Hochschule Wismar, Studiengang Master „IT-Sicherheit und Forensik“

Modul „Forensik in Betriebs- und Anwendungssystemen“

Praktikumsbericht „Kennenlernen von Standard Forensik Tools“

Gruppe: Hamburg 9 Name: Erik Lange

2

Inhalt

1. Vorbetrachtung ............................................................................................................... 3

1.1. Ziel der Arbeit .......................................................................................................... 3

1.2. Strategisches Vorgehen .......................................................................................... 3

1.3. Szenario .................................................................................................................. 3

1.4. Informationstechnische Umsetzung des Szenarios ................................................. 4

1.5. Auswahl der Software ............................................................................................. 5

2. Dokumentation der Erstellung der Images ...................................................................... 6

3. Analyse der Datenträgerabbildungen ............................................................................. 9

3.1. Konfiguration des Analyse-Tools ............................................................................. 9

3.2. Durchführung der Analyse ......................................................................................13

4. Detaillierte Auswertung des Raw – Images ...................................................................17

5. Fazit ..............................................................................................................................23

Literaturverzeichnis ..............................................................................................................24

Abbildungsverzeichnis ..........................................................................................................25

Tabellenverzeichnis ..............................................................................................................27

Anhang .................................................................................................................................28

A Screenshots – Erstellen der Images auf der virtuellen Maschine ...................................29

3

1. Vorbetrachtung

1.1. Ziel der Arbeit

Das Ziel dieser Arbeit ist das Kennenlernen von verschiedenen Standard Forensik Werkzeu-

gen zur Auswertung von IT-forensischen Vorfällen. Die Hochschule stellt dafür die Analyse-

werkzeuge Axiom, Nuix und XWays zur Verfügung. Diese sind u.a. über virtuelle Maschinen

nutzbar. Um diese Analyse durchführen zu können, ist es notwendig ein Datenträgerabbild,

auch Image genannt, zu erstellen. Für die Erstellung des Images soll das Werkzeug FTK

Imager genutzt werden. Die so durchgeführte Analyse wird auch als Post-mortem-Analyse

oder Offline-Forensik bezeichnet (vgl. BSI 2011, S. 13).

Da in dieser Arbeit der Umgang mit den jeweiligen Werkzeugen im Vordergrund steht, wird auf

das Anlegen einer lückenlosen Beweiskette mit dem notwendigen Nachweis verzichtet.

1.2. Strategisches Vorgehen

Für die Bearbeitung der Aufgabenstellung ist es zunächst notwendig, die entsprechenden Vor-

bereitungen für die Durchführung zu schaffen. Dazu müssen die folgenden Fragen beantwortet

werden:

1. Wie könnte ein Szenario aussehen, welches forensisch untersucht werden

muss?

2. Wie kann dieses Szenario IT-technisch umgesetzt werden?

3. Welche Software soll für die Imageerstellung und Analyse genutzt werden?

1.3. Szenario

Das hier beschriebene Szenario stellt einen Ausschnitt aus einem größer angelegten Rahmen

dar. Den Rahmen bildet eine Beziehungstat, bei der die 23-jährige Franziska Speicher1 ihren

langjährigen Freund und sich selbst am Dienstag, 2. Juli 2019, erschossen hat. Sie hat dafür

eine halbautomatische Waffe verwendet, die sie im Dark Web erworben haben soll. Die bis-

herigen polizeilichen Untersuchungen haben vor allem ihr privates Umfeld beleuchtet. Dabei

wurde bei der Durchsuchung ihres Elternhauses ihr Notebook sichergestellt, welches nun fo-

rensisch untersucht werden soll. Die Untersuchung soll versuchen aufzuklären, warum sie die

Tat durchgeführt hat und woher sie die Waffe bezogen hat. Grundlage für weitere Untersu-

chungen könnten Browser- und Chatverläufe sein.

1 Namen und Orte sind frei erfunden

4

1.4. Informationstechnische Umsetzung des Szenarios

Für die Umsetzung der IT-Komponenten des Szenarios ist es zunächst notwendig, eine virtu-

elle Maschine mit Virtual Box zu erstellen. Als Betriebssystem wird Windows 10 eingesetzt.

Nach der Erstellung werden verschiedene Applikationen installiert.

Abbildung 1 Erstellen der virtuellen Windows 10 Maschine

Dazu gehören z.B. Webbrowser wie Mozilla Firefox und für Nachforschungen im Dark Web

der TOR Browser. Außerdem muss die digitale Identität für Franziska Speicher angelegt wer-

den. Zu dieser Identität gehören u.a wie in Abbildung 2 dargestellt unterschiedliche Profile in

sozialen Netzwerken wie Facebook sowie ein Account bei Google für Gmail und die weiteren

Dienste.

Abbildung 2 verwendete Dienste

5

Nachdem diese Voraussetzungen geschaffen wurden, müssen die erforderlichen Browserver-

läufe, Chat- und E-Mailnachrichten erstellt und versendet werden. Diese Ereignisse sollten

über einen längeren Zeitraum stattfinden.

1.5. Auswahl der Software

Über die Hochschule werden für die Bearbeitung verschiedene Tools über virtuelle Maschinen

zur Verfügung gestellt. Dazu gehören Nuix, XWays und Axiom. Nach auftretenden Problemen

mit den virtuellen Maschinen wurde außerdem ein Link zu einer Testversion sowie der nötige

Trial Key für das Forensik-Tool Axiom zur Verfügung gestellt, welches einfach installiert wer-

den konnte. Für das Erstellen des Datenträgerabbildes wurde der FTK Imager empfohlen. Der

FTK Imager bietet dem Anwender die Möglichkeit, Images in unterschiedlichen Formaten zu

erstellen. Zu diesen Formaten gehören u.a. .E01- und .raw-Images. Neben dem FTK Imager

erstellt auch die verwendete Virtualisierungssoftware (Oracle VM VirtualBox Manager) VDI-

Images der verwendeten virtuellen Maschine. Dieses muss nicht extra erstellt werden und

spart somit Zeit. Aufgrund der vorhandenen Möglichkeiten des FTK Images sollen in dieser

Arbeit auch eventuelle Unterschiede der Images und die darauf basierenden Ergebnisse be-

trachtet werden.

6

2. Dokumentation der Erstellung der Images

Für die Erstellung der Datenträgerabbilder wurde die Software FTK Imager verwendet. Sie

wird über die Firma AccessData derzeit in der Version 4.2.0 angeboten und ist als Freeware

erhältlich.2 Das Programm wurde auf der virtuellen Maschine installiert. Hierbei muss erwähnt

werden, dass durch die vorgenommene Installation eine Veränderung am System vorgenom-

men wurde.

Um ein Image zu erstellen, ist es zunächst notwendig, dem Programm eine Quelle wie in Ab-

bildung 3 anzugeben.

Abbildung 3 Auswahl der Beweisquelle

Der FTK Imager stellt dem Benutzer daraufhin den geladenen Inhalt wie in Abbildung 4 dar-

gestellt als Baumstruktur zur Verfügung. Der Benutzer erhält so die Möglichkeit, sich be-

stimmte Bereiche anzusehen und den Umfang der Beweissicherung eventuell einzuschrän-

ken.

Abbildung 4 Darstellung der geladenen Beweisquelle

2 https://accessdata.com/product-download/ftk-imager-version-4.2.0

7

Das hier vorliegende System wurde mit einer Größe von 53 GB angelegt. Der virtuellen Ma-

schine wurde jedoch beim Erstellen die Eigenschaft zugewiesen, dass der Speicher dyna-

misch alloziert wird. Das bedeutet, dass die Belegung des Speichers während der Nutzung

der Maschine den jeweiligen Erfordernissen angepasst wird (vgl. Enzyklo.de 2019). Durch die

Installation des Betriebssystems und verschiedener bereits genannter Applikationen wurden

23 GB belegt.

Wie bereits erwähnt, bietet der FTK Imager die Möglichkeit, verschiedene Imagetypen zu er-

stellen. Die Auswahl ist Abbildung 5 dargestellt. Für die hier vorliegende Arbeit wurden die

Imagetypen Raw (dd) und E01 ausgewählt. Auf die Eigenschaften dieser Imagetypen wird im

Folgenden kurz eingegangen.

Abbildung 5 Auswahl der Imagetypen

Raw Image

Diese Form wird auch als Rohdaten-Image bezeichnet. Die Bezeichnung ist darauf zurückzu-

führen, dass bei einem Raw-Image eine Bit-zu-Bit Kopie des Originals angelegt wird. Es wird

auf eine Komprimierung oder eine Reduzierung auf den belegten Speicherplatz verzichtet (vgl.

Simson L. Garfinkel 2012). Das Anlegen des Images erfolgt in 1500 MB große Stücke. Dies

wirkt sich somit auf den benötigten Speicherplatz und die Anzahl der Dateien für das erstellte

Image aus, wie an den Eigenschaften in Abbildung 6 zu erkennen ist. Als ein Nachteil dieses

Imagetypes ist das Nichtkopieren von Metadaten zu betrachten (vgl. Akbal und Dogan 2018,

S. 3).

E01 Image

Das E01-Image-Format wurde speziell für die Analysesoftware EnCase geschaffen. Es ist

aber auch für andere Tools auswertbar. Ähnlich wie bei dem Raw-Image werden die Informa-

tionen in Segmente geteilt, für die jeweils ein Kontrollwert erstellt und den Daten hinzugefügt

wird. In Abbildung 6 ist zu erkennen, dass nicht belegte Speicherbereiche der virtuellen Ma-

schine nicht durch das E01-Image erfasst wurden. Ob und wie sich dieser Aspekt auf die fo-

rensische Untersuchung auswirkt, wird im Verlauf dieser Arbeit weiter betrachtet.

8

Abbildung 6 Eigenschaften des Raw-Images (links) und des E01-Images (rechts)

Nach dem Erstellen der jeweiligen Images erstellt das Programm FTK Imager zusätzlich zu

dem Image eine Text-Datei mit den Informationen über die Beweisquelle, die erstellten Image-

Dateien sowie die Verifikation. In Abbildung 7 sind die Informationen als kurzer Auszug darge-

stellt. Die Screenshots zum Erstellen der Images und Text-Dateien befinden sich in Anhang A

Screenshots – Erstellen der Images auf der virtuellen Maschine

Abbildung 7 E01-Image - Verifikationsinformationen

Neben den mit dem FTK Imager erstellten Images wird im folgenden Kapitel auch das VDI-

Image der virtuellen Maschine analysiert, um eventuelle Unterschiede zu den anderen Images

aufzuzeigen.

9

3. Analyse der Datenträgerabbildungen

3.1. Konfiguration des Analyse-Tools

Für die Auswertung der drei vorhandenen Images wird das Forensik-Tool Axiom der Firma

Magnet Forensics® Inc. eingesetzt. Dies wurde als Testversion für die Installation zur Verfü-

gung gestellt, so dass eine von der IT-Infrastruktur der Hochschule unabhängige Arbeit mög-

lich ist. Das Tool ist in zwei Teile aufgeteilt, Process und Examine. Process dient der Eingabe

der Informationen und der Analyse. Im Bereich Examine werden die Ergebnisse angezeigt,

dem Nutzer steht eine große Auswahl an Möglichkeiten zur Verfügung, auf die im Verlauf der

Arbeit näher eingegangen wird.

Die Anlage der Fallinformationen sowie die eingegebenen Suchparameter waren für alle drei

durchgeführten Untersuchungen gleich. Im Folgenden wird das Vorgehen anhand des E01-

Images veranschaulicht.

Gem. Abbildung 8 ist zunächst die Eingabe der Rahmendaten notwendig, es muss außerdem

ein Speicherort für die zu erstellenden Informationen angegeben werden.

Abbildung 8 Falldetails E01-Image

10

Im nächsten Schritt muss die Beweisquelle gewählt werden. Axiom bietet dafür ein einfaches

System an, durch das sich der Anwender klicken muss. Der Vorgang ist in den folgenden

Abbildungen dargestellt. Die getroffene Auswahl ist durch ein rotes Viereck und der Fortschritt

durch die Pfeile gekennzeichnet.

Abbildung 9 Vorgehensweise zur Auswahl des Images

Nach der Auswahl des jeweiligen

Images wird es von Axiom geladen. Im

Auswahlfenster werden nur die beiden

Dateien angezeigt. Axiom erkennt au-

tomatisch die restlichen Dateien des

Images und weist den Benutzer darauf

hin, dass wie in Abbildung 10 insge-

samt neun Dateien zu dem Image ge-

hören und geladen werden.

Abbildung 10 Laden der Beweisquelle

11

Im nächsten Schritt wird die Suchart ausgewählt. Wie in Abbildung 11 ersichtlich, wurde für

die Untersuchung eine vollständige Suche gewählt. Der Benutzer hat jedoch auch die Mög-

lichkeit, zwischen Vollständig, Schnell, Sektorebene und Benutzerdefiniert zu wählen.

Abbildung 11 Wahl der Suchart

Im folgenden Abschnitt hat der Benutzer die Gelegenheit, verschiedene Verarbeitungsoptio-

nen, die in der anschließenden Aufzählung aufgelistet werden, festzulegen.

Verarbeitungsoptionen:

- Keywords zur Suche hinzufügen

- Geschachtelte Container durchsuchen

- Hash-Werte berechnen

- Chats kategorisieren

- Bilder und Videos kategorisieren

- weitere Artefakte finden

Für das vorliegende Szenario des Amoklaufs wurde das wie in Abbildung 12 ersichtliche

Keyword „Waffen“ hinzugefügt. Des Weiteren wurde die Magnet-AI zum Kategorisieren von

Bildern aktiviert. Die AI erkennt in Dokumente eingebette Bilder. Auch hier wurde die Kategorie

„Waffen“ gewählt. Die hier gewählten Parameter dienen im Anschluss auch der Beurteilung

der Analyse der unterschiedlichen Images.

12

Abbildung 12 Konfigurieren der Verarbeitungsoptionen

13

Nachdem alle Verarbeitungsoptionen bearbeitet wurden, beginnt die Analyse des Images.

Dieses kann mehrere Stunden in Anspruch nehmen.

3.2. Durchführung der Analyse

In Abbildung 13 ist die Ansicht während der Analyse dargestellt. Im oberen Bereich ist der

Fortschritt der Analyse zu sehe, weiter unten der gerade bearbeitete Abschnitt

Abbildung 13 Ansicht der Beweisanalyse

Die folgende Tabelle zeigt die jeweilige Dauer der durchgeführten Analyse.

Tabelle 1 Analysedauer der Images

Analysiertes Image Dauer

Raw Image 2h 54 Min 58 Sek

E01-Image 4h 12 Min 27 Sek

VDI-Image 3h 12 Min 50 Sek

Neben den unterschiedlichen Bearbeitungsdauern zeigen die folgenden Abbildungen, dass

auch die Ergebnisse unterschiedlich ausfallen. Die Analyse des E01 Images hat die wenigsten

Artefakten geliefert. Die meisten Artefakte wurden im VDI-Image gefunden, dazwischen liegt

dementsprechend das Raw-Image. Die Aufteilung der Artefakte in die Kategorien zeigt, dass

beim VDI-Image vor allem deutlich mehr (ca. 3000) Betriebssystem-Artefakte gefunden wur-

den. Im Gegensatz dazu hat das VDI-Image bei der Anzahl der webbezogenen Artefakte am

14

schlechtesten abgeschnitten. Die beiden anderen Images unterscheiden sich lediglich um 5

Artefakte.

Abbildung 14 Artefaktkategorien Raw Image

Abbildung 15 Artefaktkategorien E01 Image

Abbildung 16 Artefaktkategorien VDI Image

15

Nach der Gesamtauswertung werden im nächsten Abschnitt die konfigurierten Verarbei-

tungsoptionen und die darauf abgeleiteten Ergebnisse beurteilt.

Abbildung 17 Auswertung Verarbeitungsoptionen Raw-Image

Abbildung 18 Auswertung Verarbeitungsoptionen E01-Image

Abbildung 19 Auswertung Verarbeitungsoptionen VDI-Image

16

Die hier präsentierten Ergebnisse der jeweiligen Analyse weichen teilweise erheblich von ei-

nander ab. Um dies zu verdeutlichen, sind diese in der folgenden Tabelle 2 noch einmal zu-

sammengefasst.

Tabelle 2 Zusammengefasste Analyseergebnisse der Verarbeitungsoptionen

Image Keyword-Übereinstimmung Magnet AI Kategorisierung

Raw-Image 185 5

E01-Image 185 0

VDI-Image 163 164

In dieser Tabelle werden die zum Teil großen Unterschiede deutlich, vor allem beim Einsatz

der Magnet Artificial Intelligence (AI). Hier wurden auf dem VDI-Image 164 Artefakte identifi-

ziert, auf dem Raw-Image immerhin noch fünf. Auf dem E01 Image wurden dagegen keine

Spuren gefunden. Davon abweichend wurden auf dem VDI-Image 22 Keyword-Übereinstim-

mungen weniger gefunden.

Die beiden bereits angesprochenen Teile des Forensik-Tools Axiom, Process und Examine,

lassen sich unabhängig voneinander starten. Durch einen Neustart von Examine ist folgender

Zustand eingetreten:

Abbildung 20 Zustand VDI-Image nach Neustart von Examine

Die Ergebnisse der Magnet AI Kategorisierung von Bildern wird nicht mehr angezeigt. Eine

Veränderung des VDI Images fand nicht statt. Die anderen beiden Images wurden nach dem

Neustart mit den gleichen Ergebnissen angezeigt. Wegen der hier genannten Umstände wird

für die genauere Betrachtung und zur Erstellung einer Timeline das Raw-Image ausgewählt,

da die Ergebnisse konstant angezeigt werden und im Vergleich zum E01-Image die AI-Kate-

gorisierung Ergebnisse ergeben hat.

17

4. Detaillierte Auswertung des Raw – Images

Die Auswertung des Raw-Images hat insgesamt 134.430 Artefakte als Ergebnis ergeben.

Diese Menge an Artefakten teilt sich verschiedene Kategorien auf. Die Kategorien und die

dazugehörige Anzahl an Artefakten sind in Tabelle 3 ausgeführt.

Tabelle 3 Übersicht Artefaktkategorien und gefundene Artefakte

Artefaktkategorie Gefundene Artefakte

Gesamt 134.340

Betriebssystem 71.067

Webbezogen 28.249

Medien 26.785

Dokumente 7.230

Refined Results 799

Benutzerdefiniert 268

Verschlüsselung 24

Chat 5

E-Mail 3

Von den 134.430 Artefakten hat Magnet AI 5 Artefakte als Bild einer Waffe kategorisiert. Axiom

bietet hier die Möglichkeit über die in der Ansicht befindlichen Artefakte einen Bericht zu er-

stellen, dargestellt in Abbildung 21. Als Exportformat steht u.a. Excel, CSV, PDF und weitere

zur Verfügung.

Abbildung 21 Berichterstellung in Axiom

In der in diesem Fall exportierten Excel-Datei finden sich alle ermittelten Informationen bzgl.

der gefundenen Bilder, wie z.B. Zeit der Erstellung, der letzte Zugriff, die Hash-Werte und

wenn vorhanden, Geoinformationen. In Abbildung 22 ist die Excel-Datei ausschnittsweise

18

abgebildet. Außerdem sind die Artefakte mit einem Tag markiert, so dass sie in der Zeitachse

einfach zu finden sind.

Abbildung 22 Ausschnitt eines erstellten Excel-Berichts

Aus dem beschriebenen Szenario ist bekannt, dass die Tat am 02. Juli 2019 stattfand. Es ist

zunächst davon auszugehen, dass die Tatverdächtige die Vorbereitungen kurz vor der Tat

abgeschlossen hat. Zu dem Datum der Tat passen die Datuminformationen des letzten Zu-

griffs, 01. Juli 2019, sowie das Erstellen der Dateien am 27. Juni 2019.

Die genannten Daten schränken den Zeitraum der Untersuchung deutlich ein. In der folgenden

Abbildung 23 ist die von Axiom erzeugte Gesamtzeitachse für das untersuchte Image. Die

Achse beginnt vor ca. 20 Jahren und endet in ca. zehn Jahren.

Abbildung 23 Zeitachse des gesamten Images

Die Zeitlinie wird nun auf das Datum der Tat sowie die zwei Wochen davor eingegrenzt, 18.Juni

– 02.Juli 2019. Das Ergebnis ist in Abbildung 24 dargestellt.

19

Abbildung 24 Zeitachse 18.06. - 02.07.2019

In dieser Darstellung sind durch die eingetragenen Spitzen des Diagramms Aktivitäten am

Computer deutlich zu erkennen, allerdings werden alle gefundenen Artefakte angezeigt. Für

den 27. Juni, 17 Uhr sind das insgesamt 39248 Treffer wie in Abbildung 25 ersichtlich wird.

Abbildung 25 gefundene Artefakte 27. Juni 2019

Für die weitere Einschränkungen stellt Axiom Examine umfangreiche Filtermöglichkeiten zur

Verfügung. Neben dem Zeitraum lassen sich die Artefaktkategorien, die Dateitypen, Datums-

und Zeitattribute und die Zeitleistenkategorien filtern.

Tabelle 4 Filtermöglichkeiten der Zeitachse in Axiom Examine

Filtermöglichkeit Beispiel

Artefaktkategorie Betriebssystem, Webbezogen, E-Mail, Dokumente

Dateitypen Artefakte, Dateien und Ordner

Datum- und Zeitattribute Datei erstellt, letzte Aktualisierung, letzter Zugriff

Zeitleistenkategorie Browsernutzung, gelöschte Datei, Geräteinteraktion

Tags und Kommentare Lesezeichen, Kommentare, mögliche Waffen

In Abbildung 26 wurde nur der Filter „mögliche Waffen“ gesetzt. Es werden sowohl die fünf

Bilder angezeigt, die bereits über die Excel-Datei exportiert wurden als auch die Veränderun-

gen und Zugriffe auf die Dateien verzeichnet.

20

Abbildung 26 Zeitachse der als "mögliche Waffe" getaggten Artefakte

Als weitere Verarbeitungsoption wurde die Suche nach Keywords konfiguriert. Hier sollte

Axiom nach dem Wort „Waffe“ suchen. Es wurden 185 Übereinstimmungen gefunden, die An-

sicht der Ergebnisse ist in Abbildung 27 dargestellt.

Abbildung 27 Keyword-Treffer "Waffen"

Aus Abbildung 27 wird deutlich, dass sich die Tatverdächtige bereits seit dem 19. Juni 2019

mit dem Thema befasst hat, wo und wie sie eine Waffe erwerben kann. Sie hat sich u.a. da-

nach erkundigt, welche Voraussetzungen Waffenbesitzer erfüllen müssen. Die folgende

21

Abbildung zeigt die klassifizierten URLs (links) mit den Ergebnissen. Parallel zu der Informa-

tionsbeschaffung über das Waffenrecht befasste sich die Tatverdächtige hier vermutlich be-

reits mit dem Waffentransport zum späteren Tatort.

Abbildung 28 Ansicht der klassifizierten URLs

Während der Ergebnisanalyse ist deutlich geworden, dass der Standardbrowser Mozilla Fire-

fox zu sein scheint. Die Analyse der Artefaktkategorie „Firefox Websuche“, welche 220 Arte-

fakte entfällt, zeigt, dass Franziska Speicher sich am 31. Mai 2019 verschiedene Profile bei

sozialen Netzwerken zugelegt hat. Zu den Netzwerken gehören u.a. Facebook, Instagram

und Xing. In Abbildung 29 werden diese Ergebnisse mit den verschiedenen Links angezeigt.

Abbildung 29 Ausschnitt Artefaktkategorie "Firefox Websuche"

Um aus den als interessant eingestuften Artefakten eine Zeitleiste zu erstellen, bietet Axiom Examine die Mög-lichkeit, diese Artefakte mit einem Lesezeichen zu markieren. Die markierten Artefakte sind in

Abbildung 30 links dargestellt. Der rechte Teil der Abbildung zeigt das Auswahlmenü für das

Anlegen einer Zeitleiste, welche auf dem Tag „Lesezeichen“ basiert. Abbildung 31 zeigt die

auf der Auswahl des Benutzers erstellte Zeitachse.

22

Abbildung 30 als Lesezeichen getaggte Artefakte (links), Auswahl für Zeitleiste (rechts)

Abbildung 31 aus den Lesezeichen erstellte Zeitachse

Insgesamt betrachtet hat die Analyse ergeben, dass die digitale Persönlichkeit von Franziska

Speicher erst am 31. Mai 2019 erstellt wurde. Inwiefern die Tatverdächtige wirklich diese Per-

son ist, ließ sich mit der Untersuchung nicht ermitteln. Die Analyse der Webaktivitäten hat

gezeigt, dass sich die Person vor allem ab dem 18. Juni aktiv über Waffen, die notwendigen

Berechtigungen für den Besitz von Waffen sowie deren Transport informiert hat. Foren- und

Chataktivität konnte über diesen beschlagnahmten Computer nicht aufgeklärt oder nachge-

wiesen werden. Es ist davon auszugehen, dass für die Kommunikation vor allem das Smart-

phone eingesetzt wurde.

23

5. Fazit

Die umfangreiche Auseinandersetzung mit dem Thema der IT-Forensik in Betriebssystemen

und Anwendungen hat Erkenntnisse zu Tage gebracht, die für unterschiedliche Adressaten

interessant sind. Zum einen ist der persönliche Aspekt betroffen. Der Umgang mit dem Fo-

rensik-Tool Axiom hat gezeigt, wie detailliert und ausführlich das Nutzungsverhalten eines PC-

Bedieners nachvollziehbar ist, unabhängig davon ob es sich um Google Suchanfragen, her-

untergeladene oder gelöschte Bilder oder besuchte Instagram-Seiten handelt. Mit Hilfe der

Software lässt sich sehr leicht ein Profil über das Surfverhalten und persönliche Vorlieben und

Interessen des Betroffenen erstellen. Durch dieses Bewusstsein rückt das Thema Datenschutz

und der eigene Umgang mit personenbezogenen Daten noch stärker in den Fokus, als es

ohnehin schon der Fall ist.

Auf der anderen Seite bietet dieses mächtige Tool den Ermittlungsbehörden hervorragende

Möglichkeiten zur Aufklärung von Straftaten. Es ist allerdings davon auszugehen, dass sich

zumindest die intelligenten Straftäter dieser Möglichkeiten bewusst sind. Dazu bestehen auch

in der digitalen Welt Möglichkeiten, Spuren zu vernichten.

Das Praktikum hat außerdem ein Bewusstsein dafür geschaffen, wieviel Zeit benötigt wird, um

große Mengen Daten zu analysieren. Des Weiteren sollte der Forensiker vorher wissen, wo-

nach er bestimmte Daten durchsuchen möchte, um die entsprechenden Verarbeitungsoptio-

nen vorher zu konfigurieren. Die dadurch gesetzten Tags geben einen ersten Anhaltspunkt,

um von da aus tiefer in den Fall einzusteigen.

24

Literaturverzeichnis

Akbal, Erhan; Dogan, Sengul (2018): Forensics Image Acquisition Process of Digital Evidence. In:

IJCNIS 10 (5), S. 1–8. DOI: 10.5815/ijcnis.2018.05.01.

BSI (2011): Leitfaden IT-Forensik. Hg. v. Bundesamt für Sicherheit in der Informationstechnik. Bonn.

Enzyklo.de (2019): dynamische Allozierung. Online verfügbar unter https://www.enzyklo.de/Begriff/dy-

namische Allozierung, zuletzt geprüft am 09.07.2019.

Simson L. Garfinkel (2012): Category:Forensics File Formats. Hg. v. ForensicsWiki. Online verfügbar

unter https://www.forensicswiki.org/wiki/Category:Forensics_File_Formats, zuletzt geprüft am

09.07.2019.

25

Abbildungsverzeichnis

Abbildung 1 Erstellen der virtuellen Windows 10 Maschine ................................................................................... 4

Abbildung 2 verwendete Dienste ............................................................................................................................ 4

Abbildung 3 Auswahl der Beweisquelle................................................................................................................... 6

Abbildung 4 Darstellung der geladenen Beweisquelle ............................................................................................ 6

Abbildung 5 Auswahl der Imagetypen .................................................................................................................... 7

Abbildung 6 Eigenschaften des Raw-Images (links) und des E01-Images (rechts) .................................................. 8

Abbildung 7 E01-Image - Verifikationsinformationen ............................................................................................. 8

Abbildung 8 Falldetails E01-Image .......................................................................................................................... 9

Abbildung 9 Vorgehensweise zur Auswahl des Images ......................................................................................... 10

Abbildung 10 Laden der Beweisquelle................................................................................................................... 10

Abbildung 11 Wahl der Suchart ............................................................................................................................ 11

Abbildung 12 Konfigurieren der Verarbeitungsoptionen ...................................................................................... 12

Abbildung 13 Ansicht der Beweisanalyse .............................................................................................................. 13

Abbildung 14 Artefaktkategorien Raw Image ....................................................................................................... 14

Abbildung 15 Artefaktkategorien E01 Image ....................................................................................................... 14

Abbildung 16 Artefaktkategorien VDI Image ........................................................................................................ 14

Abbildung 17 Auswertung Verarbeitungsoptionen Raw-Image ............................................................................ 15

Abbildung 18 Auswertung Verarbeitungsoptionen E01-Image ............................................................................. 15

Abbildung 19 Auswertung Verarbeitungsoptionen VDI-Image ............................................................................. 15

Abbildung 20 Zustand VDI-Image nach Neustart von Examine ............................................................................ 16

Abbildung 21 Berichterstellung in Axiom .............................................................................................................. 17

Abbildung 22 Ausschnitt eines erstellten Excel-Berichts ....................................................................................... 18

Abbildung 23 Zeitachse des gesamten Images ..................................................................................................... 18

Abbildung 24 Zeitachse 18.06. - 02.07.2019 ......................................................................................................... 19

Abbildung 25 gefundene Artefakte 27. Juni 2019 ................................................................................................. 19

Abbildung 26 Zeitachse der als "mögliche Waffe" getaggten Artefakte .............................................................. 20

Abbildung 27 Keyword-Treffer "Waffen" .............................................................................................................. 20

Abbildung 28 Ansicht der klassifizierten URLs ....................................................................................................... 21

Abbildung 29 Ausschnitt Artefaktkategorie "Firefox Websuche" ......................................................................... 21

Abbildung 30 als Lesezeichen getaggte Artefakte (links), Auswahl für Zeitleiste (rechts) .................................... 22

Abbildung 31 aus den Lesezeichen erstellte Zeitachse .......................................................................................... 22

Abbildung 32 Ausgangspunkt der Image-Erstellung ............................................................................................. 29

Abbildung 33 Starten des FTK-Imager ................................................................................................................... 29

Abbildung 34 Ansicht des gestarteten FTK Imager ............................................................................................... 30

Abbildung 35 Wahl der Beweisquelle .................................................................................................................... 30

Abbildung 36 Selektion des Laufwerks .................................................................................................................. 31

Abbildung 37 Laden des Explorers in die Baumstruktur ........................................................................................ 31

26

Abbildung 38 geladene Baumstruktur des Dateisystems ...................................................................................... 32

Abbildung 39 Wahl der Beweisquelle für die Imageerstellung ............................................................................. 32

Abbildung 40 Wahl des Speicherortes des Images sowie der Verifikation ............................................................ 33

Abbildung 41Auswahl des Image-Typen ............................................................................................................... 33

Abbildung 42 Eingabe der Beweismittelinformationen ........................................................................................ 34

Abbildung 43 Angabe Fragmentgröße und Start des Imagings ............................................................................ 34

Abbildung 44 Prozess der Imageerstellung ........................................................................................................... 35

Abbildung 45 Abschluss der Imageerstellung ....................................................................................................... 35

Abbildung 46 Verifikation des Images ................................................................................................................... 36

Abbildung 47 Ergebnis der Verifikation ................................................................................................................. 36

Abbildung 48 Abschlussbericht E01-Image ........................................................................................................... 37

Abbildung 49 Abschlussbericht Raw-Image .......................................................................................................... 38

Abbildung 50 Vorgehensweise bei einer forensischen Untersuchung (BSI 2011, S. 86) ..... Fehler! Textmarke nicht

definiert.

Abbildung 51 Vorgehensweise bei einer forensischen Untersuchung (BSI 2011, S. 86) ..... Fehler! Textmarke nicht

definiert.

Abbildung 52 Vorgehensweise bei einer forensischen Untersuchung (BSI 2011, S. 86) ..... Fehler! Textmarke nicht

definiert.

27

Tabellenverzeichnis

Tabelle 1 Analysedauer der Images ...................................................................................................................... 13

Tabelle 2 Zusammengefasste Analyseergebnisse der Verarbeitungsoptionen ..................................................... 16

Tabelle 3 Übersicht Artefaktkategorien und gefundene Artefakte ....................................................................... 17

Tabelle 4 Filtermöglichkeiten der Zeitachse in Axiom Examine ............................................................................ 19

28

Anhang

29

A Screenshots – Erstellen der Images auf der virtuellen Maschine

Abbildung 32 Ausgangspunkt der Image-Erstellung

Abbildung 33 Starten des FTK-Imager

30

Abbildung 34 Ansicht des gestarteten FTK Imager

Abbildung 35 Wahl der Beweisquelle

31

Abbildung 36 Selektion des Laufwerks

Abbildung 37 Laden des Explorers in die Baumstruktur

32

Abbildung 38 geladene Baumstruktur des Dateisystems

Abbildung 39 Wahl der Beweisquelle für die Imageerstellung

33

Abbildung 40 Wahl des Speicherortes des Images sowie der Verifikation

Abbildung 41Auswahl des Image-Typen

34

Abbildung 42 Eingabe der Beweismittelinformationen

Abbildung 43 Angabe Fragmentgröße und Start des Imagings

35

Abbildung 44 Prozess der Imageerstellung

Abbildung 45 Abschluss der Imageerstellung

36

Abbildung 46 Verifikation des Images

Abbildung 47 Ergebnis der Verifikation

37

Abbildung 48 Abschlussbericht E01-Image

38

Abbildung 49 Abschlussbericht Raw-Image