dateisystemanalyse
Fallbeispiel: Dateien auf USB-Stick
I In der ersten Spalte steht r/r fur eine regularare Datei, v/v fureine virtuelle (d.h. nicht existierende) Datei, die das Sleuthkiteinfugt. d/d bezeichnet ein Verzeichnis.
I Die zweite Spalte gibt an, ob eine Datei oder ein Verzeichnisalloziert oder geloscht ist.
I Im ersten Fall gibt fls die Inode-Nummer an, im Falle einesgeloschten Objekts zusatzlich ein *.
I Es befinden sich also nur geloschte Dateien auf demUSB-Stick
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 37/39
Dateisystemanalyse
Fallbeispiel: Metadaten auf USB-Stick
Metadaten der geloschten Datei unter Inode 3
$ istat partition-fat.dd 3
Directory Entry: 3
Not Allocated
File Attributes: File, Archive
Size: 2438492
Name: _ICT0001.JPG
Directory Entry Times:
Written: Sat Mar 27 09:23:06 2010
Accessed: Fri Jun 4 00:00:00 2010
Created: Sat Apr 3 14:26:56 2010
Sectors:
512 513 514 515 516 517 518 519
520 521 522 523 524 525 526 527
528 529 530 531 532 533 534 535
536 537 538 539 540 541 542 543
[REMOVED]
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 38/39
Dateisystemanalyse
Fallbeispiel: Wiederherstellung auf USB-Stick
Wiederherstellung von (vermutetem) Dateinamen PICT0001.JPG
$ icat -r partition-fat.dd 3 > usb-pic1.jpg
$ file usb-pic1.jpg
usb-pic1.jpg: JPEG image data, JFIF standard 1.01
$ sha256sum usb-pic1.jpg
0fae1c92bd80ff326cd14005a8fce92c7ee454fb28e6a8e016ee048a958ad4d3 usb-pic1.jpg
Dr. Marta Gomez-Barrero IT-Forensik, Kapitel 5 / 27.11.2018 39/39