Zum Inhalt springen

Disk-Forensik/ Beweismittelanalyse/ EnCase

Aus Wikibooks

Das kommerzielle Produkt EnCase findet vor allem im Umfeld polizeilicher Ermittlungen Einsatz. Dieses bekannte und ausgereifte Produkt läuft unter Windows und kann sowohl selbst Images zur forensischen Analyse erstellen, als auch jene verwenden, welche mit dd erstellt wurden. Um die professionelle und nachvollziehbare Analyse zu ermöglichen, verfügt EnCase über ein Case-Management-System, in dem die einzelnen Ermittlungsfälle verwaltet werden. Die Logfunktionen ermöglichen es, die Schritte der Analyse nachzuvollziehen. Um die Arbeit bei der Analyse zu erleichtern, bietet EnCase die Möglichkeit, nur einen Teil des gesamten verfügbaren Datenvolumens als „logical Evidence File“ in die Untersuchung einzubinden. Dies gestaltet für den untersuchenden Ermittler den Analysebereich anschaulicher und bietet ihm gleichzeitig die Möglichkeit, bei Bedarf auf die restlichen Teile ebenfalls zugreifen zu können, um sie in die Untersuchung einzubinden.

Analysierbare Systeme

[Bearbeiten]

EnCase unterstützt die Analyse von folgenden Dateisystemen:

  • FAT12/16/32
  • NTFS
  • EXT2/3 (Linux)
  • Reiser (Linux)
  • UFS (Sun Solaris)
  • AIX Journaling File System (JFS1 and JFS2) und LVM8
  • FFS (OpenBSD, NetBSD and FreeBSD)
  • Palm
  • HFS
  • HFS+ (Macintosh)
  • CDFS
  • ISO 9660
  • UDF
  • DVD
  • TiVo® 1 und TiVo 2 file system

Auch komprimierte NTFS-Systeme und Platten aus einem Hard- oder Software Raid-0, Raid-1 oder Raid-5 Verbund können analysiert werden. Zusätzlich kann EnCase Images von VMware, Microsoft Virtual PC, dd und SaveBack v2 interpretieren und analysieren.

Suchfunktion

[Bearbeiten]

Wie die meisten anderen Toolkits auch unterstützt EnCase ebenfalls die automatisierte Suche nach bestimmten Keywords. Suchmuster für IP Adressen und E-Mail Adressen sind bereits vorgegeben und können einfach benutzt werden. Mit Hilfe regulärer Ausdrücke können eigene komplexe Suchanfragen gestartet werden. Der Suchvorgang benötigt aber aufgrund eines fehlenden Suchindexes relativ lange, wodurch es ratsam ist die Suchkriterien vorher genau zu bestimmen und korrekt auszuformulieren. Von EnCase unterstützte Suchoptionen sind weiters:

  • Annäherungssuche: Dieser Suchmodus liefert das Dokument zurück, welches das gesuchte Keyword enthält und zeigt eine vorgegebene Anzahl an das gefundene Suchwort umgebende Bytes an.
  • Groß-/Kleinschreibung beachtend
  • GREP (Global Regular Expressions Post): Die Unterstützung von regulären Ausdrücken
  • RTL Reading: Internationale Unterstützung für Schriften, welche von rechts nach links zu lesen sind.
  • Active Code Page: Unterstützung verschiedener Sprachen
  • Big Endian/Little Endian Unicode/UTF-7/UTF-8: EnCase unterstützt auch internationale Zeichensätze.

Scriptsprache

[Bearbeiten]

Obwohl die Suchfunktion aufgrund der regulären Ausdrücke sehr leistungsstark ist, so erschwert sie doch das Auffinden von Unbekanntem. Dem kann die in EnCase eigens enthaltene Script-Sprache EnScript Abhilfe verschaffen und liefert einige hilfreiche Scripts mit. Anwender von EnCase können diese Scripte untereinander austauschen und somit schnell neue Automationsmechanismen und neue Analysefunktionen integrieren.

Dateihandling

[Bearbeiten]

EnCase verfügt über verschiedenste Möglichkeiten Dateien und Dateistrukturen aufzufinden, zu analysieren und wiederherzustellen. So können Ordnerstrukturen formatierter NTFS- oder FAT-Datenträger und gelöschte Dateien wieder hergestellt werden. EnCase kann weiters auch Archivdateien (wie TAR, GZ oder ZIP) extrahieren und analysieren. Die Dateien werden dabei virtuell extrahiert und in den Analysefall eingebettet, ohne dabei das zu analysierende Image zu verändern. Ebenfalls verfügt es über die Möglichkeit in Office-Dokumenten eingebettete OLE-Verknüpfungen anzuzeigen. Registry-Dateien können mittels EnCase ebenfalls eingelesen und leicht verarbeitet werden, was die offline Untersuchung von Windows Systemen vereinfacht. Andere gefundene Dateien wie MP3- oder AVI-Dateien können von EnCase aus mit externen Programmen geöffnet werden.

E-Mail Analyse

[Bearbeiten]

Um mögliche Spuren im E-Mail-Verkehr leichter auffinden zu können unterstützt EnCase die Analyse verschiedenster E-Mail Formate:

  • Outlook PST/OST ('97-'03)
  • Outlook® Express DBX
  • Lotus Notes NFS
  • Hotmail
  • Netscape
  • Yahoo
  • UNIX mbox-Dateien wie sie bei Mac OS X verwendet werden
  • Netscape
  • Firefox
  • UNIX E-Mail-Anwendungen
  • AOL 6, 7, 8, 9.

Browser History Analyse und Internet Objekte

[Bearbeiten]

Spuren, die von Internet Explorer, Mozilla, Opera oder Safari hinterlassen wurden, kann EnCase ebenfalls automatisiert auffinden und analysieren. Dazu werden die Cache-Dateien und die History-Daten untersucht. Weiters kann EnCase noch nach HTML-Dateien im Dateisystem suchen und gefundene Dateien nötigenfalls rekonstruieren, interpretieren und anzeigen. Das Kazaa Toolkit sucht im Case nach Kazaa-Objekten, während das Instant Messenger Toolkit nach verschiedenen Objekten unterschiedlicher IM-Programme sucht. Die Ergebnisse all dieser Suchen kann EnCase übersichtlich anzeigen, um dem Ermittler die Analyse zu vereinfachen.

Dokumentation und Reporting

[Bearbeiten]

Bei jeder forensischen Analyse ist es wichtig, die durchgeführten Schritte jederzeit nachvollziehen zu können und die Ergebnisse der Analyse in verständlicher Weise zu präsentieren. EnCase unterstützt den Ermittler hierbei durch integrierte Reporting-Funktionalität. Dazu werden Listen aller in dem Case enthaltenen Dateien und Ordner genauestens aufgelistet. Eine Liste der URLs und der Zugriffszeitpunkte von besuchten Webseiten wird ebenfalls von EnCase automatisch erstellt. Detaillierte Informationen über das analysierte Laufwerk werden ebenso hinzugefügt. Diese enthalten sowohl Informationen über physische wie auch logische Partitionen. Bilder können mit Hilfe des integrierten Bildbetrachters auch in einer Galerieansicht dargestellt werden, um die Übersicht zu gewährleisten. In grafischer Darstellung können Aktivitäten anhand einer Zeitlinie dargestellt werden, wodurch Rückschlüsse auf die Abläufe am System leichter nachzuvollziehen sind. Wie auch bei anderen Forensik Toolkits kann auch bei EnCase die Zeitzone so angepasst werden, dass die durch die Analyse gewonnenen Zeiten den tatsächlichen Zeiten der Geschehnisse entsprechen.