Disk-Forensik/ Beweismittelanalyse/ Autopsy Forensic Browser
Der Autopsy Forensic Browser ist ein HTML basiertes grafisches Benutzerinterface für die Tools des SleuthKit. Die dadurch vereinfachte Benutzung der Tools ist nicht der einzige Vorteil, den Autopsy bietet. Er erweitert das Toolset um die Möglichkeit der Verwaltung von mehreren Ermittlungsfällen an unterschiedlichen Images. Mehrere Ermittler können definiert werden, die am gleichen Analysesystem unterschiedliche Fälle gleichzeitig bearbeiten. Ein solcher Ermittlungsfall wird im Programm als Case bezeichnet. Ein Case kann mehrere Hosts umfassen und mehrere Ermittler können an einem Case arbeiten. Ein Logfile protokolliert die Schritte der einzelnen Ermittler mit, um sie später nachvollziehen zu können.
Nachdem einem Case die entsprechenden Ermittler und Images zugeordnet sind, kann mit der Analyse begonnen werden. Es stehen hierzu die gleichen Ebenen der Analyse zur Verfügung, wie sie auch das Sleuth Kit bietet: Analysen auf Dateiebene, Metaebene und Datenebene. Der Autopsy Browser ermöglicht das Durchsuchen der Verzeichnisstruktur und zeigt dabei auch gelöschte Objekte, wie Dateien und Verzeichnisse an. Interessante Objekte können dadurch bis auf Ebene der Datenblöcke hinunter untersucht werden. Mit Hilfe einer Dateityp-Analyse können Dateien gleichen Typs in Gruppen geordnet werden, wodurch die Suche nach speziellen Dateien vereinfacht wird. Zusätzlich verfügt Autopsy über eine umfangreiche Suchfunktion, wodurch eine Suche nach Schlüsselwörtern innerhalb der auf dem Image enthaltenen Dateien durchgeführt werden kann. Diese Suchfunktion unterstützt auch reguläre Ausdrücke und besitzt vorkonfigurierte Suchen nach IP-Adressen und Datumsangaben.
Eine Betrachtung allozierter und nicht allozierter Inodes ist ebenso möglich, wie eine auf einen frei definierbaren Zeitraum beschränkte Untersuchung der Geschehnisse am System. Damit kann eine Liste erstellt werden, wann welche Veränderungen am System durchgeführt wurden, um somit den Ablauf eines Angriffes nachvollziehen zu können.
Analysemodi
[Bearbeiten]Der Autopsy Forensic Browser bietet zwei unterschiedliche Analysemodi.
- Dead Analysis: Hierbei werden Daten eines zu untersuchenden Systems in einer vertrauten Umgebung analysiert. Diese vertraute Umgebung bietet garantiert unkorrumpierte Tools und ermöglicht die Untersuchung von Originaldatenträgern und Images unter Laborbedingungen.
- Live Analysis: Hierbei wird das zu untersuchende System im laufenden Zustand untersucht. Autopsy wird dazu in einem nicht vertrauenswürdigen System von CD gestartet und verwendet die auf der CD enthaltenen Tools. Dieser Analysemodus wird meist dazu verwendet um flüchtige und temporäre Speicher zu analysieren und das System für die Dead Analysis vorzubereiten.
Techniken zur Beweismittelsuche
[Bearbeiten]Der Autopsy Forensic Browser schließt die Tools des SleuthKit zusammen und bietet durch seine grafische Darstellung eine komfortable und übersichtliche Analyse. Folgende Techniken werden dabei eingesetzt:
- Dateiauflistung: Listet Dateien und Verzeichnisse auf. Diese Auflistung enthält auch gelöschte Dateien.
- Dateiinhalt: Gefundene Dateien können in unterschiedlichen Anzeigeformaten ausgegeben werden.
- Hashdatenbank: Der Hash unbekannter Dateien kann in einer Datenbank bekannter Hashes abgeglichen werden. Auf diese Weise können korrumpierte Dateien leichter gefunden werden.
- Dateitypsortierung: Hiermit werden die Dateitypsignaturen in den Dateien untersucht und mit der Dateityperweiterung verglichen um Umbenennungen zu erkennen. Grafiken können extrahiert und in einer Vorschau angezeigt werden.
- Zeitlinie der Dateiaktivitäten: Durch Erstellen einer Zeitlinie von Dateioperationen kann ein Rückschluss auf die Aktivitäten gezogen werden, wodurch der Ablauf der Vorgänge am zu untersuchenden System nachvollzogen werden können.
- Schlüsselwortsuche: Der allozierte und unallozierte Speicherbereich kann nach gegebenen Schlüsselwörtern durchsucht werden.
- Metadaten Analyse: Durch Analyse der Metadaten von Dateien kann die Wiederherstellung gelöschter Dateien möglich gemacht werden.
- Dateneinheiten Analyse: Diese Analyse ermöglicht es beliebige Dateneinheiten zu untersuchen und referenzierende Metadaten aufzufinden.
- Image Details: Hier werden Informationen über das Dateisystemimage angezeigt.
Case Managment
[Bearbeiten]- Case Management: Hier werden die Cases verwaltet. Jedem Case werden die Hosts und die Ermittler zugewiesen, wobei jedem Host beliebige Images zugewiesen werden können. Ein Abgleich der Zeit kann vorgenommen werden um die Abläufe in der Korrekten zeitlichen Abfolge darstellen zu können.
- Ablaufsteuerung der Vorfälle: Hiermit können Einträge von Logdateien (z.B. Firewalls, IDS) und Dateioperationen abgeglichen werden um die korrekte Reihenfolge der Abläufe darzustellen.
- Notizen: Jedem Host oder jedem Ermittler können Notizen zugeordnet werden. Dies vereinfacht die Untersuchung des Systems.
- Image Integrität: Autopsy erstellt bei importierten oder erstellten Dateien automatisch MD5 Hashes um die Integrität jederzeit zu gewährleisten.
- Berichte: Autopsy kann Berichte in ASCII Form zu Dateien oder Dateisystemstrukturen erstellen.
- Logging: Um die Aktivitäten des Ermittlers, auf einem Host oder an einem Case nachvollziehen zu können werden alle Schritte geloggt. Die exakten Kommandos der verwendeten SleuthKit Tools sind in diesen Logs ebenfalls enthalten.
- Offenes Design: Durch das offene Design von Autopsy und der Tools ist es möglich das Programm den eigenen Bedürfnissen anzupassen und um eigene Tools zu erweitern.
- Client-Server-Modell: Durch das HTML basierte System, auf dem der Autopsy Forensic Browser beruht, ist es möglich, dass mehrere Ermittler den gleichen Server verwenden und sich von entfernten Systemen einloggen können.