Disk-Forensik/ Sicherstellung/ Versteckte Daten

Aus Wikibooks

In der Regel werden Dateien, welche als mögliche Beweismittelquellen für die Schuld des Verdächtigen dienen könnten, von diesem am System versteckt. Es gibt zahlreiche Möglichkeiten um ein solches Data-Hiding [2] durchzuführen:

  • Umbenennen der Datei
  • Dateiendung manipulieren
  • Hidden-File-Attribut
  • File-Segmentation
  • Alternate Data-Streams
  • Embedded-Files
  • Steganography
  • Signaturfälschung

Umbenennen der Datei[Bearbeiten]

Verstecken[Bearbeiten]

Mit dieser etwas banalen Art eine Datei zu verstecken, kann man sich im besten Fall nur vor Analysten schützen, welche nach einem bestimmten Dateinamen suchen. In Verbindung mit dem Ändern der Dateiendung, kann diese Methode durchaus Erfolg versprechend sein. Es wäre somit möglich, ein verdächtiges Bild namens suspect.jpg in eine Datei namens winmine.exe umbenennen. Diese winmine.exe liegt im Windows System32 Ordner und steht im Normalfall für das im Windows inkludierte Spiel Minesweep. Niemand würde auf die Idee kommen, dass sich hinter dieser eigentlichen Windowsdatei ein Bild versteckt. Für einen professionellen Analysten stellt diese Form des Versteckspiels keine Hürde dar, da er weiterhin nach der Dateisignatur suchen kann. Um Dateien gegen oberflächliche Analysen eines Administrators zu schützen, welcher die Ordner nach verdächtigen Dateien durchforstet, kann es allerdings zum Erfolg führen. Viele Trojaner und Viren verwenden diese Form des Versteckspiels.

Wiederfinden[Bearbeiten]

Gefunden werden solche Dateien anhand der Dateisignatur oder der Checksumme.

Dateiendung ändern[Bearbeiten]

Verstecken[Bearbeiten]

Um einen Analysten an der Nase herumzuführen, welcher nach bestimmten Dateien anhand der Endung sucht, genügt es diese Endung auf eine beliebige andere zu ändern. Jedes moderne Betriebssystem ist in der Lage mit selbst definierten Dateiendungen umzugehen. Dateiendungen sind unter Windows standardmäßig ausgeblendet. Um diese anzeigen zu können bedarf es der Deaktivierung der Option „Dateiendungen bekannter Dateitypen ausblenden“ in den Ordneroptionen. Die Dateiendung zu ändern hilft in erster Linie wieder nur gegen oberflächliche Untersuchungen. Für einen professionellen Analysten wird diese Form des Versteckspiels keine Hürde darstellen.

# D:\Unixtools\usr\local\wbin>md5sum.exe "C:\Documents and Settings\Brain\My Documents\ForensikExample\original_name.jpg" 
\887f0746a92817e2ed969b721ccb8529 *C:\\Documents and Settings\\Brain\\My Documents\\ForensikExample\\original_name.jpg

# D:\Unixtools\usr\local\wbin>md5sum.exe "C:\Documents and Settings\Brain\My Documents\ForensikExample\fake_name.jpg" 
\887f0746a92817e2ed969b721ccb8529 *C:\\Documents and Settings\\Brain\\My Documents\\ForensikExample\\fake_name.jpg

# D:\Unixtools\usr\local\wbin>md5sum.exe "C:\Documents and Settings\Brain\My Documents\ForensikExample\fake_name.exe"
\887f0746a92817e2ed969b721ccb8529 *C:\\Documents and Settings\\Brain\\My Documents\\ForensikExample\\fake_name.exe

Wie man anhand der identischen Checksummen nur unschwer erkennen kann, bleibt die Checksumme trotz dem Umbenennen der Datei stets gleich. Erst wenn man den Inhalt der Datei selbst, ändert, ändert sich auch die Checksumme. Würde man beispielsweise die Größe des Bildes ändern, hätte man eine neue Checksumme.

Wiederfinden[Bearbeiten]

Auffinden mit Hilfe der Checksumme oder mit Dateisignaturen.

Hidden File[Bearbeiten]

Verstecken[Bearbeiten]

Windows- wie auch Linux-Filesysteme bieten die Möglichkeit eine Datei als Versteckte Datei zu „markieren“. Unter Windows setzt man dazu das „Versteckte Datei“-Attribut. Unter Linux werden Dateien, welche mit einem Punkt beginnen (z.B.: .hidden) bei der einfachen Dateiauflistung nicht angezeigt. In der Exploreransicht und mit dem Directorybefehl in der MS-Eingabeaufforderung sind versteckte Dateien standardmäßig nicht ersichtlich. Erst wenn die Option „Zeige versteckte Dateien und Ordner“ in den Ordneroptionen ausgewählt wurde, werden diese im Explorer angezeigt. In der Konsole werden diese mit dem Befehl „dir /a“ angezeigt.

# C:\Documents and Settings\Brain\Start Menu>dir
Volume in drive C is WinXP
Volume Serial Number is 9CA7-F531
Directory of C:\Documents and Settings\Brain\Start Menu
10.09.2006  16:31    <DIR>          .
10.09.2006  16:31    <DIR>          ..
10.09.2006  16:31               418 JAP.lnk
21.12.2006  21:56    <DIR>          Programs
               1 File(s)            418 bytes
               3 Dir(s)     724.148.224 bytes free

# C:\Documents and Settings\Brain\Start Menu>dir /a
Volume in drive C is WinXP
Volume Serial Number is 9CA7-F531
Directory of C:\Documents and Settings\Brain\Start Menu
10.09.2006  16:31    <DIR>          .
10.09.2006  16:31    <DIR>          ..
17.02.2006  22:41                62 desktop.ini
10.09.2006  16:31               418 JAP.lnk
21.12.2006  21:56    <DIR>          Programs
               2 File(s)            480 bytes
               3 Dir(s)     724.090.880 bytes free

Wiederfinden[Bearbeiten]

Zahlreiche Programme für die forensische Untersuchung sind in der Lage auch Dateien mit gesetzten Hidden-Attribut zu finden. Man könnte die Option "Versteckte Dateien und Ordner anzeigen" aktivieren und die Analyse auf normalen Wege fortsetzen.

File Segmentation[Bearbeiten]

Verstecken[Bearbeiten]

Wenn eine große Datei auf einem Datenträger, wie beispielsweise einem USB-Stick, keinen Platz findet, wird diese Datei in Segmente aufgeteilt und auf mehrere Datenträger verteilt. Am Zielsystem werden diese Segmente wieder zusammengeführt und die Datei kann verwendet werden. Möchte man Dateien verstecken, könnte man diese zuerst in Segmente unterteilen und diese Segmente an verschiedenen Orten auf dem Datenträger unterbringen, um ein Auffinden derselbigen zu erschweren. Zum tatsächlichen Verstecken wird eine der bereits erwähnten oder noch folgenden Methoden verwendet.

Wiederfinden[Bearbeiten]

Auffinden anhand der Dateisignatur, allerdings sind weitere Schritte notwendig um die restlichen Segmente aufzuspüren.

Alternate Data Streams (ADS)[Bearbeiten]

Verstecken[Bearbeiten]

Als Microsoft das NTFS Dateisystem entwickelt hat, wurden zur Unterstützung von Dateien des Apple HFS (Hirarchical Filesystem) die alternativen Datenströme eingeführt. Dies war nötig, da das HFS zum Speichern von Dateien jeweils einen Daten- und einen Ressource-Fork speichert. Erst mit der Einführung von Alternativen Datenströmen war es möglich diese Dateien auch unter Windows zu benutzen. Windows selbst nutzt alternative Datenströme um Dateiinformationen zu speichern. Die Anzahl ist dabei unbegrenzt. Alternative Datenströme werden auf herkömmliche Art und Weise weder im Explorer noch in der Eingabeaufforderung angezeigt.

Erstellung eines ADS:
C:\ echo „Inhalt der ersichtlichen Datei“ > ersichtlich.txt
C:\ echo „Inhalt des alternativen Datenstroms“ > ersichtlich.txt:versteckt.txt

Mit dem Anhängen des Doppelpunktes an eine herkömmliche Datei wird der Alternative Datenstrom erzeugt. Unter Windows bietet lediglich die Console (cmd.exe) die Möglichkeit, mit "dir <Verzeichnis> /r" Alternative Datenströme anzuzeigen. Es gibt im Internet allerdings zahlreiche hilfreiche Tools, welche dies ermöglichen. Solche Tools sind lads.exe, streams.exe und sfind.exe.

Auffinden von alternativen Datenströmen mit Hilfe von lads.exe:
C:\>lads.exe

LADS - Freeware version 4.00
(C) Copyright 1998-2004 Frank Heyne Software (http://www.heysoft.de)
This program lists files with alternate data streams (ADS)
Use LADS on your own risk!

Scanning directory C:\

       size  ADS in file
----------  ---------------------------------
        40  C:\ersichtlich.txt:versteckt.txt

        40 bytes in 1 ADS listed

Öffnen und Bearbeiten kann man einen ADS nur, wenn man diesen direkt anspricht und mit der entsprechenden Anwendung öffnet. Eine Änderung des Inhalts der ersichtlichen Datei, sowie eine Änderung des Namens und der Dateiendung hat keinerlei Einfluss auf den alternativen Datenstrom. Erst durch das Löschen der Originaldatei, wird auch der ADS gelöscht. Als Alternativer Datenstrom kann jeder beliebige Datentyp gewählt werden. Dadurch ist es auch möglich, ausführbare Dateien oder Bilder zu verstecken und bei Bedarf auszuführen. Während unter Windows 2000 in einem ADS versteckte ausführbare Dateien im Taskmanager nicht ersichtlich waren, werden diese in Windows XP Taskmanager angezeigt.

Wiederfinden[Bearbeiten]

Nur möglich mit einem Tool, welches ADS erkennen kann.

Office Dokumente (Embedded Files)[Bearbeiten]

Verstecken[Bearbeiten]

Office Dokumente (Word, Excel, PowerPoint etc.) bieten zahlreiche Methoden wie man Daten und Informationen darin verstecken kann. Die einfachste Form Informationen in einem Office Dokument zu verstecken lässt sich bereits durch die Auswahl der Schreibgröße und Schriftfarbe realisieren. Ein Text könnte mit Schriftfarbe weiß auf weißem Hintergrund und einer Schriftgröße von zwei, einfach versteckt werden. Dass diese Methode nicht unbedingt effektiv ist, versteht sich von selbst. Office Dokumente beinhalten oftmals Bilder als so genannte „embedded files“, also eingebundene Dateien. Auf diese Art und Weise werden sehr häufig Bilder eingefügt. Diese Bilder sind also auf den ersten Blick einer Analyse nicht zu finden, erst bei der Suche nach Signaturen können diese aufgespürt werden. Office Dokumente eignen sich sehr gut um damit einen OLE Structured Storage zu generieren. Dabei werden zwei oder mehrere Dateien eines Storage als eine Datei angesprochen. Dadurch ist es beispielsweise möglich, eine Excel und eine Worddatei zusammenzufügen. Mit dem Tool „Merge Streams“ erhältlich auf http://www.ntkernel.com/utilities kann man diese Dateien nun zusammenfügen. Nun ist es möglich, je nach Endung eines der beiden Originaldateien aufzurufen. Würde man also eine Excel- und eine Word-Datei zusammenfügen und die Datei mit der Dateiendung .xls aufrufen, erhält man den Inhalt der Excel-Datei. Wird die Endung auf .doc geändert, kann man den Inhalt der Word-Datei aufrufen. Die Datei wird jeweils mit der passenden Anwendung geöffnet.

Wiederfinden[Bearbeiten]

Hauptsächlich anhand der Dateisignatur auffindbar, dazu zählt auch die Dateisignatur eines eingefügten Bildes.

Steganografie[Bearbeiten]

Verstecken[Bearbeiten]

Ziel der Steganografie ist es, Dateien oder Informationen über einen anderen Datenträger, beispielsweise wiederum eine Datei, zu transportieren, ohne dass einem Beobachter etwas an dieser Datei auffällig erscheint. Am häufigsten Anwendung findet die Steganografie beim Verstecken von einem Bild in einem anderen Bild. Dabei wird die Größe der Originaldatei trotz des hinzugefügten Bildes nicht verändert. Es ist also nicht sofort ersichtlich, dass dieses Bild nur als Transportmedium benutzt wird. Steganografie kann aber auch mit Videodateien, ausführbaren Dateien, Musikdateien und vielen mehr durchgeführt werden.

Wiederfinden[Bearbeiten]

Nur mit speziellen Tools möglich, die Dateien auf Unregelmässigkeiten untersuchen können. (Rauschen, Kontrast, usw..)

Signaturfälschung[Bearbeiten]

Verstecken[Bearbeiten]

Bei den meisten Methoden um Dateien zu verschleiern ist es möglich, an Hand der Signatur einer Datei diese dennoch aufzuspüren. Man sollte sich allerdings bewusst sein, dass eine Signatur auch gefälscht werden kann. Beispielsweise könnte man eine Datei in einem Texteditor öffnen und die Signatur durch eine andere ersetzen, beziehungsweise komplett entfernen. Die Datei ist dadurch über die Signatur nicht mehr auffindbar, klarer weise ist diese aber auch nicht ausführbar. Man müsste um die Datei öffnen zu können, die korrekte Signatur wieder einfügen.

Wiederfinden[Bearbeiten]

Ein Auffinden einer solchen Datei ist unmöglich. Möglich wäre es, die verdächtigen Dateien zu öffnen. Sollte eine Fehlermeldung erscheinen, könnte sich der Verdacht erhärten, dass die Signatur nicht zur Datei passt. Durchprobieren verschiedener Signaturen könnte zum Erfolg führen, ist allerdings etwas mühselig.