IT Sicherheit: IT-Forensik Dr. Christian Rathgeb Hochschule Darmstadt, CASED, da/sec Security Group 25.11.2015 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 1/40 Organisatorisches: I Die Vorlesung am Mi. 09.12. entfällt I Klausurvorbereitung findet am Mi. 13.01. statt I Vorlesungen in KW 3/16 entfallen I Klausur findet am Di. 26.01. 14:15-15:45 statt Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 2/40 Grundlagen und Begriffsklärung Forensik Forensik ist ein Sammelbegriff für wissenschaftliche und technische Arbeitsgebiete, in denen “Spuren” systematisch untersucht werden um strafbare bzw. anderweitig rechtswidrige oder sozialschädliche Handlungen nachzuweisen und aufzuklären. Etymologie: I Forum = Marktplatz (im antiken Rom). I Auf Forum fanden Gerichtsverhandlungen statt. I Beantwortung der Rechtsfragen im öffentlichen Raum. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 3/40 Grundlagen und Begriffsklärung Spur Spuren im foresnischen Sinne sind hinterlassene Zeichen welche als Ausgangspunkt für eine Untersuchung dienen (z.B. Fingerabdruck) Arten von Spuren: I Materielle: Blutspritzer, Fingerabdrücke, Schuhabdruck, Haar. I Immaterielle: Menschliches Verhalten (z.B. Unsicherheit). I Im Kontext von IT-Forensik: digitale Spuren Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 4/40 Grundlagen und Begriffsklärung Indiz, Beweis I Indiz: Hinweis, der alleine oder mit anderen Indizien zusammen auf das Vorliegen eines Sachverhalts schließen lässt (gewürdigte Spur) I Beispiel: dieser Fußabdruck gehört mutmaßlich zum Schuh des Verdächtigen. I Beweis: Feststellung eines Sachverhalts als Tatsache in einem Gerichtsverfahren aufgrund richterlicher Überzeugung (Juristische Wahrheit) I Beispiel: dieser Fußabdruck gehört zum Schuh des Verdächtigen. I Im Allgemeinen ist ein Indiz mehr als eine Behauptung, aber weniger als ein Beweis Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 5/40 Grundlagen und Begriffsklärung Teilgebiete der Forensik 1. Forensische Medizin / Rechtsmedizin: Beantwortung von Rechtsfragen im Zusammenhang eines vermuteten I nicht-natürlichen Todes (z.B. Todesursache, Todeszeitpunkt), I Gewaltdeliktes (z.B. gegen Kinder, sexuelle Gewalt). Bitte nicht mit Pathologie verwechseln!! 2. Forensische Toxikologie: Rechtsfragen zu chemischen oder biologischen Stoffen (z.B. liegt eine Vergiftung vor?). 3. Ballistik: Rechtsfragen zu Geschossen (z.B. Zuordnung einer Patrone zu einer Pistole). 4. IT-Forensik: Rechtsfragen im Kontext von IT-Systemen. 5. etc. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 6/40 Grundlagen und Begriffsklärung Aufgaben der Forensik im Einzelnen I Identifizieren, Sicherstellen, Selektieren und Analysieren von Spuren, die im weiteren Verlauf der Ermittlungen zu Indizien und Beweisen werden können. I Dabei soll der Forensiker so wenig wie möglich in den Untersuchungsgegenstand eingreifen. I Grundsätzlich gilt das Paradigma der Integrität von Beweismitteln. I Beispiel der IT-Forensik: Unverändertheit einer zu untersuchenden Festplatte. I Dabei stets Einhaltung der Sorgfaltskette (engl. Chain of Custody). Es muss immer klar dokumentiert sein, wer wann wie auf ein Beweisstück zugreifen kann. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 7/40 Grundlagen und Begriffsklärung Das Locardsche Austauschprinzip: Einführung 1. Edmond Locard (1877-1966): I Französischer Mediziner und Rechtsanwalt. I Pionier der Kriminalistik und Forensik. I Direktor des weltweit ersten Kriminallabors in Lyon (1912 von Polizei anerkannt). 2. Locard’s exchange principle: I With contact between two items, there will be an exchange. I Jeder und alles am Tatort hinterlässt etwas und nimmt etwas mit (physische Spuren). I Basis für die Suche nach Spuren (die immer existieren). Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 8/40 Grundlagen und Begriffsklärung Das Locardsche Austauschprinzip: Übersicht Spuren: Fingerabdrücke, Fußabdrücke, Schmauchspuren, Faserspuren, etc. sind oft die Hauptbelastungsbeweise für die Aufklärung zahlreicher Verbrechen. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 9/40 Grundlagen und Begriffsklärung Das Locardsche Austauschprinzip: Zitat Überall dort, wo er geht, was er berührt, was er hinterlässt, auch unbewusst, all das dient als stummer Zeuge gegen ihn. Nicht nur seine Fingerabdrücke oder seine Fußabdrücke, auch seine Haare, die Fasern aus seiner Kleidung, das Glas, das er bricht, die Abdrücke der Werkzeuge, die er hinterlässt, die Kratzer, die er in die Farbe macht, das Blut oder Sperma, das er hinterlässt oder an sich trägt. All dies und mehr sind stumme Zeugen gegen ihn. Dies ist der Beweis, der niemals vergisst. Er ist nicht verwirrt durch die Spannung des Augenblicks. Er ist nicht unkonzentriert, wie es die menschlichen Zeugen sind. Er ist ein sachlicher Beweis. Physikalische Beweismittel können nicht falsch sein, sie können sich selbst nicht verstellen, sie können nicht vollständig verschwinden. Nur menschliches Versagen diese zu finden, zu studieren und zu verstehen kann ihren Wert zunichte machen. Zitiert nach Wikipedia Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 10/40 Grundlagen und Begriffsklärung IT-Forensik 1. Indizien, Spuren im Kontext eines IT-Systems (Computer, Smartphone, HDD, SSD, RAM, USB-Stick, SD-Karte, Router, Netzkabel, WLAN, Cloud, ...). 2. Abstraktionsgrade: I Anwendungsebene: Applikationsdaten (z.B. sqlite, doc). I Dateisystemebene: Dateisystem (z.B. NTFS, ext3). I Datenträgerebene: Partitionen (z.B. DOS-Partitionen). I Bits und Bytes. I Physische Spur: Signal. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 11/40 Grundlagen und Begriffsklärung Kurzabriss: Tools 1. The Sleuthkit (TSK): I Toolsammlung zur IT-forensischen Analyse von Datenträgern. I Autor: Brian Carrier. I Frontend (insbesondere für Windows): Autopsy. I Tools auf unterschiedlichen Abstraktionsebenen: I Dateisystemebene: fls, ils, blkcat. I Datenträgerebene: mmls. 2. dd: Datensicherung. 3. sha256sum: Berechnung von Hashwerten. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 12/40 Prinzipien und Vorgehensmodelle Sieben W-Fragen der Kriminalistik Typische Fragen im Zusammenhang mit einem Ermittlungsverfahren: 1. Wer? - Täter 2. Was? - Straftat 3. Wo? - Tatort 4. Wann? - Tatzeitpunkt 5. Womit? - Spuren (z.B. Waffe) 6. Wie? - Tathergang 7. Weshalb? - Motiv Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 13/40 Prinzipien und Vorgehensmodelle Anforderungen an IT-Forensik 1. Akzeptanz: Untersuchungsschritte und Methoden in der Fachwelt dokumentiert und anerkannt 2. Glaubwürdigkeit: Robustheit und Funktionalität der angewandten Methoden (Unterschied zu Akzeptanz?) 3. Wiederholbarkeit: Erneute Durchführung der forensischen Untersuchung erzielt dieselben Ergebnisse 4. Integrität: Digitalen Spuren bleiben unverändert 5. Ursache und Auswirkungen: Verbindungen zwischen Ereignissen, Spuren und evtl. auch Personen herstellen. 6. Dokumentation: Insbesondere Chain of Custody Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 14/40 Prinzipien und Vorgehensmodelle SAP - Vorgehensmodell: Übersicht I Das S-A-P Modell ist ein Modell zur Beschreibung der Vorgehensweise bei einer forensischen Untersuchung. I Vorteil: Einfachheit 1. Secure: Identifizierung der Datenquellen, Datensicherung (zB: Erstellung von Kopien) 2. Analyse: Vorverarbeitung, Interpretierung 3. Present: Dokumentation, zielgruppenorientierte Präsentation Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 15/40 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Übersicht I Das BSI (Bundesamtes für Sicherheit in der Informationstechnik) untergliedert forensische Prozess in folgende Untersuchungsabschnitte (Phasen): 1. strategische Vorbereitung; 2. operationale Vorbereitung; 3. Datensammlung; 4. Untersuchung; 5. Datenanalyse; 6. Dokumentation einer forensischen Untersuchung Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 16/40 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Übersicht Quelle: Denise Muth, BSI Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 17/40 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Phase 1 + Phase 2 1. Strategische Vorbereitung: I Vor Eintritt eines Zwischenfalls (Zwischenfall = Symptom). I Bereitstellung von Datenquellen (z.B. Logs von Webdiensten, Verbindungsdaten von Routern). I Einrichtung einer forensischen Workstation samt Zubehör (Tools, Write-Blocker, Kabel für Smartphones). I Festlegung von Handlungsanweisungen (z.B. Rücksprache mit Juristen). 2. Operative Vorbereitung: I Bestandsaufnahme vor Ort nach Eintritt eines Zwischenfalls. I Festlegung des konkreten Ziels der Ermittlung. I Festlegung der nutzbaren Datenquellen (Datenschutz beachten). Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 18/40 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Phase 3 + Phase 4 3. Datensammlung: I Eigentlich: Datenakquise oder Datensicherung. I Sicherung der im Rahmen der operativen Vorbereitung festgelegten Daten. I Integrität der Datenträger sowie Vier-Augen-Prinzip berücksichtigen. I Order of Volatility (Unbeständigkeit) bei der Datensicherung beachten (z.B. RAM zuerst). 4. Datenuntersuchung: I Eigentlich: Vorverarbeitung für anschließende Analyse. I Datenreduktion (irrelevant vs. relevant). I Datenrekonstruktion (z.B. Dateiwiederherstellung). Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 19/40 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Phase 5 + Phase 6 5. Datenanalyse: I Eigentliche Analyse der vorverarbeiteten Daten. I Insbesondere Korrelation der Daten. 6. Dokumentation: I Verlaufsprotokoll: Protokollierung aller Einzelschritte im Laufe der verschiedenen Ermittlungsphasen. I Ergebnisprotokoll: Adaption des Verlaufsprotokolls für eine bestimmte Zielgruppe (z.B. Staatsanwalt, Geschäftsleitung, IT-Abteilung). I Nutzung standardisierter Terminologie (CERT-Terminologie). Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 20/40 Prinzipien und Vorgehensmodelle BSI-Vorgehensmodell: Phase 6 I Der prozessbegleitende Dokumentationsprozess verläuft parallel zu der Durchführung der anderen Phasen. I Seine Aufgabe ist das Protokollieren der gewonnenen Daten und durchgeführten Prozesse. I Der prozessbegleitende Dokumentationsprozess zeichnet also auf, welche Daten beim Durchführen der einzelnen Methoden gewonnen wurden, protokolliert aber gleichzeitig auch Parameter der Durchführung selbst. Beispiele für diese Parameter sind. I Beipiele: Name und Versionsnummer des verwendeten Programms, Motivation zur Auswahl dieses Programms, etc. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 21/40 Datenträgeranalyse Erstellung der Arbeitskopien Quelle: Denise Muth 1. Paradigma: Original so selten wie möglich verwenden. I Einfach bei klassischen Datenträgern wie HDDs, SSDs, SD-Karten, USB-Sticks. I Schwierig(er) bei Smartphones, Hauptspeicher, Cloud 2. Verwendung von Schreibschutz (typischerweise Hardware-basierte Write-Blocker). Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 22/40 Datenträgeranalyse Fallbeispiel: Sicherung externer HDD # sha256sum /dev/sdb 6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 /dev/sdb # dd if=/dev/sdb of=mastercopy.dd bs=512 # dd if=mastercopy.dd of=workingcopy.dd bs=512 # sha256sum mastercopy.dd workingcopy.dd 6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 mastercopy.dd 6a5b9a759d56beb2c76f19462fdc8c361bede4fca1d01124ef36381842dc3921 workingcopy.dd Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 23/40 Datenträgeranalyse Sektor, Partitionierung Sektor: I Kleinste adressierbare Einheit auf einem Datenträger. I Adressierungsschema: Logical Block Address (LBA), von vorne nach hinten. I Größe: 512 Byte (älter), 4096 Byte (modern). Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 24/40 Datenträgeranalyse Partitionierung Partitionierung: I Ziel: Organisation in kleinere Bereiche zur Ablage unterschiedlicher Daten (z.B. Windows parallel zu Linux; Betriebssystem vs. Nutzerdaten). I Layout des Datenträgers in Partitionstabelle beschrieben. I Verbreitete Schemata: DOS-Partitionierung, GPT-Partitionierung. I Sleuthkit-Tool: mmls. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 25/40 Datenträgeranalyse Fallbeispiel: Partitionierung externer HDD # mmls workingcopy.dd DOS Partition Table Offset Sector: 0 Units are in 512-byte sectors 00: 01: 02: 03: 04: 05: 06: 07: Slot Meta ----00:00 ----Meta Meta 01:00 ----- Dr. Christian Rathgeb Start 0000000000 0000000000 0000002048 0960237568 0960239614 0960239614 0960239616 0976771072 End 0000000000 0000002047 0960237567 0960239615 0976771071 0960239614 0976771071 0976773167 Length 0000000001 0000002048 0960235520 0000002048 0016531458 0000000001 0016531456 0000002096 IT-Forensik, Kapitel 6 / 25.11.2015 Description Primary Table (#0) Unallocated Win95 FAT32 (0x0C) Unallocated DOS Extended (0x05) Extended Table (#1) Linux Swap/Solarisx86 (0x82 Unallocated 26/40 Datenträgeranalyse Fallbeispiel: Partitionierung externer HDD I Wir sehen, dass es sich um eine DOS-Partitionierung handelt, die Zählung am Beginn des Datenträgers startet und dass die Zahlen in der Maßeinheit Sektoren zu je 512 Byte angegeben werden. I Wir sehen insgesamt zwei Partitionstabellen: die primäre Tabelle steht im MBR (Primary Table (#0) im Eintrag 00), die zweite Partitionstabelle findet sich im ersten Sektor der erweiterten Partition als Eintrag 05. I Wir finden drei nicht-allozierte Bereiche (Einträge 01, 03 und 07) sowie zwei Dateisystempartitionen vor (Einträge 02 und 06). Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 27/40 Datenträgeranalyse Fallbeispiel: USB-Stick [SECURE /dev/sdb to image-usb.dd] $ mmls image-usb.dd DOS Partition Table Offset Sector: 0 Units are in 512-byte sectors 00: 01: 02: Slot Meta ----00:00 Start 0000000000 0000000000 0000000032 End 0000000000 0000000031 0003915775 Length 0000000001 0000000032 0003915744 Description Primary Table (#0) Unallocated DOS FAT16 (0x06) $ dd if=image-usb.dd of=partition-fat.dd bs=512 skip=32 count=3915744 3915744+0 records in 3915744+0 records out $ sha256sum partition-fat.dd c3ddd15edc5af356dc51f80dd5f54aefcfa34166ee950dd410651e08fd32a649 partition-fat.dd Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 28/40 Dateisystemanalyse Grundlagen 1. Schnittstelle zwischen Betriebssystem und verbundenen Datenträgern. 2. Verwaltung von Dateien: Namen, Zeitstempel, Speicherort. 3. Phänomen Fragmentierung. 4. Cluster: I Kleinste adressierbare Einheit auf Dateisystemebene. I Alternative Bezeichnungen: FS-Block (File System Block) oder nur Block. I Typische Größe: 4096 Byte = 4 KiB. 5. Dateisystemanalyse: Untersuchung der analysefähigen Strukturen auf Dateisystemebene. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 29/40 Dateisystemanalyse Beispiele für Dateisysteme 1. extended file system: (ext2, ext3, ext4 = extX) I Standarddateisystem unter Linux. I ext4 ist heute Standarddateisystem unter Android. 2. FAT-Dateisystem (FAT12, FAT16, FAT32) I Älteres Dateisystem von Microsoft (aus MS-DOS-Zeiten). I Heute noch gebräuchlich auf Wechseldatenträgern. 3. New Technology File System (NTFS): I Aktuelles Dateisystem von Microsoft. I Wegen Windows-Verbreitung sehr bedeutend. 4. Hierarchical File System (HFS/HFS+): I Dr. Christian Rathgeb Aktuelles Dateisystem von Apple. IT-Forensik, Kapitel 6 / 25.11.2015 30/40 Dateisystemanalyse Kategorien Dateisystemdaten: 1. Grundlegende Informationen zu Dateisystem. 2. ’Am Anfang’ des Dateisystems: Bootsektor. 3. Typische Dateisystemdaten: I Clustergröße. I Größe des Dateisystems. I Belegtstatus der Cluster: welche sind belegt, wie viele sind belegt. I Pointer zu weiteren Informationen über das Dateisystem. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 31/40 Dateisystemanalyse Kategorien Metadaten: 1. Verwaltungs-Informationen über eine Datei. 2. Zeitstempel: I Modified Time: Last write access. I Accessed Time: Last read access. I Creation Time: File has been created. I Manchmal noch vierter Zeitstempel (wann gelöscht, wann Metadaten geändert, ...). 3. Dateigröße. 4. Pointer zu den Inhaltsdaten (z.B. Clusteradressen). 5. Inhaber samt Zugriffsrechte. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 32/40 Dateisystemanalyse Fallbeispiel: Bootsektor einer FAT-Partition (1/2) $ fsstat partition-fat.dd FILE SYSTEM INFORMATION -------------------------------------------OEM Name: MSWIN4.1 Volume ID: 0xc2f8e4f2 Volume Label (Boot Sector): NO NAME File System Type Label: FAT16 File System Layout (in sectors) Total Range: 0 - 3915743 * Reserved: 0 - 1 ** Boot Sector: 0 * FAT 0: 2 - 240 * FAT 1: 241 - 479 * Data Area: 480 - 3915743 ** Root Directory: 480 - 511 ** Cluster Area: 512 - 3915711 ** Non-clustered: 3915712 - 3915743 [cont] Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 33/40 Dateisystemanalyse Fallbeispiel: Bootsektor einer FAT-Partition (2/2) [cont] METADATA INFORMATION -------------------------------------------Range: 2 - 62644230 Root Directory: 2 CONTENT INFORMATION -------------------------------------------Sector Size: 512 Cluster Size: 32768 Total Cluster Range: 2 - 61176 FAT CONTENTS (in sectors) -------------------------------------------[REMOVED] Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 34/40 Dateisystemanalyse Fallbeispiel: Bootsektor einer FAT-Partition I In der ersten Kategorie FILE SYSTEM INFORMATION sehen wir, dass es sich um ein FAT16-Dateisystem handelt und die Adressierung der Sektoren von 0 bis 3915743 reicht – mit der Sektorgröße 512 Byte = 12 KiB. I Daraus ergibt das eine Dateisystemgröße von 3915744 · I 1 KiB = 1911 · 1024 KiB = 1.86 GB . 2 Die weiteren Informationen in der Kategorie FILE SYSTEM INFORMATION beschreiben die Lage der drei Bereiche eines FAT-Dateisystems, nämlich den reservierten Bereich, die beiden File Allocation Tables (FAT0 bzw. deren Backup FAT1) sowie den Datenbereich. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 35/40 Dateisystemanalyse Fallbeispiel: Bootsektor einer FAT-Partition I In der zweiten Kategorie METADATA INFORMATION erhalten wir Informationen über den Adressbereich der ’Inodes’. I Das Wurzelverzeichnis des Dateisystems hat die Inode-Nummer 2, Inodes 0 oder 1 gibt es unter FAT nicht. I Unter CONTENT INFORMATION erfahren wir die Sektor- und die Clustergröße (bitte beachten, dass die Sektorgröße vom Datenträger, nicht aber vom Dateisystem festgelegt wird). Der Adressbereich der Cluster ist 2 bis 61176. Auch hier gilt, dass es weder einen Cluster 0 noch einen Cluster 1 gibt. I Schließlich erfahren wir in der Kategorie FAT CONTENTS Informationen über die Anzahl und Fragmentierung allozierter Dateien und Verzeichnisse. Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 36/40 Dateisystemanalyse Fallbeispiel: Dateien auf USB-Stick $ fls -ar partition-fat.dd r/r * 3: r/r * 4: r/r * 5: r/r * 6: r/r * 7: r/r * 8: [REMOVED] Dr. Christian Rathgeb _ICT0001.JPG _ICT0003.JPG _ICT0004.JPG _ICT0005.JPG _ICT0017.JPG _ICT0009.JPG IT-Forensik, Kapitel 6 / 25.11.2015 37/40 Dateisystemanalyse Fallbeispiel: Dateien auf USB-Stick I In der ersten Spalte steht r/r für eine regularäre Datei, v/v für eine virtuelle (d.h. nicht existierende) Datei, die das Sleuthkit einfügt. d/d bezeichnet ein Verzeichnis. I Die zweite Spalte gibt an, ob eine Datei oder ein Verzeichnis alloziert oder gelöscht ist. I Im ersten Fall gibt fls die Inode-Nummer an, im Falle eines gelöschten Objekts zusätzlich ein *. I Es befinden sich also nur gelöschte Dateien auf dem USB-Stick Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 38/40 Dateisystemanalyse Fallbeispiel: Metadaten auf USB-Stick Metadaten der gelöschten Datei unter Inode 3 $ istat partition-fat.dd 3 Directory Entry: 3 Not Allocated File Attributes: File, Archive Size: 2438492 Name: _ICT0001.JPG Directory Entry Times: Written: Sat Mar 27 09:23:06 2010 Accessed: Fri Jun 4 00:00:00 2010 Created: Sat Apr 3 14:26:56 2010 Sectors: 512 513 514 520 521 522 528 529 530 536 537 538 [REMOVED] Dr. Christian Rathgeb 515 523 531 539 516 524 532 540 517 525 533 541 518 526 534 542 519 527 535 543 IT-Forensik, Kapitel 6 / 25.11.2015 39/40 Dateisystemanalyse Fallbeispiel: Wiederherstellung auf USB-Stick Wiederherstellung von (vermutetem) Dateinamen PICT0001.JPG $ icat -r partition-fat.dd 3 > usb-pic1.jpg $ file usb-pic1.jpg usb-pic1.jpg: JPEG image data, JFIF standard 1.01 $ sha256sum usb-pic1.jpg 0fae1c92bd80ff326cd14005a8fce92c7ee454fb28e6a8e016ee048a958ad4d3 Dr. Christian Rathgeb IT-Forensik, Kapitel 6 / 25.11.2015 usb-pic1.jpg 40/40
© Copyright 2024 ExpyDoc
