Projekt II
im Fernstudiengang "IT Forensik"
an der Hochschule Wismar
Zu dem Thema:
„IT-Forensische Analyse und Auswertung eines NAS-Server unter Verwendung von Sleuthkit“
von: Weingart, Hämmerle, Bösch, Schönlein
Prüfer: Prof. Dr.-Ing. Antje Raab-Düsterhöft Abgegeben am: 25.07.2019
Inhaltsverzeichnis Eigenständigkeitserklärung 3Abstrakt 41. Einführung 5
1.1. Relevanz des Themas 51.2. Problemstellung 61.3. Vorgehensweise 61.4. Abgrenzung 71.5. Struktur 7
2. Konzeptioneller Rahmen 82.1. Definitionen 8
2.1.1. IT-Forensik 82.1.2. NAS-Server 92.1.3. RAID Systeme 11
2.2. Sleuthkit 132.2.1. Vorstellung 13
2.2.2. Wichtige Befehle für die NAS-Server-Auswertung 152.3. Vorgehensweise 162.4. Zusammenfassung 18
3. IT-Forensische Analyse 193.1. Image-Erstellung 19
3.1.1. Erstellung eines Live-Boot-Stick 193.2. Image-Auswertung 303.3. Zusammenfassung 39
4. Schlussfolgerungen und Empfehlung 40Abbildungsverzeichnis 42Literaturverzeichnis 43
Eigenständigkeitserklärung Name: Bösch Vorname: Patricia Studiengang: Bachelor IT-Forensik Name: Hämmerle Vorname: Michel Studiengang: Bachelor IT-Forensik Name: Schönlein Vorname: Franziska Studiengang: Bachelor IT-Forensik Name: Weingart Vorname: Michel Studiengang: Bachelor IT Forensik Hiermit bestätigen wir, dass wir die vorliegende Arbeit selbstständig verfasst und
keine anderen Publikationen, Vorlagen und Hilfsmitteln als die angegebenen benutzt
haben. Alle Teile unserer Arbeit, die wortwörtlich oder dem Sinn nach anderen
Werken entnommen sind, wurden unter Angabe der Quelle kenntlich gemacht.
Gleiches gilt für verwendete Internetquellen.
Basel, 26.07.2019 ___________________________________________________________________________________________ __________________________________________________________________________________________________________ Ort, Datum Unterschrift Patricia Bösch Zürich, 26.07.2019 ___________________________________________________________________________________________ __________________________________________________________________________________________________________ Ort, Datum Unterschrift Michel Hämmerle
Würzburg, 26.07.2019 ___________________________________________________________________________________________ __________________________________________________________________________________________________________
Ort, Datum Unterschrift Franziska Schönlein
Bern, 26.07.2019 ___________________________________________________________________________________________ ___________________________________________________________________________________________________________
Ort, Datum Unterschrift Michel Weingart
Abstrakt Die vorliegende Projektarbeit wurde im Rahmen des Bachelor Studiengangs „IT-
Forensik“ angefertigt und beschreibt die IT-forensische Analyse eines NAS-Servers
im Hinblick auf Verdacht von illegalem pornographischen Inhalt. Hierbei bilden die
auszuwertenden Festplatten einen RAID-1 Verbund.
Das gewählte Thema spielt in der heutigen Zeit noch immer eine wichtige Rolle und
die Beweissicherung ist von unermesslichem Wert. Bei der Untersuchung ist es daher
wichtig, auf die korrekte Vorgehensweise der Beweissicherung zu achten. Für die
Untersuchung des NAS-Servers wurde die IT-forensische Vorgehensweise nach dem
BSI-Leitfaden berücksichtigt. Hierzu wurde zuerst mittels ewfaquire, welches
Bestandteile der Bibliothek libewf ist, ein forensisches Image erstellt. Für die
Analyseschritte wurde das forensische Open Source Tool “Sleuthkit” eingesetzt.
Die Arbeit setzt sich aus einem theoretischen und einem praktischen Teil zusammen.
Im theoretischen Teil wird auf verschiedene Definitionen, das Sleuthkit und dessen
Möglichkeiten eingegangen. Anschließend wird im praktischen Teil auf die
Problemstellung beantwortet.
Nach der Image-Erstellung und dessen Auswertung konnte die Problemstellung
beantwortet werden. Das Image wurde auf Bilder hin untersucht und es konnten zwei
verdächtige Bilder sichergestellt werden.
1. Einführung Als erstes wird auf die grundlegende Relevanz des Themas hingewiesen. Danach
wird die Problemstellung erläutert und die Zielsetzung beschrieben. Anschließend
folgt noch die Abgrenzung der Thematik sowie eine Erklärung über den Aufbau,
beziehungsweise die Struktur der vorliegenden Arbeit.
1.1. Relevanz des Themas Der Computer hat das Leben in unserer Gesellschaft radikal verändert. Nicht nur am
Arbeitsplatz finden wir Rechner und Laptops auf jedem Schreibtisch, auch nahezu in
jedem Haushalt. Die Computer sind weltweit vernetzt. Es können Emails verschickt,
Musik oder Serien gestreamt und E-Books gelesen werden. Diese Datenmengen
werden heutzutage auf USB-Sticks, Festplatten und in Clouds gespeichert.1
Natürlich werden Computer nicht nur in der Arbeitswelt oder im Haushalt, sondern
auch als Tatmittel eingesetzt, um Straftaten zu begehen. Im Bereich der
Computerkriminalität verzeichnet die Polizeiliche Kriminalstatistik (PKS) des
Bundeskriminalamts (BKA) im Jahr 2018 einen Anstieg von 1,8 % der zur Anzeige
gebrachten Fälle im Vergleich zum Vorjahr. Insgesamt lagen 2018 dem BKA 110.475
Fälle vor, in denen technische Mittel zur Straftatbegehung, unter anderem
Computersabotage und Datenveränderung, verwendet worden sind. Auch die
Verbreitung pornografischer Schriften spielt in diesem Bereich eine große Rolle.
Heutzutage werden pornographische Inhalte, neben den heimischen Festplatten oder
Cloud-Speichern, oftmals auch auf Servern in aller Welt gespeichert, um den Zugriff
für einen ausgewählten Personenkreis zu ermöglichen.2
Bei diesen Servern handelt es sich zumeist um einen sogenannten NAS-Server.
Dieser kann ohne allzu große Informatikkenntnisse im privaten Umfeld eingerichtet
und in Betrieb genommen werden und stellt eine kostengünstige Möglichkeit dar, viel
1 Vgl. Böhme/Freiling/Gloe/Kirchner, Multimedia-Forensik als Teildisziplin der digitalen Forensik, 2009, Bonn, S. 1537 - 1551 2 Vgl. Bundeskriminalamt, Polizeiliche Kriminalstatistik 2018, 2018, Wiesbaden
Speicherplatz im privaten oder auch öffentlichen Netzwerk zur Verfügung zu stellen.
Viele Straftaten finden im privaten Bereich statt und solche NAS-Server spielen dabei
eine Rolle, da unzählige Daten darauf enthalten sein könnten. Daher ist das Wissen
um die Analysemöglichkeiten eines NAS-Servers und die diesbezüglich
durchzuführende Vorgehensweise von großer Bedeutung.3 1.2. Problemstellung In dieser Projektarbeit wird auf folgende IT-Forensik Problemstellung eingegangen:
“IT-Forensische Analyse und Auswertung eines NAS-Server unter Verwendung von
Sleuthkit”
Die Arbeit beschäftigt sich mit der Annahme, dass auf einem sichergestellten NAS-
Server der Verdacht auf illegale Pornographie besteht. Der NAS-Server soll
forensisch post-mortem untersucht und analysiert werden. Dabei sollen zwei Bilder
gefunden werden, die den Beschuldigten überführen sollen. Bei dem physischen
NAS-Server handelt es sich um das Betriebssystem Ubuntu 18.10. Die Festplatten
bilden hierbei einen RAID-1-Verbund.
1.3. Vorgehensweise Um die Problemstellung vollständig beantworten zu können, sollen die RAID-
Partitionen wiederhergestellt werden. Danach werden die Informationen auf den
Daten-Partitionen mithilfe forensischer Tools ausgelesen.
Für die Erstellung des forensischen Images wird ewfaquiredie, welches Bestandteil
der Bibliothek libewf ist, verwendet. Für die Analyseschritte wird das forensische Open
Source Tool “Sleuthkit” eingesetzt, auf das im theoretischen Teil der Arbeit noch näher
eingegangen wird. Weitere Programme, die in der Arbeit eingesetzt werden, werden
in der Arbeit direkt erläutert.
3 Vgl. Nasserver-Test.de, Was ist ein NAS Server, 2019
1.4. Abgrenzung Die Beantwortung der Problemstellung wird hauptsächlich mittels dem Open Source
Tool Sleuthkit realisiert. Auf die Möglichkeiten von Analysen mit Sleuthkit wird in
Kapitel 2 kurz eingegangen. Andere forensische Tools zur Untersuchung von
forensischen Images werden in dieser Arbeit nicht berücksichtigt. Zudem beziehen
sich die beschriebenen Erkenntnisse und Vorgehensweisen ausschließlich auf den in
der Problemstellung eingeführten Fall eines physischen NAS-Servers mit dem
Betriebssystem Ubuntu 18.10, bei dem die Festplatten einen RAID-1-Verbund bilden.
1.5. Struktur Die vorliegende Arbeit ist in zwei wesentliche Teile gegliedert. Zunächst soll im
zweiten Kapitel auf den theoretischen Hintergrund der Arbeit eingegangen werden.
Dazu werden in Kapitel 2.1 Begriffe, welche für das Verständnis der Arbeit benötigt
werden, näher definiert und erläutert. Anschließend wird das für die Arbeit verwendete
Forensische Tool “Sleuthkit” vorgestellt. Zuletzt folgt dann eine Beschreibung über die
in der Literatur empfohlene Vorgehensweise bei IT-forensischen Analysen. Kapitel 3
“IT-forensische Analyse” zeigt den praktischen Teil der Arbeit und beantwortet die
unter Kapitel 1.2 definierte Problemstellung. Hierbei werden die vorgenommen
Schritte beschrieben und unter Kapitel 4 zusammengefasst und eine
Schlussfolgerung daraus gezogen. Die Arbeit endet in Kapitel 5 mit einem
Schlusswort und dem Ausblick.
2. Konzeptioneller Rahmen Das nachfolgende Kapitel geht auf den theoretischen Hintergrund der vorliegenden
Arbeit ein. Als erstes werden für das Verständnis wichtige Begriffe erläutert. Daraufhin
folgt die Vorstellung des in der Arbeit verwendeten IT-Forensischen Tools “Sleuthkit”.
Das Kapitel schließt mit der theoretischen Vorgehensweise bei einer IT-forensischen
Analyse ab.
2.1. Definitionen Im folgenden Abschnitt werden wichtige Begriffe definiert und näher erläutert, welche
grundlegend zum Verständnis der vorliegenden Arbeit beitragen sollen. Es wird auf
die Begriffe IT-Forensik, NAS-Server sowie RAID-Systeme eingegangen. 2.1.1. IT-Forensik Der Begriff „IT-Forensik“ kann als forensische Wissenschaft definiert werden. Dewald
und Freiling definieren die forensische Informatik als „Anwendung wissenschaftlicher
Methoden der Informatik auf Fragen des Rechtssystems. Insbesondere stellt die
forensische Informatik Methoden zur gerichtsfesten Sicherung und Verwertung
digitaler Spuren bereit.”4 Mit dieser Definition wird vor allem der wissenschaftliche
Aspekt in der IT-Forensik hervorgehoben. Es existieren zahlreiche Definitionen zur IT-
Forensik. Hierbei werden die Begriffe der Forensischen Informatik, digitalen Forensik,
Computerforensik oder IT-Forensik synonym verwendet.5
Bei den Definitionen wird vor allem hervorgehoben, dass sich die digitale Forensik auf
digitale Beweismittel, beziehungsweise Spuren, beschränkt.6 Der BSI beschreibt die
IT-Forensik als eine “streng methodisch vorgenommene Datenanalyse auf
4 Dewald, Formalisierung digitaler Spuren und ihre Einbettung in die Forensische Informatik, 2012, Erlangen-Nürnberg, S.59; Dewald/Freiling, Forensische Informatik, 2011, Erlangen, S. 49 5 Vgl. Casey, Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, 2011, S.37; Dewald/Freiling, Forensische Informatik, 2011, Erlangen, S. 1; Geschonneck, Computer-Forensik – Computerstraftaten erkennen, ermitteln, aufklären, 2014, S. 2; Freiling/Heckmann/Polák/Posegga, Forensic Computing, in: Dagstuhl Reports (2011), S.1 6 Vgl. Böhme/Freiling/Gloe/Kirchner, Multimedia-Forensik als Teildisziplin der digitalen Forensik, 2009, Bonn, S. 1537 - 1551
Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter
Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der
Sicht des Anlagenbetreibers eines IT-Systems.”7 Durch das streng methodische
Vorgehen ist eine größtmögliche Objektivität bei der forensischen Untersuchung
gegeben, was ein wichtiges Kriterium darstellt. Fehler bei der Durchführung oder
Nichtbeachten von rechtlichen Vorgaben können Konsequenzen für die
Beweisführung vor Gericht haben oder zum Ziehen falscher Schlüsse führen. Die
Forensische Untersuchung darf daher, gemäß den Definitionen, nicht auf
Vermutungen oder Intuition basieren.8
Bei der Analyse lässt sich die IT-Forensik in zwei Bereiche aufteilen, die Post-mortem-
Analyse und die Live-Forensik.9 Die Live-Forensik steht dafür, dass die Untersuchung
bereits während des Vorfalls untersucht wird. Ziel dabei ist, flüchtige Daten wie unter
anderem Hauptspeicherinhalt, gestartete Prozesse und Informationen über
bestehende Netzwerkverbindungen. zu gewinnen und zu analysieren. Bei der Post-
mortem-Analyse wird die Untersuchung erst nach dem Vorfall durchgeführt. Dabei
werden sogenannte Images (Datenträgerabbilder) auf nichtflüchtige Spuren hin
untersucht. Hierbei liegt die Konzentration auf der „Gewinnung und Untersuchung von
gelöschten, umbenannten sowie anderweitig versteckten und verschlüsselten Dateien
von Massenspeichern”.10 2.1.2. NAS-Server Die Abkürzung NAS steht für „Network Attached Storage“, englisch für
netzgebundener Speicher oder Netzlaufwerk. Ein NAS-Server ist somit ein an ein
Netzwerk angeschlossener Datenspeicher, also Datenserver, die einfach zu
7 Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1 (2011), S.8 8 Vgl. Palmer, A Road Map for Digital Forensic Research, in: DFRWS Technical Report (2001), S. 20 9 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1. ( 2011), S.13 10 Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1 (2011), S. 13
verwalten sind.11 Im Allgemeinen wird ein NAS-Server eingesetzt, um einem Netzwerk
Speicherplatz zur Verfügung zu stellen.12
Alle Geräte, welche mit dem Netzwerk verbunden sind, können auf diesen
Speicherplatz zugreifen, Daten lesen und schreiben. Dies spart Speicherplatz und
vereinfacht das Handling großer Datenmengen.13
Neben einem großen Speicherplatz stecken im Gehäuse des NAS-Servers auch ein
Arbeitsspeicher sowie ein Prozessor. Diese sind notwendig, da auf dem Server ein
Betriebssystem installiert ist, welches zum Beispiel für die Zugriffsverwaltung der
Daten benötigt wird.14 Der NAS-Server wird über ein über das Netzwerk
angeschlossenes Gerät verwaltet. Dies sorgt auch dafür, dass der Server unabhängig
von dem verwendeten Betriebssystem bedienbar ist.15 Es existieren unterschiedliche
Modelle von NAS-Servern, welche sich hinsichtlich der Leistung der Komponenten im
Inneren und der Festplatteneinschübe unterscheiden.
Ein NAS-Server hat verschiedene Einsatzzwecke. Zum einen kann der NAS-Server
als Backup-Medium oder auch als Archiv dienen. Zum anderen ist es möglich, von
unterwegs auf den Server und dessen Inhalte zuzugreifen, sofern der NAS-Server mit
dem Internet verbunden ist. Zudem gibt es NAS-Server mit einem eigenen Mail-Server
oder es kann auch über VPN-Verbindungen von außerhalb auf das interne Netzwerk
des Servers zugegriffen werden. Ebenfalls kann ein NAS-Server an eine
Überwachungskamera gekoppelt werden.16
Ab einer Anzahl von zwei Festplatteneinschüben sind NAS-Server grundsätzlich auf
Skalierbarkeit ausgerichtet. „Alle modernen Geräte unterstützen beispielsweise die
11 Vgl. Lubkowitz, Alles über NAS-Server, in: Online PC (2011), Nr. 6, S. 30 f. 12 Vgl. Wikipedia, Network Attached Storage, 2019 13 Vgl. Nasserver-Test.de, Was ist ein NAS Server, 2019 14 Vgl. Lubkowitz, Alles über NAS-Server, in: Online PC (2011), Nr. 6, S. 30 f. 15 Vgl. Nasserver-Test.de, Was ist ein NAS Server, 2019 16 Vgl. Nasserver-Test.de, Was ist ein NAS Server, 2019
diversen RAID-Standards.“17 Zwei identische Festplatten können miteinander
gekoppelt werden und durch die automatische Spiegelung von RAID 1 kann die
Datensicherheit erhöht werden. Durch RAID 0 kann die Geschwindigkeit verdoppelt
werden. 2.1.3. RAID Systeme Der Begriff ist ein Akronym für englisch "redundant array of independent disks", also
"redundante Anordnung unabhängiger Festplatten18. RAID dienen in den meisten
Fällen dazu, Redundanz zu erschaffen. Damit wird bezweckt, dass im Falle eines
Festplattendefekts im NAS-Server keine Daten verloren gehen. Für die Umsetzung
werden mindestens zwei Festplatten in einem RAID-Array betrieben. "Das eine RAID"
gibt es dabei nicht, da Festplatten sich in unterschiedliche RAID-Level aufteilen
lassen19. Im Rahmen dieser Arbeit wird lediglich auf zwei unterschiedliche RAID-
Levels kurz eingegangen.20
RAID 0: Dieses RAID-System ist das einzige, welches auf Performance-Gewinn
ausgelegt ist. Beim Schreiben werden die Daten auf zwei Festplatten aufgeteilt.
Dadurch verdoppelt sich die Schreib- und Lesegeschwindigkeit. Fällt jedoch eine
Festplatte aus, so sind dementsprechend auch die Daten der anderen Festplatte
nutzlos.21
RAID 1: Die Daten werden mit mindestens zwei Festplatten gespiegelt. Daten, die auf
die erste Festplatte geschrieben werden, landen auch auf der zweiten Festplatte. Ein
Nachteil bei RAID 1 ist, dass die verfügbare Speicherkapazität halbiert wird.22
17 Nasserver-Test.de, Was ist ein NAS Server, 2019 18 Wikipedia, RAID, 2019 19 Vgl. Nasserver-Test.de, NAS Server: Einrichtung eines RAIDs, 2018 20 Vgl. Nasserver-Test.de, NAS Server: Einrichtung eines RAIDs, 2018 21 Vgl. Nasserver-Test.de, NAS Server: Einrichtung eines RAIDs, 2018 22 Vgl. Nasserver-Test.de, NAS Server: Einrichtung eines RAIDs, 2018
Abbildung 1 Aufbau Quelle: https://www.elektronik-kompendium.de/sites/com/1312061.htm
2.2. Sleuthkit Im Folgenden Abschnitt soll das IT-forensische Tool Sleuthkit vorgestellt werden,
welches für die IT-forensische Analyse in dieser Arbeit verwendet worden ist. Zuerst
wird erläutert, was das Sleuthkit ist und danach werden noch die wichtigsten Befehle
vorgestellt.
2.2.1. Vorstellung Gemäß Sleuthkit.org handelt es sich beim Sleuthkit um eine „Sammlung von
Befehlszeilentools und eine C-Bibliothek, mit der Datenträgerabbilder analysiert und
Dateien daraus wiederhergestellt werden können.“23 Mit dem Sleuthkit können gemäß
dem Leitfaden „IT-Forensik“ des Bundesamtes für Sicherheit in der
Informationstechnik Datenträgerabbilder untersucht werden. Das Sleuthkit ist eine
Open Source Lösung, welche direkt auf der Website24 heruntergeladen werden kann.
Es werden unterschiedliche Dateisysteme unterstützt (siehe Abbildung 3).
Funktionalitäten des Sleuthkit sind unter anderem „unterschiedliche Arten der
Datensuche oder auch die Möglichkeit zur Erstellung von Zeitlinien anhand von
Dateizugriffszeiten: Mit dieser Funktionalität bietet das Sleuthkit die Grundlage für
zahlreiche andere forensische Werkzeugsammlungen“.25
Mit unterschiedlichen Befehlszeilen lassen sich verschiedene Abfragen tätigen. Der
Sleuthkit-Befehl fls listet Datei- und Verzeichnisnamen im Image auf und kann die
Namen kürzlich gelöschter Dateien innerhalb eines Verzeichnisses anzeigen. Der
Befehl fls –i list zeigt die Image-Formate an, welche von Sleuthkit unterstützt werden
(siehe Abbildung 2). Mit dem Befehl fls –f list lassen sich die durch Sleuthkit
unterstützen Dateisysteme anzeigen (siehe Abbildung 3).
23 Carrier, Sleuthkit, 2009 24 Vgl. Carrier, Sleuthkit, 2009 25 Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1 (2011), S. 215
Abbildung 2 unterstützte Image-Formate Quelle. eigenes Bild
Abbildung 3 unterstützte Dateisysteme 1 Quelle: Eigenes Bild
Mit dem Sleuthkit-Befehl fsstat können folgende Partitionsinformationen ausgegeben
werden:
- Partitionstyp
- Mounted on
- Last mounted
- Cluster Größe
Mit dem Sleuthkit-Befehl mmls kann auf RAW Images, physikalische sowie
forensische (EWF) Image-Formate zugegriffen werden. Mit dem Befehl lässt sich
der Offset analysieren.
Mit dem Sleuthkit Befehl xmount können forensische Images in andere Formate
konvertiert werden. Soll ein ewf-Format in ein vmdk-Format konvertiert werden, würde
folgender Befehl ausgeführt werden:
xmount --in ewf hw_RAID1.E01 --cache /tmp/cache.ovl –-out vmdk /ewf/ Befehlserklärung:
▪ --in: Input Image Format
▪ --cache: Damit wird das Quell-Image virtuell schreibbar. Die Änderungen werden
hierbei nur in die Cache-Overlay-Datei übernommen und das ursprüngliche
Image bleibt unangetastet. Wird zu einem späteren Zeitpunkt das Image mit
dieser vorhandenen Overlay-Datei gestartet, so kann mit dem geänderten Status
gearbeitet werden. Wird mit einer neuen Overlay-Datei gestartet, so beginnt die
Virtualisierung wieder mit dem Originalzustand.
▪ Nach --cache wird der Pfad der Cache-Overlay-Datei angegeben.
▪ --out: Output Image Format. Wenn nicht definiert, wird standardmäßig zu "raw"
konvertiert
▪ Nach --out raw wird der Pfad angegeben, wohin das Image gemounted werden
soll.
2.2.2. Wichtige Befehle für die NAS-Server-Auswertung Nachfolgend werden noch einige Befehle beispielhaft aufgeführt, welche für die
Auswertung eines NAS-Servers verwendet werden können.
Die forensischen Dateien mit der Endung “.E“ werden zusammengefügt und mit dem
mmls-Befehl analysiert. Bei Erfolg werden die Partitionstabellen angezeigt und das
Offset der verschiedenen Partitionen kann damit erhalten werden. Das Argument -B
fügt eine Spalte mit den Partitionsgrößen in Bit ein.
mmls -B disk_sda.E*
Die forensischen Dateien mit der Endung “.E“ werden zusammengefügt und als raw-
Datei im Verzeichnis “/ewf” abgelegt. Das Zeichen “*” dient als Platzhalter, da die
forensischen Dateien unterschiedliche Endungen haben (.E01, .E02, .E03...)
xmount --in ewf disk_sda.E* --cache /tmp/disk_sda.ovl --out raw /ewf
Das Sleuthkit bietet noch viele weitere Befehle, welche jedoch aufgrund des Umfangs
in dieser Arbeit im theoretischen Teil nicht berücksichtigt werden können.
2.3. Vorgehensweise Im praktischen Teil soll die Problemstellung beantwortet werden. Hierbei wird die
Definition zur IT-Forensik beachtet, welche besagt, dass bei einer forensischen
Analyse streng methodisch vorgegangen werden soll, um möglichst objektive
Ergebnisse zu erhalten. Daher wird im Vorfeld kurz das vom BSI-Leitfaden
empfohlene Vorgehen vorgestellt.
Der BSI-Leitfaden teilt die Vorgehensweise bei IT-forensischen Analysen in sechs
Teilbereiche auf:26
- strategische Vorbereitung
- operationale Vorbereitung
- Datensammlung
- Untersuchung
- Datenanalyse
- Dokumentation
Die strategische Vorbereitung stellt eine Maßnahme dar, die vor der eigentlichen
Untersuchung stattfindet. Die Operationale Vorbereitung, Datensammlung,
Untersuchung sowie Datenanalyse finden während der Untersuchung statt und die
Dokumentation erfolgt danach.27
Die strategische Vorbereitung beinhaltet im Wesentlichen die Schritte vor Eintritt eines
Zwischenfalls. Hiermit sind Maßnahmen gemeint, die getroffen werden, um eine
spätere forensische Untersuchung zu unterstützen. Üblich ist die Erstellung eines
Werkzeugkataloges, in welchem forensische Werkzeuge anhand ihrer Eigenschaften
26 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1 (2011), S. 86 27 Vgl. ebd.
aufgeführt sind. Dies soll in dieser Arbeit jedoch nicht näher betrachtet werden, da im
Vorfeld bereits das forensische Tool “Sleuthkit” als Werkzeug festgelegt wurde.28 Die
operationale Vorbereitung stellt den Anfang einer Untersuchung dar. In dieser Phase
wird eine erste Bestandsaufnahme gemacht. Es wird eine Übersicht über das
betroffene Netzwerk und die darin verfügbaren Datenquellen erstellt. Anhand des
Anfangsverdachts wird eine Vorauswahl der potentiell interessanten Daten getroffen.
Dann wird entschieden, wie die Daten forensisch abgesichert werden können.29 Auf
die operationale Vorbereitung folgt die Datensammlung. Geeignete forensische
Werkzeuge werden hierbei aus dem in der strategischen Vorbereitung erstellten
Katalog ausgewählt. Auch wird die Erstellung eines forensischen Duplikats des
betroffenen Speichers erstellt.30 Danach folgt die Untersuchung. Aus den
gesammelten Datenquellen werden die interessanten Daten extrahiert. Dies
geschieht mit den zuvor ausgewählten IT-forensischen Werkzeugen. Nach der
Untersuchung ist in den meisten Fällen noch eine Analyse der
Untersuchungsergebnisse notwendig. Üblicherweise werden in dieser Phase mehrere
Datenquellen zueinander ins Verhältnis gesetzt.
Während allen Phasen ist eine lückenlose Dokumentation unumgänglich. Jeder
Ablauf, Zugriff auf Daten oder ähnliches muss schriftlich festgehalten werden. Eine
sauber durchgeführte Dokumentation während der einzelnen Phasen ist essentiell für
den Abschluss der IT-forensischen Analyse. Denn nach der eigentlichen
Untersuchung wird ein Ergebnisprotokoll erstellt, in welchem die gewonnenen Daten
interpretiert und anschließend dem Adressatenkreis vorgelegt werden. In dem
Protokoll sind sämtliche getroffenen Maßnahmen und deren Ergebnisse ersichtlich.
28 Vgl. ebd. S. 87 29 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1 (2011), S. 87 - 88 30 Vgl. ebd. S. 88 - 89
2.4. Zusammenfassung In diesem Kapitel wurden wichtige Begriffe wie IT-Forensik, NAS-Server sowie RAID-
Systeme erläutert und für den Leser verständlich gemacht. In einem nächsten Schritt
wurde das IT-Forensik Werkzeug Sleuthkit vorgestellt, welches für die Beantwortung
der Problemstellung eingesetzt wird. Hierbei wurden auch wichtige Befehle im
Zusammenhang mit Sleuthkit vorgestellt. Anschließend wurde die bei einer IT-
forensischen Untersuchung vorgeschlagene Vorgehensweise aufgezeigt. Hierbei
wurden alle fünf Phasen kurz aufgezeigt. Für die vorliegende Arbeit sind allerdings
nur die Phasen Datensammlung und Datenanalyse wichtig. Die
“Dokumentationsphase” ist in diesem Fall mit der vorliegenden Arbeit gegeben.
3. IT-Forensische Analyse Im folgenden Kapitel soll die Problemstellung dieser Arbeit beantwortet werden. Der
physische NAS-Server wurde sichergestellt und liegt zur Auswertung vor. Die
Festplatten bilden hierbei einen RAID-1-Verbund.
Um die Problemstellung beantworten zu können, wird die in Kapitel 2.3 vorgegebene
Vorgehensweise befolgt. Da im Vorfeld bereits das Werkzeug “Sleuthkit” festgelegt
wurde, steigt diese Arbeit nach der strategischen und operationalen Phase ein und
beginnt somit mit der Datensammlung.
Es wird eine Post-mortem-Analyse durchgeführt. Zuerst wird die Image-Erstellung
beschrieben, die für die eigentliche Analyse von großer Wichtigkeit ist, da Analyse
ausschließlich auf dem neu gewonnenen Image erfolgt. Darauf folgt die Auswertung
des Images sowie die Zusammenfassung der Erkenntnisse.
3.1. Image-Erstellung Im folgenden Abschnitt wird auf die Image-Erstellung näher eingegangen. Dabei
werden die einzelnen Schritte, welche zur Erstellung eines auswertbaren Images
bearbeitet werden müssen, kurz vorgestellt. Hierbei wird kurz auf die Erstellung eines
Live-Boot-Stick eingegangen und danach die Erstellung des ewf-Images umfassend
erläutert. Anschließend wird das Resultat aufgezeigt. 3.1.1. Erstellung eines Live-Boot-Stick Vom NAS-Server, der als Beweismittel sichergestellt worden ist, muss ein Image
erstellt werden. Zuerst wird eine Live-System-Variante (CLI) mit den nötigen Tools
vorbereitet, um anschließend einen Live-Boot-Stick erstellen zu können.
Ein Live-System steht für ein Betriebssystem, dass „ohne Installation gestartet werden
kann”.31 Dazu wird das gesamte Betriebssystem auf ein entsprechendes, bootfähiges
Speichermedium installiert. Mit diesem Speichermedium ist ein Rechnerstart ohne
31 Wikipedia, Live-System, 2018
vorinstalliertes Betriebssystem möglich. Nach Entfernung des Mediums und einem
darauffolgenden Neustart des Rechners wird der Ursprungszustand
wiederhergestellt, denn das ursprüngliche Betriebssystem auf der Festplatte vom
Live-System/-Rechner wird nicht verändert. Folglich sind alle Daten des Live-Systems
wieder verschwunden, da diese nur in den Hauptspeicher geschrieben wurden.32
Herkömmliche Live-Boot-CDs booten in eine grafische Umgebung. Dort werden
immer die vorhandenen Partitionen automatisch gemountet. Für forensische
Auswertungen sollen nur die Partitionen gemountet werden, welche der Spezialist
benötigt. Dabei gibt es verschieden Live-System-Varianten, sogenannte CLIs
(Command Line Interface), wie zum Beispiel: Sift, Grml, Caine, HPM. 33 Der
Schwerpunkt dieser CLI-Varianten liegt in der Image-Erstellung von Windows-
Rechnern. Für die Image-Erstellung des NAS-Servers wird das Live-System “HPM”
verwendet. Dazu wird zuerst ein USB-Stick bootbar gemacht, damit anschließend das
Live-Boot-System "HPM" auf diesen USB-Stick geklont werden kann. Die einzelnen,
notwendigen Schritte werden im Folgenden näher erläutert.
▪ Der USB-Stick wird an einem freien USB-Port eingesteckt.
▪ Die Windows-Eingabeaufforderung “CMD” wird als Administrator geöffnet.
▪ Das Programm "Diskpart", welches zur Festplattenpartitionierung dient, wird
gestartet. Mit dem nachfolgenden Befehl werden alle von Windows gefundenen
Partitionen aufgelistet: diskpart
▪ Um die vorhandenen Datenträger aufzulisten, wird nachfolgender Befehl
abgesetzt: list disk
▪ Der Datenträger (USB-Stick) wird anschließend ausgewählt: select disk
(Bezeichnung des USB-Sticks) ▪ Der Datenträger wird mit folgendem Befehl bereinigt: clean
▪ Eine primäre Partition muss erstellt und die erstellte Partition ausgewählt werden:
create partition primary
select partition=1
32 Vgl. Wikipedia, Live-System, 2018 33 Vgl. Dipl. Ing. Merkel, Linux-Magazin Online, 2019
▪ Die erstellte Partition muss mit nachfolgendem Befehl als aktiv gesetzt werden:
active
▪ Die Partition wird mit folgendem Befehl formatiert. Es wird hierzu das Dateisystem
fat32 verwendet: format fs=fat32
▪ Ein Laufwerksbuchstabe wird mit folgendem Befehl der Partition zugewiesen:
assign
Der USB-Stick ist nun bootbar und das Programm Diskpart kann geschlossen werden. 34 Nachdem ein bootbarer USB-Stick erstellt worden ist, kann nun das Live-System auf
den USB-Stick kopiert werden. Im vorliegenden Fall handelt es sich bei dem Live-
System um ein Ubuntu 17.04 mit den notwendigen Tools. Nachfolgend soll
beschrieben werden, welche Schritte für die Kopie des Live-Systems auf den
bootfähigen USB-Stick abgearbeitet werden müssen.
- Das Live-Boot-System “HPM”, welches als .iso-Datei zur Verfügung steht, wird in
Windows gemountet. Dazu reicht ein Doppelklick mit der linken Maustaste auf die
Datei.
- Der Befehl xcopy ist eine Eingabeaufforderung, mit der eine oder mehrere Dateien
und / oder Ordner von einem Speicherort an einen anderen Speicherort kopiert
werden können.35 Die optionalen Parameter /S /E dienen dazu alle Dateien,
Verzeichnisse und Unterverzeichnisse (auch leere) zu kopieren
xcopy [Quellmedium]:\*.* [USB-Stick]:\*.* /S /E36
Der vorbereitete USB-Stick wird am NAS-Server eingesteckt und danach das Live-
System von diesem aus gestartet. Zuerst erfolgt die Suche nach der Originalplatte,
welche geklont werden soll, mit dem Befehl fdisk -l (siehe Abbildung 4). Fdisk (für
fixed disk) ist ein Kommandozeilen-Programm zur Partitionierung von Datenträgern37.
34 Vgl. Wikihow.com, Einen USB-Stick bootfähig machen, 2019 35 Vgl. Microsoft, xcopy, 2019 36 Vgl. Dipl. Ing. Merkel, Linux-Magazin Online, 2019 37 Vgl. Ubuntuusers.de, fdisk, 2019
Der Befehl kann zwar auf physikalische Speichermedien und RAW-Images zugreifen,
nicht aber auf forensische Image-Formate wie das Expert Witness Format (EWF). 38
Abbildung 4 Ergebnis nach Befehl: fdisk -l Quelle: Eigenes Bild
Das Ergebnis zeigt, dass das System zwei Disks aufweist:
1. /dev/sda -> physikalische Disk mit einer Grösse von 931.5 GiB
2. /dev/sdb -> physikalische Disk mit einer Grösse von 931.5 GiB
Zusätzliche werden folgende Ergebnisse geliefert:
▪ /dev/sda1,sdb1: Dies ist eine Linux Swap Partition mit der Größe 30MB
38 Vgl. Dipl. Ing. Merkel, Linux-Magazin Online, 2019
▪ /dev/sda2,sdb2: Dies ist eine Linux RAID autodetect Partition mit der Größe 9.3
GiB
▪ /dev/md127 : Hierbei handelt es sich um eine Disk mit einer Größe von 9.3 GiB
Die Bezeichnung “md” lässt darauf schließen, dass es sich um eine virtuelle Disk
handelt, die aus unabhängigen untergeordneten Devices besteht.
Das Ergebnis zeigt, dass es sich hierbei höchstwahrscheinlich um ein Linux-System
handelt mit RAID-Funktionalität. Dies ist anhand der Partitionen /dev/sda1,sdb1 und
/dev/sda2,sdb2 ersichtlich.
Das RAID-System wird im Folgenden weiter untersucht. Dazu wird der Befehl mdadm
-D /dev/md127 angewendet. Das Linux-Hilfsprogramm mdadm (multiple disk
administration) dient zur Verwaltung eines Software RAIDs. Mit dem Programm
können Konfigurationen an RAID-Verbünden durchgeführt werden. Mit dem
Zusatzparameter -D werden zusätzliche Details zu den md-Devices angezeigt und mit
dem Zusatzparameter -Q wird das Ergebnis lesbarer dargestellt (siehe Abbildung 5).39
39 Vgl. Die.net, mdadm(8) – linux man page, 2017
Abbildung 5 Ergebnis nach Befehl: mdadm -D /dev/md127 Quelle: Eigenes Bild
Dieser Befehl liefert die Erkenntnis, dass es sich um ein RAID1-System ohne Spare-
Platte handelt. Zudem weist es zwei Partitionen auf. Die Angabe State: Clean zeigt,
dass das System ohne Fehler läuft.
Das RAID-System wird noch weiter mit dem Befehl cat /proc/mdstat untersucht. Dabei
wird mit dem Linux-Befehl cat der Inhalt der Datei mdstat ausgegeben. Die Datei
mdstat zeigt eine Momentaufnahme des RAID / md-Status des Kernels. Das Ergebnis
(siehe Abbildung 6) zeigt, dass beide Disks aktiv sind (active / UU).
Abbildung 6 Ergebnis nach Befehl:cat /proc/mdstat Quelle: Eigenes Bild
Für IT-Forensiker sind physikalische Zugriffe (Allocated- und Unallocated-Speicher)
für Image-Auswertungen erstrebenswert. Der Allocated-Speicher enthält
normalerweise alle vom System und vom Benutzer generierten Daten. Dies können
Daten sein wie zum Beispiel E-Mail-Nachrichten, Dokumente, Fotos, Protokolldateien,
Datenbankdateien. Der Unallocated-Speicher hingegen ist der Ort, an dem sich
gelöschte Dokumente, Dateisystem-Informationen und andere elektronische
Artefakte auf der Festplatte befinden, die häufig durch forensische Untersuchungen
wiederhergestellt und analysiert werden können. Anders als der Allocated-
Speicherplatz auf der Festplatte kann der elektronische Nachweis im Unallocated-
Speicherplatz mit neuen Daten überschrieben werden und somit vollständig verloren
gehen, wenn der Computer weiterhin verwendet wird.40
Um den Allocated- und den Unallocated-Speicher zu erhalten, wird nachfolgend ein
Image von den physikalischen Platten sda und sdb sowie als Absicherung und für
eine spätere dezidierte Analyse ein Image der logischen Partitionen sda1, sda2, sdb2
mittels des Programms ewfaquire erstellt. Dieses liest Daten aus einer Datei oder
einem Gerät aus und schreibt sie in das EW-Format um. Ewfacquire ist Teil des libewf-
Pakets, welches wiederum eine Bibliothek ist, die das Expert Witness Compression
Format (EWF) unterstützt. 41
Da das Live-System im RAM läuft, kann die Festplatte nicht in ein Verzeichnis auf
dem Live-Linux kopiert werden, sondern muss auf eine externe Festplatte oder über
das Netzwerk kopiert werden, da nach einem Neustart alle Daten verloren gehen
würden. Auf der externen Festplatte muss zumindest ein Dateisystem vorhanden sein,
da die Platte gemountet werden muss.
Nun werden die einzelnen Schritte aufgeführt, die zeigen, wie das EWF-Image erstellt
wird. Dabei wird nur die Erstellung des EWF-Images für die physikalische Disk
40 Vgl. Dipl. Ing. Merkel, Linux-Magazin Online, 2019 41 Vgl. Die.net, ewfacquire(1) – linux man page, 2017
/dev/sda dokumentiert, da der Vorgang für beide Disks (/dev/sda und /dev/sdb)
identisch ist.
Die externe Festplatte wird eingesteckt und mit nachfolgendem Befehl aufgelistet. fdisk -lu
Abbildung 7 Ergebnis nach fdisk -lu Befehl Quelle: Eigenes Bild
Das Ergebnis zeigt die externe Festplatte mit der Bezeichnung /dev/sdd. Sie hat eine
Größe von 1.8 TB. Die externe Festplatte muss anschließend mit dem Linux-Befehl
mount in das System eingebunden werden. Mit dem Zusatzparameter -t wird der Typ
des einzuhängenden Dateisystems definiert. Als Name des Mountpoints wurde die
Bezeichnung “CaseNAS” gewählt. mount -t ntfs-3g /dev/sdd /tmp/CaseNAS/
Das FUSE-Modul "NTFS-3G" ist ein Linux-Kernel-Modul, dass es ermöglicht, den
Dateisystem-Treiber aus dem Kernel-Modus in den User-Modus zu verlagern. Der
ntfs-3g-Treiber ermöglicht es auf einem Linux-System eine NTFS-Partition zu
beschreiben. Dieses wird standardmäßig in der Praxis verwendet, um Images zu
erstellen. Es wird im User-Space geschrieben, was bedeutet, dass langsamer
geschrieben wird als im Kernel-Space. Ist das Erstellen eines Images also zeitkritisch,
sollte das Dateiformat ext4 verwendet werden. Dies ist zeitsparender, da der Kernel
schreibt. Hier gilt es zu beachten, dass dieses Image unter Linux ausgewertet oder
für Windows-Systeme in NTFS konvertiert werden muss.42
Mit folgendem Befehl wird das Dienstprogramm ewfacquire ausgeführt und die
physikalische Disk /dev/sda auf die externe Festplatte im EWF-Format gespeichert.
ewfacquire /dev/sda /tmp/CaseNAS/disk_sda
Abbildung 8 Start des Dienstprogramms ewfacquire Quelle: Eigenes Bild
Um ein forensisch wertvolles EWF-Image zu erhalten, werden verschiedene Angaben
durch das Dienstprogramm ewfacquire abgefragt.
42 Vgl. Dipl. Ing. Merkel, Linux-Magazin Online, 2019
Abbildung 9 Beschreibung des EWF-Images Quelle: Eigenes Bild
Anschließend wird der Erstellungsprozess gestartet.
Abbildung 10 Erstellung des EWF-Images Quelle: Eigenes Bild
Bei der Image-Erzeugung wurde die Erkenntnis gewonnen, dass das NAS-System
nur USB2 unterstützt und somit die Erstellung des EWF-Images viel Zeit in Anspruch
nimmt. Bei großen Systemen wäre die Image-Erstellung mittels ewfaquire daher nicht
die optimale Lösung.
Nachdem die Erstellung der EWF-Images der beiden physikalischen Disks /dev/sda
und /dev/sdb abgeschlossen ist, wird bei genauer Betrachtung der Partitionen
ersichtlich, dass die beiden EWF-Images unterschiedliche Größen aufweisen.
Disk_sda -> 359 gesplittete Dateien à 1.6 GiB, Gesamtgrösse 563.6 GiB (nicht komprimiert)
Disk_sdb -> 334 gesplittete Dateien à 1.6 GiB Gesamtgrösse 524.4 GiB (nicht komprimiert) Auf Nachfrage beim Forensik-Spezialisten Hans-Peter Merkel ist dies darauf
zurückzuführen, dass die Disk /dev/sda im Gegensatz zur Disk /dev/sdb eine Swap-
Partition aufweist. Da diese wie ein Unallocated-Speicher behandelt wird, ist das
Image dieser Partition größer.
Gemäß ewfaquire wurde das Image erfolgreich erstellt und mit der Meldung
“SUCCESS” beendet. Damit das EWF-Image nahezu eindeutig identifiziert werden
kann und vor nachträglichen Veränderungen geschützt ist, wurde zudem ein MD5-
Hashwert der Daten erzeugt (siehe Abbildung 10). Der Hashwert ist ein
alphanumerischer Wert einer bestimmten Größe, der durch eine Hashfunktion
gebildet wird. Mithilfe der Hashfunktion wird eine beliebig lange Zeichenform auf einen
Wert fester Größe abgebildet. Dabei liefert die Funktion auf gleiche Daten immer die
gleichen Werte. Somit kann auf diese Weise unter anderem die Integrität überprüft
werden. Beispielsweise werden bei der Übertragung über ein unsicheres Netz mittels
Integritätsprüfung die Daten auf ihre Beständigkeit hin überprüft.43 So kann
sichergestellt werden, dass die Daten bei der Übertragung nicht verfälscht wurden.
43 E-teaching.org, Hashwert ,2018
3.2. Image-Auswertung Mit der Image-Auswertung folgt die Untersuchungsphase. Hierbei werden die
gesammelten Daten, im vorliegenden Fall das erstellte Image, ausgewertet. Dabei
wird im ersten Teil nur die Auswertung des EWF-Images für die physikalische Disk
/dev/sda dokumentiert, da der Vorgang für beide Disks (/dev/sda und /dev/sdb)
identisch ist.
Die externe Festplatte mit dem auszuwertenden Image wird an einen Linux-Computer
zur Weiterverarbeitung angeschlossen und gemountet. Anschließend können
entsprechende Informationen gesammelt und Auswertungen vorgenommen werden.
Als erstes werden mit dem nachfolgenden Linux-Befehl die gewonnen Files zur
Analyse aufgelistet (siehe Ergebnis in Abbildung 11): ls
Abbildung 11 Auflistung der gewonnen EWF-Image-Files Quelle: Eigenes Bild
Danach werden mittels des nachfolgenden Sleuthkit-Befehls die einzelnen EWF-
Image-Files automatisch zusammengefügt und die jeweiligen Partitionstabellen
angezeigt. Somit kann bestimmt werden, wo jede Partition beginnt. Der Beginn einer
Partition wird mit dem Offset angegeben. Das Offset wird benötigt, um eine Partition
weiter untersuchen zu können. Der Parameter -B fügt eine Spalte mit den
Partitionsgrößen in Bit ein. mmls -B disk_sda.E*
Abbildung 12 Partitionstabelle mit den jeweiligen Offsets, welche den Anfang der Partition bezeichnen Quelle: Eigenes Bild
Die Informationen, welche durch Sleuthkit mittels mmls-Befehl gesammelt wurden,
bestätigen, dass es sich um ein Linux-RAID-System handelt, da die Beschreibung der
Partitionstyp-GUID als Linux RAID (0xfd) bezeichnet wird (Abbildung 12). Die Partition
mit dem Offset 63488 beinhalten wahrscheinlich die System- und Userdaten und wird
demzufolge nachstehend weiter untersucht.
Mit dem folgenden Sleuthkit-Befehl wird versucht, einen physikalischen Zugriff auf das
Dateisystem zu erlangen: fls -o 63488 disk_sda.E* Mit dem Parameter “-o” wird der
entsprechende Offset festgelegt.
Abbildung 13 Rückmeldung nach fls-Befehl Quelle: Eigenes Bild
Es ist ersichtlich, dass das Dateisystem nicht physikalisch auswertbar ist, weil die
Partitionstabelle mit den Informationen über die Partitionen nicht erkannt wurde. In
einem RAID-System wird der MBR (Master Boot Record) nicht an der üblichen
Position gespeichert. Deshalb wird ein weiterer Ansatz gewählt und ein logischer
Zugriff angestrebt.
Um einen logischen Zugriff zu erhalten, müssen die EWF-Image-Files konvertiert und
anschließend gemountet werden. Mit dem Sleuthkit-Befehl xmount können die EWF-
Image-Files zusammengefügt und in das RAW-Format gebracht werden. Der
Parameter “--in” verlangt als Argument das Eingabeformat (hier ewf, da es sich um
EWF-Image-Files handelt). Mit dem Parameter “--out” wird das Ausgabeformat (hier
raw) bestimmt. Als Erstes wird die Disk /dev/sda mit dem xmount-Befehl konvertiert.
xmount --in ewf disk_sda.E* --cache /tmp/disk_sda.ovl --out raw /ewf
Daraufhin wird die Disk /dev/sdb konvertiert.
xmount --in ewf disk_sdb.E* --cache /tmp/disk_sdb.ovl --out raw /ewf2
Nachdem die Konvertierung abgeschlossen ist, wird in das Verzeichnis "ewf"
gewechselt, worin das konvertierte Image der Disk /dev/sda liegt: cd /ewf
Mit dem Befehl mmls werden die jeweiligen Partitionstabellen angezeigt (siehe
Abbildung 14): mmls -B disk_sda.dd
Abbildung 14 Informationen zu den Partitionstabellen der Disk /dev/sda Quelle: Eigenes Bild
Auch im Verzeichnis “ewf2” wird mit dem mmls-Befehl die Partitionstabellen der Disk
/dev/sdb angezeigt: mmls -B disk_sdb.dd
Abbildung 15 Informationen zu den Partitionstabellen der Disk /dev/sdb Quelle: Eigenes Bild
Da Festplatten mit mehreren Partitionen nicht gemountet werden können, wird ein
Loop-Device erstellt, welches es ermöglicht, logischen Zugriff auf das Image zu
erhalten.44 Ein Loop-Device ist hierbei ein Pseudo-Gerät (eigentlich nur eine Datei),
das als blockbasiertes Gerät fungiert.45 Mittels des nachfolgenden Kommandos wird
ein Loop-Device vom konvertierten Image “disk_sda.dd” im Pfad “/dev/loop1” erstellt.
Der Parameter “-o” wird wiederum verwendet, um den Zugriff auf die gewünschte
44 Vgl. Dipl. Ing. Merkel, Linux-Magazin Online, 2019 45 Vgl. Unix & Linux, What is a „loop device” when mounting?, 2018
Partition zu erhalten. Um den Versatz zu erhalten, an dem der Mount erfolgen soll,
muss der Startsektor mit der Sektorengröße (hier 512) multipliziert werden (Abbildung
14): losetup -o $((63488*512)) /dev/loop1 /ewf/disk_sda.dd
Anschließend wird noch das Loop Device vom konvertierten Image “disk_sdb.dd” im
Pfad “/dev/loop2” erstellt: losetup -o $((63488*512)) /dev/loop2 /ewf2/disk_sdb.dd
Um den Status aller Loop Devices abfragen zu können, wird folgender Befehl
abgesetzt: losetup -a
Abbildung 16 Informationen zu allen Loopdevices Quelle: Eigenes Bild
Es ist ersichtlich, dass die Loop Devices erfolgreich erstellt wurden. Darauffolgend soll
versucht werden, die Partition disk_sda.dd ins Verzeichnis /mnt zu mounten, um
Zugriff darauf zu erhalten.
Abbildung 17 Informationsmeldung nach Mount-Versuch der Partition Quelle: Eigenes Bild
Es zeigt sich, dass das Loop Device nicht gemountet werden kann, da das
Dateisystem nicht erkannt wurde (Abbildung 17). Da es sich um ein RAID-System
handelt, kann eine Partition nicht ohne weiteres gemountet werden. Dazu muss zuerst
das RAID-Array zusammengestellt werden. Nachfolgend soll daher aufgezeigt
werden, wie dazu die Disk /dev/sda und die Disk /dev/sdb aufbereitet werden.
Als erstes wird der RAID-Status von der Disk /dev/sda ausgelesen. Im Verzeichnis
/dev/loop1 wird folgender Befehl ausgeführt: cat /proc/mdstat
Abbildung 18 RAID-Status /dev/sda Quelle: Eigenes Bild
Als nächstes wird das RAID von der Disk /dev/sda mit dem Linux-Hilfsprogramm
mdadm gestoppt: mdadm --stop /dev/md127
Abbildung 19 Meldung nach stoppen des RAIDs Quelle: Eigenes Bild
Es wird wieder der RAID-Status von der Disk /dev/sda ausgelesen, um zu überprüfen
ob das RAID gestoppt wurde: cat /proc/mdstat
Abbildung 20 RAID-Status von Disk /dev/sda nach stoppen des RAIDs Quelle: Eigenes Bild
Nach derselben Arbeitsweise wird mit der Disk /dev/sdb verfahren. Als Erstes wird der
RAID-Status von Disk /dev/sdb ausgelesen. Im Verzeichnis “/dev/loop2” wird
folgender Befehl ausgeführt: cat /proc/mdstat
Abbildung 21 RAID-Status /dev/sdb Quelle: Eigenes Bild
Als nächstes wird das RAID von der Disk /dev/sdb mit dem Linux-Hilfsprogramm
mdadm gestoppt: mdadm --stop /dev/md127
Abbildung 22 Meldung nach stoppen des RAIDs Quelle: Eigenes Bild
Es wird wieder der RAID-Status von der Disk /dev/sdb ausgelesen, um zu überprüfen,
ob das RAID gestoppt wurde: cat /proc/mdstat
Abbildung 23 RAID-Status von Disk /dev/sdb nach stoppen des RAIDs Quelle: Eigenes Bild
Mit dem anschließenden Befehl werden die beiden Images zusammengesetzt und der
RAID-Verbund gestartet. Mit den Parametern --assemble und --scan werden alle
angeschlossenen Festplatten/Partitionen nach Superblöcken durchsucht und die
gefundenen Arrays gestartet. Der Parameter --scan gibt im Allgemeinen mdadm die
Berechtigung, fehlende Informationen wie Komponenten-Geräte, Array-Geräte und
Array-Identitäten aus der Konfigurationsdatei abzurufen46: mdadm --assemble -scan
46 Vgl. Man2html, Maintenance Commands (8)– MDADM, 2019
Abbildung 24 RAID-Verbund wurde gestartet Quelle: Eigenes Bild
In Abbildung 27 ist ersichtlich, dass mdadm den RAID-Verbund erfolgreich starten
konnte. Anschließend werden mit dem Kommandozeilen-Programm „fdisk“ die Disks
überprüft. Mit der Angabe “-lu” werden Informationen zu MBR-Partitionen mit
Einheitsanzeigen als Sektoren aufgelistet: fdisk -lu
Abbildung 25 Überprüfung der Disks Quelle: Eigenes Bild
Die Partition /dev/md127 wird als physikalische Partition angezeigt. Mit dem Linux-
Tool „blkid“ lassen sich weitere wichtige Informationen wie Identifikationsnummer,
Name und Dateisystem anzeigen. Um weitere Informationen zu erhalten, wird
nachfolgender Befehl abgesetzt: blkid /dev/md127
Abbildung 26 Partitionsinformationen erlangen Quelle: Eigenes Bild
Damit erhält man die wichtige Information, dass es sich hierbei um ein ext4-
Dateisystem handelt. Somit kann nun versucht werden, die RAID-Partition zu
mounten. Dazu wird zuerst ein Ordner erstellt, in welchem der Mountpoint liegen wird:
mkdir /md127
Anschließend kann die RAID-Partition gemountet werden: mount /dev/md127 /md127
Mit dem Befehl ls -lah wird der Inhalt der RAID-Partition aufgelistet. Die Parameter -
lah dienen dazu, das Ergebnis von ls als Liste aufzuführen, auch versteckte Dateien
anzuzeigen und die Größe der Files “Human readable” anzugeben. ls -lah
Abbildung 27 Inhalt des RAID-Verbundes Quelle: Eigenes Bild
Der RAID-Verbund konnte erfolgreich gemountet werden und ein Zugriff darauf ist
möglich. Nun kann damit begonnen werden, nach Beweismitteln zu suchen. Dazu gibt
es viele unterschiedliche IT-forensische Ansätze. Da ein verhärteter Verdacht besteht,
dass sich illegale pornographische Inhalte auf dem NAS-Server befinden, wird als
erstes nach Bildern im RAID-Verbund /dev/md127 gesucht. Der anschließende Befehl
find sucht in allen Ordnern nach Dateien, die mit .jpg, .jpeg, .JPG und .JPEG enden.
Diese von find generierte Liste wird an das Kommando xargs übergeben, das
daraufhin für jeden Eintrag das Kommando md5sum ausführt, sprich für jede Datei
einen Hashwert erstellt und diesen in die Textdatei “Bilder.txt” speichert.
find . -name '*.jpg' -o -name '*.jpeg' -o -name '*.JPG' -o -name '*.JPEG' | xargs
md5sum >/tmp/Bilder.txt
Anschließend wird der Inhalt der Textdatei “Bilder.txt” mit dem Befehl cat angezeigt:
cat /tmp/Bilder.txt
Abbildung 28 Inhalt der Textdatei Bilder.txt Quelle: Eigenes Bild
Es werden mehrere Bilder aufgelistet. Um nun die relevanten von den irrelevanten
Bilddateien unterscheiden zu können, setzen IT-Forensiker gewöhnlich spezielle
Programme ein, die aus der Farbverteilung eines Bildes dessen Hashwert berechnen.
Wie bereits erläutert, fungiert ein Hashwert als eindeutiges Identifikationsmerkmal.
Damit lassen sich Bilder miteinander vergleichen. Nicht nur
Strafverfolgungsbehörden, sondern auch private Unternehmen, wie Microsoft oder
Google, besitzen Datenbanken mit berechneten Hashwerten von bereits bekannten
pornographischen Bilddateien. Folglich ist ein Abgleich der gefundenen Bilder auf
dem NAS-Server mit denen in einer solchen Datenbank gespeicherten Hashwerten
nur logisch. Damit kann die Anzahl der relevanten Treffer bei einer großen
Datenmenge eingegrenzt werden. 47
Aufgrund dessen, dass unsere exemplarisch ausgewählten Bilder keinem illegalen
pornographischen Inhalt entsprechen und den Verfassern dieser Arbeit eine solche
Datenbank nicht zugänglich ist, kann ein Hashwert-Abgleich praktisch nicht realisiert
werden. Daher wurden die vorliegenden Bilddateien einzeln überprüft. Darunter
befanden sich zwei Bilder mit illegalem, pornographischem Inhalt (siehe Abbildung
32).48
Abbildung 29 Bilder mit illegalem, pornographischem Inhalt Quelle: Eigenes Bild Abbildung 30 Bilder mit illegalem, pornographischem Inhalt Quelle: Eigenes Bild
Diese werden gesichert und die IT-forensische Arbeit im Rahmen dieser Arbeit und
der zu beantworteten Problemstellung beendet.
Im Anschluss an die Analyse würde die Dokumentation erstellt werden, welche in
diesem Fall in Form dieser Arbeit vorliegt. In einem forensischen Arbeitsumfeld würde
die Dokumentation, welche bereits während der verschiedenen Phasen stattgefunden
hat, nochmals auf Lücken hin überprüft und auch das Ergebnis genauestens
dokumentiert werden, sodass ein möglichst objektives Bild entsteht. Diese
47 Zeit.de, Google und Microsoft fahnden nach Kinderpornografie, 2013 48 Anmerkung: Die zwei Bilddateien wurden im Vorfeld ausgewählt und als illegale pornografische Bilddateien festgelegt.
Dokumentation kann in der Form unterschiedlich sein und richtet sich nach der
jeweiligen Adressatengruppe.49
3.3. Zusammenfassung In diesem Kapitel wurde die Problemstellung bearbeitet und die einzelnen Schritte
erläutert. Als Erstes wurde ein Image erstellt. Die Datengröße der Speichermedien
kann hierbei eine Schwierigkeit darstellen. Anders als das behandelte NAS-System
haben handelsübliche Home NAS-Systeme heutzutage mehrere Terabytes an
Diskspeicher. Dementsprechend benötigt eine komplette Extrahierung aller Daten
nicht nur eine große Menge an Speicherplatz, sondern auch eine enorme Zeitspanne
für die Datensicherung. Ebenso lässt sich sagen, dass die Image-Auswertung von
RAID-Systemen aufwendiger ist, als man es von herkömmlichen Speichermedien
gewohnt ist, da erst das RAID-Array zusammengestellt werden muss, bevor die
Partitionen gemountet werden können. Bei der anschließenden Suche nach Bildern
mit pornographischem Inhalt konnten zwei Bilder sichergestellt werden. Hierbei
unterscheidet sich die Suche kaum von der Vorgehensweise bei konventionellen
Datenträgern. Die in der vorliegenden Arbeit angewendeten Befehle können daher
auch bei solchen Datenträgern angewendet werden. Die Suche nach den Bildern
wurde im Rahmen dieser Arbeit exemplarisch durchgeführt. Um weitere Hinweise auf
illegale Aktivitäten im pornographischen Umfeld zu erhalten, empfiehlt es sich auch
nach Benutzernamen, Passwörtern und Accounts auf den Speichermedien zu
suchen. Zudem könnten der Emailverkehr, die Browser- sowie Chatverläufe, falls
vorhanden, durchsucht werden. Hierdurch könnten sich Anhaltspunkte auf eventuelle
Mittäter oder illegale Foren o. Ä. ergeben. Neben den zuvor erwähnten alternativen
Suchansätzen sollte nach der Analyse des Allocated- auch der Unallocated-Speicher
ausgewertet werden, da sich auch hier noch relevante Informationen wie gelöschte
Dokumente, Dateisystem-Informationen und andere elektronische Artefakte auf der
Festplatte finden lassen. Diese Arbeitsschritte wurden im Rahmen dieser Arbeit nicht
realisiert, da diese den Umfang überschreiten würden.
49 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1 (2011), S. 253
4. Schlussfolgerungen und Empfehlung Die Problemstellung “IT-Forensische Analyse und Auswertung eines NAS-Server
Webservers unter Verwendung von Sleuthkit” konnte beantwortet werden. Die
vorliegende Arbeit hat beschrieben, wie vom NAS-Server ein Image erstellt werden
kann und hat die anschließende notwendige Vorgehensweise, um illegale
pornographische Bilder auffinden zu können. Bei der Bearbeitung der
Problemstellung wurde erkannt, dass die Schwierigkeit in der Image-Auswertung von
NAS-Servern in einem RAID-Verbund vor allem bei der vorhergehenden Image-
Erstellung liegt. Diese gestaltet sich um einiges aufwendiger als die Image-Erstellung
von herkömmlichen Speichermedien, da vor dem Mounten der Partitionen zuerst ein
RAID-Array zusammengestellt werden muss. Bei der Suche nach Bildern mit
pornographischem Inhalt in dieser Arbeit, konnten zwei Bilder sichergestellt werden.
Hierbei unterscheidet sich die Suche kaum von der Vorgehensweise bei
konventionellen Datenträgern. Die in der vorliegenden Arbeit angewendeten Befehle
können daher auch bei solchen Datenträgern angewendet werden. IT-Forensiker
setzen für gewöhnlich spezielle Programme ein, um die relevanten Bilder von den
irrelevanten Bilddateien unterscheiden zu können. Diese Programme können wie im
vorherigen Kapitel bereits beschrieben aus der Farbverteilung eines Bildes dessen
Hashwert berechnen. Damit lassen sich die Hashwerte der aufgefundenen Bilder mit
denen in einer bereits existierenden Datenbank berechneten Hashwerten abgleichen.
Dieses Vorgehen wurde in der vorliegenden Arbeit aufgrund der als illegal
pornografisch definierten Bilder, welche keinen hohen Anteil an hautfarbenen Pixeln
aufweisen, nicht realisiert. In einem weiteren Schritt könnte noch der Unallocated
Speicher ausgewertet werden, dieser Schritt war im Rahmen der Arbeit nicht
notwendig, da die Bilder bereits im Allocated Speicher aufgefunden wurden.
Die vorliegende Arbeit bietet viel Raum für weiterführende Themen. Zum Beispiel
könnte mittels log2timeline.py eine sogenannte Supertimeline erstellt werden, welche
Auskunft zu den Dateien auf einem Datenträger bezüglich MAC(b)50-Zeiten geben
kann. Log2timeline bindet dabei zusätzlich auch Informationen über den
Browserverlauf, EXIF-Informationen oder Registry-Informationen in eine einzige
Timeline ein. Weiterhin könnten auch Exif-Metainformationen51 ausgelesen, ein ewf
in eine virtuelle Festplatte52 umgewandelt oder auch eine Image-Auswertung mittels
Autopsy53 erstellt werden. Es gibt noch unzählige weitere Möglichkeiten, die auf dem
Grundstein dieser Arbeit aufgebaut werden könnten. Da immer neue Technologien
für das Auffinden von Informationen aber auch für das Verschwindenlassen solcher
kreiert werden, müssen sich die IT-Forensiker stets auf dem aktuellen Wissensstand
halten.
50 Anmerkung: MAC(b) -Zeiten werden von Dateisystem-Metadaten (Modified, Accessed, Changed, Birth (Erstellung der Datei)) abgeleitet. Das (b) steht in Klammern, da nicht alle Dateisysteme das Erstellungsdatum aufzeichnen. Vgl. ForensicsWiki, MAC Times, 2015 51 Anmerkung: z.B. Geo-Koordinaten oder auch Kameratyp. Vgl. Wikipedia, Exchangeable Image File Format, 2019 52 Anmerkung: Hilfreich, um Snapshots zu erstellen, die in einen gerichtsverwertbaren Bericht eingefügt werden könnten. Vgl. Dipl. Ing. Merkel, Hans-Peter, Linux-Magazin Online, Mit Xmount alle gängigen Imageformate in Virtualisierungen verwenden, 2009 53 Anmerkung: Autopsy ist eine Computersoftware mit einer grafischen Oberfläche, mit der sich viele Sleuth-Kit Befehls-Ergebnisse grafisch anzeigen lassen. Vgl. Carrier, Sleuthkit, 2009
Abbildungsverzeichnis
Abbildung 1 Aufbau Quelle: https://www.elektronik-kompendium.de/sites/com/1312061.htm 13
Abbildung 2 unterstützte Image-Formate Quelle. eigenes Bild 15
Abbildung 3 unterstützte Dateisysteme 1 Quelle: Eigenes Bild 15
Abbildung 4 Ergebnis nach Befehl: fdisk -l Quelle: Eigenes Bild 26
Abbildung 5 Ergebnis nach Befehl: mdadm -D /dev/md127 Quelle: Eigenes Bild 28
Abbildung 6 Ergebnis nach Befehl:cat /proc/mdstat Quelle: Eigenes Bild 28
Abbildung 7 Ergebnis nach fdisk -lu Befehl Quelle: Eigenes Bild 30
Abbildung 8 Start des Dienstprogramms ewfacquire Quelle: Eigenes Bild 31
Abbildung 9 Beschreibung des EWF-Images Quelle: Eigenes Bild 32
Abbildung 10 Erstellung des EWF-Images Quelle: Eigenes Bild 32
Abbildung 11 Auflistung der gewonnen EWF-Image-Files Quelle: Eigenes Bild 34
Abbildung 12 Partitionstabelle mit den jeweiligen Offsets, welche den Anfang der Partition
bezeichnen Quelle: Eigenes Bild 35
Abbildung 13 Rückmeldung nach fls-Befehl Quelle: Eigenes Bild 35
Abbildung 14 Informationen zu den Partitionstabellen der Disk /dev/sda Quelle: Eigenes Bild 36
Abbildung 15 Informationen zu den Partitionstabellen der Disk /dev/sdb Quelle: Eigenes Bild 37
Abbildung 16 Informationen zu allen Loopdevices Quelle: Eigenes Bild 37
Abbildung 17 Informationsmeldung nach Mount-Versuch der Partition Quelle: Eigenes Bild 38
Abbildung 18 RAID-Status /dev/sda Quelle: Eigenes Bild 38
Abbildung 19 Meldung nach stoppen des RAIDs Quelle: Eigenes Bild 38
Abbildung 20 RAID-Status von Disk /dev/sda nach stoppen des RAIDs Quelle: Eigenes Bild 38
Abbildung 21 RAID-Status /dev/sdb Quelle: Eigenes Bild 39
Abbildung 22 Meldung nach stoppen des RAIDs Quelle: Eigenes Bild 39
Abbildung 23 RAID-Status von Disk /dev/sdb nach stoppen des RAIDs Quelle: Eigenes Bild 39
Abbildung 24 RAID-Verbund wurde gestartet Quelle: Eigenes Bild 40
Abbildung 25 Überprüfung der Disks Quelle: Eigenes Bild 40
Abbildung 26 Partitionsinformationen erlangen Quelle: Eigenes Bild 41
Abbildung 27 Inhalt des RAID-Verbundes Quelle: Eigenes Bild 42
Abbildung 28 Inhalt der Textdatei Bilder.txt Quelle: Eigenes Bild 43
Abbildung 29 Bilder mit illegalen pronografischen Inhalt Quelle: Eigenes Bild 44
Abbildung 30 Bilder mit illegalen pronografischen Inhalt Quelle: Eigenes Bild 44
Literaturverzeichnis
Bundesamt für Sicherheit in der Informationstechnik(2011), Leitfaden „IT-Forensik“, Version
1.0.1.,https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-
Sicherheit/Themen/Leitfaden_IT-Forensik.pdf?__blob=publicationFile&v=2, letzter Zugriff 10.07.2019
Bundeskriminalamt (2019), Polizeiliche Kriminalstatistik 2018,
https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/PolizeilicheKriminalstatistik/PKS2
018/pks2018_node.html;jsessionid=B4DF471450BC25632DA0BB9BCABCB83A.live0611), letzter
Zugriff 13.07.2019
Böhme, Rainer; Freiling, Felix C.; Gloe, Thomas; Kirchner, Matthias: Multimedia-Forensik als
Teildisziplin der digitalen Forensik. In: Informatik 2009: Im Focus das Leben, Beiträge der 39.
Jahrestagung der Gesellschaft für Informatik e.V. (GI), Bonn: Gesellschaft für Informatik e.V. (GI),
2009, S. 1537–1551
Carrier, Brian (2019), Sleuthkit, https://www.sleuthkit.org/, letzter Zugriff 13.07.2019
Casey, Eoghan: Digital Evidence and Computer Crime: Forensic Science, Computers, and the
Internet., In: Academic Press, London: Elsevier inc., 2011
Dewald, Andreas: Formalisierung digitaler Spuren und ihre Einbettung in die Forensische Informatik.
Erlangen/Nürnberg, Friedrich-Alexander-Universität, IT-Sicherheitsinfrastrukturen, Dissertation, 2012
Dewald, Andreas; Freiling, Felix: Forensische Informatik. 2. Auflage, o. Erlangen: Books on Demand,
2011, ISBN 978-3-84237-947-3
Die.net (2017), mdadm(8) – linux man page, https://linux.die.net/man/8/mdadm, letzter Zugriff
13.07.2019
Die.net (2017), ewfacquire(1) – linux man page, https://linux.die.net/man/1/ewfacquire, letzter Zugriff
13.07.2019
Dipl. Ing. Merkel, Hans-Peter (2009), Linux-Magazin Online, https://www.linux-
magazin.de/ausgaben/2009/10/kreuz-und-quer/, letzter Zugriff 17.07.2019
Dipl. Ing. Merkel, Hans-Peter (2009), Linux-Magazin Online,
https://www.linux-magazin.de/ausgaben/2014/11/xmount-0-7/, letzter Zugriff 17.07.2019
E-teaching.org (2018), Hashwert https://www.e-teaching.org/materialien/glossar/hashwert, letzter
Zugriff 15.07.2019
ForensicsWiki (2015), MAC times, https://forensicswiki.org/wiki/MAC_times, letzter Zugriff 17.07.2019
Freiling, Felix C.; Heckmann, Dirk; Polcák, Radim; Posegga, Joachim: Forensic Computing.
(Dagstuhl Seminar 11401). In: Dagstuhl Reports, Dagstuhl: Schloss Dagstuhl – Leibniz-Zentrum für
Informatik, 2011, S. 1
Gesellschaft für Informatik e. V. (2011), Faszination Informatik,
https://gi.de/meldung/faszination-informatik-und-ueberall-steckt-der-computer-drin, letzter Zugriff
13.07.2019
Geschonneck, Alexander: Computer-Forensik – Computerstraftaten erkennen, ermitteln, aufklären. 6.
Auflage, Heidelberg: dpunkt.verlag, 2014, ISBN 978-3-86490-133-1
Lubkowitz, Mark: Alles über NAS-Server. In: Online PC (Juni 2011 Nr.6), S. 30 – 33
Man2html (2019), Maintenance Commands (8) – MDADM, http://derpi.tuwien.ac.at/cgi-
bin/man/man2html?8+mdadm, letzter Zugriff 14.07.2019
Microsoft (2019), xcopy, https://docs.microsoft.com/en-us/windows-server/administration/windows-
commands/xcopy. Letzter Zugriff 13.07.2019
Nasserver-Test.de (2018), NAS Server: Einrichtung eines RAIDs,
https://nasserver-test.de/einrichtung-eines-RAIDs/, letzter Zugriff 13.07.2019
Nasserver-Test.de (2019), Was ist ein NAS Server,
https://nasserver-test.de/was-ist-ein-nas-server/, letzter Zugriff 13.07.2019
Palmer, Gary: A Road Map for Digital Forensic Research: Report From the First Digital Forensic
Research Workshop (DFRWS). In: DFRWS Technical Report (06.011.2001), New York: The Mitre
Corporation
Wikihow.com (2019), Einen USB-Stick bootfähig machen, https://de.wikihow.com/Einen-USB-Stick-
bootf%C3%A4hig-machen, Letzter Zugriff 13.07.2019
Wikipedia (2019), Exchangeable Image File Format,
https://de.wikipedia.org/wiki/Exchangeable_Image_File_Format, letzter Zugriff 17.07.2019
Wikipedia (2018), Live-System,
https://de.wikipedia.org/wiki/Live-System, letzter Zugriff 13.07.2019
Wikipedia (2019), Network Attached Storage,
https://de.m.wikipedia.org/wiki/Network_Attached_Storage, letzter Zugriff 13.07.2019
Ubuntuusers.de (2019), fdsik, https://wiki.ubuntuusers.de/fdisk/, letzter Zugriff 13.07.2019
Unix & Linux (2018), What is a „loop device” when mounting?,
https://unix.stackexchange.com/questions/4535/what-is-a-loop-device-when-mounting, letzter Zugriff
13.07.2019
Zeit.de (2013), Google und Microsoft fahnden nach Kinderpornografie,
https://www.zeit.de/digital/internet/2013-12/google-microsoft-filter-kinderpornografie, letzter Zugriff
15.07.2019