hochschule wismar, studiengang master „it sicherheit und ...auch image genannt, zu erstellen. für...
Post on 21-Mar-2020
1 Views
Preview:
TRANSCRIPT
Hochschule Wismar, Studiengang Master „IT-Sicherheit und Forensik“
Modul „Forensik in Betriebs- und Anwendungssystemen“
Praktikumsbericht „Kennenlernen von Standard Forensik Tools“
Gruppe: Hamburg 9 Name: Erik Lange
2
Inhalt
1. Vorbetrachtung ............................................................................................................... 3
1.1. Ziel der Arbeit .......................................................................................................... 3
1.2. Strategisches Vorgehen .......................................................................................... 3
1.3. Szenario .................................................................................................................. 3
1.4. Informationstechnische Umsetzung des Szenarios ................................................. 4
1.5. Auswahl der Software ............................................................................................. 5
2. Dokumentation der Erstellung der Images ...................................................................... 6
3. Analyse der Datenträgerabbildungen ............................................................................. 9
3.1. Konfiguration des Analyse-Tools ............................................................................. 9
3.2. Durchführung der Analyse ......................................................................................13
4. Detaillierte Auswertung des Raw – Images ...................................................................17
5. Fazit ..............................................................................................................................23
Literaturverzeichnis ..............................................................................................................24
Abbildungsverzeichnis ..........................................................................................................25
Tabellenverzeichnis ..............................................................................................................27
Anhang .................................................................................................................................28
A Screenshots – Erstellen der Images auf der virtuellen Maschine ...................................29
3
1. Vorbetrachtung
1.1. Ziel der Arbeit
Das Ziel dieser Arbeit ist das Kennenlernen von verschiedenen Standard Forensik Werkzeu-
gen zur Auswertung von IT-forensischen Vorfällen. Die Hochschule stellt dafür die Analyse-
werkzeuge Axiom, Nuix und XWays zur Verfügung. Diese sind u.a. über virtuelle Maschinen
nutzbar. Um diese Analyse durchführen zu können, ist es notwendig ein Datenträgerabbild,
auch Image genannt, zu erstellen. Für die Erstellung des Images soll das Werkzeug FTK
Imager genutzt werden. Die so durchgeführte Analyse wird auch als Post-mortem-Analyse
oder Offline-Forensik bezeichnet (vgl. BSI 2011, S. 13).
Da in dieser Arbeit der Umgang mit den jeweiligen Werkzeugen im Vordergrund steht, wird auf
das Anlegen einer lückenlosen Beweiskette mit dem notwendigen Nachweis verzichtet.
1.2. Strategisches Vorgehen
Für die Bearbeitung der Aufgabenstellung ist es zunächst notwendig, die entsprechenden Vor-
bereitungen für die Durchführung zu schaffen. Dazu müssen die folgenden Fragen beantwortet
werden:
1. Wie könnte ein Szenario aussehen, welches forensisch untersucht werden
muss?
2. Wie kann dieses Szenario IT-technisch umgesetzt werden?
3. Welche Software soll für die Imageerstellung und Analyse genutzt werden?
1.3. Szenario
Das hier beschriebene Szenario stellt einen Ausschnitt aus einem größer angelegten Rahmen
dar. Den Rahmen bildet eine Beziehungstat, bei der die 23-jährige Franziska Speicher1 ihren
langjährigen Freund und sich selbst am Dienstag, 2. Juli 2019, erschossen hat. Sie hat dafür
eine halbautomatische Waffe verwendet, die sie im Dark Web erworben haben soll. Die bis-
herigen polizeilichen Untersuchungen haben vor allem ihr privates Umfeld beleuchtet. Dabei
wurde bei der Durchsuchung ihres Elternhauses ihr Notebook sichergestellt, welches nun fo-
rensisch untersucht werden soll. Die Untersuchung soll versuchen aufzuklären, warum sie die
Tat durchgeführt hat und woher sie die Waffe bezogen hat. Grundlage für weitere Untersu-
chungen könnten Browser- und Chatverläufe sein.
1 Namen und Orte sind frei erfunden
4
1.4. Informationstechnische Umsetzung des Szenarios
Für die Umsetzung der IT-Komponenten des Szenarios ist es zunächst notwendig, eine virtu-
elle Maschine mit Virtual Box zu erstellen. Als Betriebssystem wird Windows 10 eingesetzt.
Nach der Erstellung werden verschiedene Applikationen installiert.
Abbildung 1 Erstellen der virtuellen Windows 10 Maschine
Dazu gehören z.B. Webbrowser wie Mozilla Firefox und für Nachforschungen im Dark Web
der TOR Browser. Außerdem muss die digitale Identität für Franziska Speicher angelegt wer-
den. Zu dieser Identität gehören u.a wie in Abbildung 2 dargestellt unterschiedliche Profile in
sozialen Netzwerken wie Facebook sowie ein Account bei Google für Gmail und die weiteren
Dienste.
Abbildung 2 verwendete Dienste
5
Nachdem diese Voraussetzungen geschaffen wurden, müssen die erforderlichen Browserver-
läufe, Chat- und E-Mailnachrichten erstellt und versendet werden. Diese Ereignisse sollten
über einen längeren Zeitraum stattfinden.
1.5. Auswahl der Software
Über die Hochschule werden für die Bearbeitung verschiedene Tools über virtuelle Maschinen
zur Verfügung gestellt. Dazu gehören Nuix, XWays und Axiom. Nach auftretenden Problemen
mit den virtuellen Maschinen wurde außerdem ein Link zu einer Testversion sowie der nötige
Trial Key für das Forensik-Tool Axiom zur Verfügung gestellt, welches einfach installiert wer-
den konnte. Für das Erstellen des Datenträgerabbildes wurde der FTK Imager empfohlen. Der
FTK Imager bietet dem Anwender die Möglichkeit, Images in unterschiedlichen Formaten zu
erstellen. Zu diesen Formaten gehören u.a. .E01- und .raw-Images. Neben dem FTK Imager
erstellt auch die verwendete Virtualisierungssoftware (Oracle VM VirtualBox Manager) VDI-
Images der verwendeten virtuellen Maschine. Dieses muss nicht extra erstellt werden und
spart somit Zeit. Aufgrund der vorhandenen Möglichkeiten des FTK Images sollen in dieser
Arbeit auch eventuelle Unterschiede der Images und die darauf basierenden Ergebnisse be-
trachtet werden.
6
2. Dokumentation der Erstellung der Images
Für die Erstellung der Datenträgerabbilder wurde die Software FTK Imager verwendet. Sie
wird über die Firma AccessData derzeit in der Version 4.2.0 angeboten und ist als Freeware
erhältlich.2 Das Programm wurde auf der virtuellen Maschine installiert. Hierbei muss erwähnt
werden, dass durch die vorgenommene Installation eine Veränderung am System vorgenom-
men wurde.
Um ein Image zu erstellen, ist es zunächst notwendig, dem Programm eine Quelle wie in Ab-
bildung 3 anzugeben.
Abbildung 3 Auswahl der Beweisquelle
Der FTK Imager stellt dem Benutzer daraufhin den geladenen Inhalt wie in Abbildung 4 dar-
gestellt als Baumstruktur zur Verfügung. Der Benutzer erhält so die Möglichkeit, sich be-
stimmte Bereiche anzusehen und den Umfang der Beweissicherung eventuell einzuschrän-
ken.
Abbildung 4 Darstellung der geladenen Beweisquelle
2 https://accessdata.com/product-download/ftk-imager-version-4.2.0
7
Das hier vorliegende System wurde mit einer Größe von 53 GB angelegt. Der virtuellen Ma-
schine wurde jedoch beim Erstellen die Eigenschaft zugewiesen, dass der Speicher dyna-
misch alloziert wird. Das bedeutet, dass die Belegung des Speichers während der Nutzung
der Maschine den jeweiligen Erfordernissen angepasst wird (vgl. Enzyklo.de 2019). Durch die
Installation des Betriebssystems und verschiedener bereits genannter Applikationen wurden
23 GB belegt.
Wie bereits erwähnt, bietet der FTK Imager die Möglichkeit, verschiedene Imagetypen zu er-
stellen. Die Auswahl ist Abbildung 5 dargestellt. Für die hier vorliegende Arbeit wurden die
Imagetypen Raw (dd) und E01 ausgewählt. Auf die Eigenschaften dieser Imagetypen wird im
Folgenden kurz eingegangen.
Abbildung 5 Auswahl der Imagetypen
Raw Image
Diese Form wird auch als Rohdaten-Image bezeichnet. Die Bezeichnung ist darauf zurückzu-
führen, dass bei einem Raw-Image eine Bit-zu-Bit Kopie des Originals angelegt wird. Es wird
auf eine Komprimierung oder eine Reduzierung auf den belegten Speicherplatz verzichtet (vgl.
Simson L. Garfinkel 2012). Das Anlegen des Images erfolgt in 1500 MB große Stücke. Dies
wirkt sich somit auf den benötigten Speicherplatz und die Anzahl der Dateien für das erstellte
Image aus, wie an den Eigenschaften in Abbildung 6 zu erkennen ist. Als ein Nachteil dieses
Imagetypes ist das Nichtkopieren von Metadaten zu betrachten (vgl. Akbal und Dogan 2018,
S. 3).
E01 Image
Das E01-Image-Format wurde speziell für die Analysesoftware EnCase geschaffen. Es ist
aber auch für andere Tools auswertbar. Ähnlich wie bei dem Raw-Image werden die Informa-
tionen in Segmente geteilt, für die jeweils ein Kontrollwert erstellt und den Daten hinzugefügt
wird. In Abbildung 6 ist zu erkennen, dass nicht belegte Speicherbereiche der virtuellen Ma-
schine nicht durch das E01-Image erfasst wurden. Ob und wie sich dieser Aspekt auf die fo-
rensische Untersuchung auswirkt, wird im Verlauf dieser Arbeit weiter betrachtet.
8
Abbildung 6 Eigenschaften des Raw-Images (links) und des E01-Images (rechts)
Nach dem Erstellen der jeweiligen Images erstellt das Programm FTK Imager zusätzlich zu
dem Image eine Text-Datei mit den Informationen über die Beweisquelle, die erstellten Image-
Dateien sowie die Verifikation. In Abbildung 7 sind die Informationen als kurzer Auszug darge-
stellt. Die Screenshots zum Erstellen der Images und Text-Dateien befinden sich in Anhang A
Screenshots – Erstellen der Images auf der virtuellen Maschine
Abbildung 7 E01-Image - Verifikationsinformationen
Neben den mit dem FTK Imager erstellten Images wird im folgenden Kapitel auch das VDI-
Image der virtuellen Maschine analysiert, um eventuelle Unterschiede zu den anderen Images
aufzuzeigen.
9
3. Analyse der Datenträgerabbildungen
3.1. Konfiguration des Analyse-Tools
Für die Auswertung der drei vorhandenen Images wird das Forensik-Tool Axiom der Firma
Magnet Forensics® Inc. eingesetzt. Dies wurde als Testversion für die Installation zur Verfü-
gung gestellt, so dass eine von der IT-Infrastruktur der Hochschule unabhängige Arbeit mög-
lich ist. Das Tool ist in zwei Teile aufgeteilt, Process und Examine. Process dient der Eingabe
der Informationen und der Analyse. Im Bereich Examine werden die Ergebnisse angezeigt,
dem Nutzer steht eine große Auswahl an Möglichkeiten zur Verfügung, auf die im Verlauf der
Arbeit näher eingegangen wird.
Die Anlage der Fallinformationen sowie die eingegebenen Suchparameter waren für alle drei
durchgeführten Untersuchungen gleich. Im Folgenden wird das Vorgehen anhand des E01-
Images veranschaulicht.
Gem. Abbildung 8 ist zunächst die Eingabe der Rahmendaten notwendig, es muss außerdem
ein Speicherort für die zu erstellenden Informationen angegeben werden.
Abbildung 8 Falldetails E01-Image
10
Im nächsten Schritt muss die Beweisquelle gewählt werden. Axiom bietet dafür ein einfaches
System an, durch das sich der Anwender klicken muss. Der Vorgang ist in den folgenden
Abbildungen dargestellt. Die getroffene Auswahl ist durch ein rotes Viereck und der Fortschritt
durch die Pfeile gekennzeichnet.
Abbildung 9 Vorgehensweise zur Auswahl des Images
Nach der Auswahl des jeweiligen
Images wird es von Axiom geladen. Im
Auswahlfenster werden nur die beiden
Dateien angezeigt. Axiom erkennt au-
tomatisch die restlichen Dateien des
Images und weist den Benutzer darauf
hin, dass wie in Abbildung 10 insge-
samt neun Dateien zu dem Image ge-
hören und geladen werden.
Abbildung 10 Laden der Beweisquelle
11
Im nächsten Schritt wird die Suchart ausgewählt. Wie in Abbildung 11 ersichtlich, wurde für
die Untersuchung eine vollständige Suche gewählt. Der Benutzer hat jedoch auch die Mög-
lichkeit, zwischen Vollständig, Schnell, Sektorebene und Benutzerdefiniert zu wählen.
Abbildung 11 Wahl der Suchart
Im folgenden Abschnitt hat der Benutzer die Gelegenheit, verschiedene Verarbeitungsoptio-
nen, die in der anschließenden Aufzählung aufgelistet werden, festzulegen.
Verarbeitungsoptionen:
- Keywords zur Suche hinzufügen
- Geschachtelte Container durchsuchen
- Hash-Werte berechnen
- Chats kategorisieren
- Bilder und Videos kategorisieren
- weitere Artefakte finden
Für das vorliegende Szenario des Amoklaufs wurde das wie in Abbildung 12 ersichtliche
Keyword „Waffen“ hinzugefügt. Des Weiteren wurde die Magnet-AI zum Kategorisieren von
Bildern aktiviert. Die AI erkennt in Dokumente eingebette Bilder. Auch hier wurde die Kategorie
„Waffen“ gewählt. Die hier gewählten Parameter dienen im Anschluss auch der Beurteilung
der Analyse der unterschiedlichen Images.
12
Abbildung 12 Konfigurieren der Verarbeitungsoptionen
13
Nachdem alle Verarbeitungsoptionen bearbeitet wurden, beginnt die Analyse des Images.
Dieses kann mehrere Stunden in Anspruch nehmen.
3.2. Durchführung der Analyse
In Abbildung 13 ist die Ansicht während der Analyse dargestellt. Im oberen Bereich ist der
Fortschritt der Analyse zu sehe, weiter unten der gerade bearbeitete Abschnitt
Abbildung 13 Ansicht der Beweisanalyse
Die folgende Tabelle zeigt die jeweilige Dauer der durchgeführten Analyse.
Tabelle 1 Analysedauer der Images
Analysiertes Image Dauer
Raw Image 2h 54 Min 58 Sek
E01-Image 4h 12 Min 27 Sek
VDI-Image 3h 12 Min 50 Sek
Neben den unterschiedlichen Bearbeitungsdauern zeigen die folgenden Abbildungen, dass
auch die Ergebnisse unterschiedlich ausfallen. Die Analyse des E01 Images hat die wenigsten
Artefakten geliefert. Die meisten Artefakte wurden im VDI-Image gefunden, dazwischen liegt
dementsprechend das Raw-Image. Die Aufteilung der Artefakte in die Kategorien zeigt, dass
beim VDI-Image vor allem deutlich mehr (ca. 3000) Betriebssystem-Artefakte gefunden wur-
den. Im Gegensatz dazu hat das VDI-Image bei der Anzahl der webbezogenen Artefakte am
14
schlechtesten abgeschnitten. Die beiden anderen Images unterscheiden sich lediglich um 5
Artefakte.
Abbildung 14 Artefaktkategorien Raw Image
Abbildung 15 Artefaktkategorien E01 Image
Abbildung 16 Artefaktkategorien VDI Image
15
Nach der Gesamtauswertung werden im nächsten Abschnitt die konfigurierten Verarbei-
tungsoptionen und die darauf abgeleiteten Ergebnisse beurteilt.
Abbildung 17 Auswertung Verarbeitungsoptionen Raw-Image
Abbildung 18 Auswertung Verarbeitungsoptionen E01-Image
Abbildung 19 Auswertung Verarbeitungsoptionen VDI-Image
16
Die hier präsentierten Ergebnisse der jeweiligen Analyse weichen teilweise erheblich von ei-
nander ab. Um dies zu verdeutlichen, sind diese in der folgenden Tabelle 2 noch einmal zu-
sammengefasst.
Tabelle 2 Zusammengefasste Analyseergebnisse der Verarbeitungsoptionen
Image Keyword-Übereinstimmung Magnet AI Kategorisierung
Raw-Image 185 5
E01-Image 185 0
VDI-Image 163 164
In dieser Tabelle werden die zum Teil großen Unterschiede deutlich, vor allem beim Einsatz
der Magnet Artificial Intelligence (AI). Hier wurden auf dem VDI-Image 164 Artefakte identifi-
ziert, auf dem Raw-Image immerhin noch fünf. Auf dem E01 Image wurden dagegen keine
Spuren gefunden. Davon abweichend wurden auf dem VDI-Image 22 Keyword-Übereinstim-
mungen weniger gefunden.
Die beiden bereits angesprochenen Teile des Forensik-Tools Axiom, Process und Examine,
lassen sich unabhängig voneinander starten. Durch einen Neustart von Examine ist folgender
Zustand eingetreten:
Abbildung 20 Zustand VDI-Image nach Neustart von Examine
Die Ergebnisse der Magnet AI Kategorisierung von Bildern wird nicht mehr angezeigt. Eine
Veränderung des VDI Images fand nicht statt. Die anderen beiden Images wurden nach dem
Neustart mit den gleichen Ergebnissen angezeigt. Wegen der hier genannten Umstände wird
für die genauere Betrachtung und zur Erstellung einer Timeline das Raw-Image ausgewählt,
da die Ergebnisse konstant angezeigt werden und im Vergleich zum E01-Image die AI-Kate-
gorisierung Ergebnisse ergeben hat.
17
4. Detaillierte Auswertung des Raw – Images
Die Auswertung des Raw-Images hat insgesamt 134.430 Artefakte als Ergebnis ergeben.
Diese Menge an Artefakten teilt sich verschiedene Kategorien auf. Die Kategorien und die
dazugehörige Anzahl an Artefakten sind in Tabelle 3 ausgeführt.
Tabelle 3 Übersicht Artefaktkategorien und gefundene Artefakte
Artefaktkategorie Gefundene Artefakte
Gesamt 134.340
Betriebssystem 71.067
Webbezogen 28.249
Medien 26.785
Dokumente 7.230
Refined Results 799
Benutzerdefiniert 268
Verschlüsselung 24
Chat 5
E-Mail 3
Von den 134.430 Artefakten hat Magnet AI 5 Artefakte als Bild einer Waffe kategorisiert. Axiom
bietet hier die Möglichkeit über die in der Ansicht befindlichen Artefakte einen Bericht zu er-
stellen, dargestellt in Abbildung 21. Als Exportformat steht u.a. Excel, CSV, PDF und weitere
zur Verfügung.
Abbildung 21 Berichterstellung in Axiom
In der in diesem Fall exportierten Excel-Datei finden sich alle ermittelten Informationen bzgl.
der gefundenen Bilder, wie z.B. Zeit der Erstellung, der letzte Zugriff, die Hash-Werte und
wenn vorhanden, Geoinformationen. In Abbildung 22 ist die Excel-Datei ausschnittsweise
18
abgebildet. Außerdem sind die Artefakte mit einem Tag markiert, so dass sie in der Zeitachse
einfach zu finden sind.
Abbildung 22 Ausschnitt eines erstellten Excel-Berichts
Aus dem beschriebenen Szenario ist bekannt, dass die Tat am 02. Juli 2019 stattfand. Es ist
zunächst davon auszugehen, dass die Tatverdächtige die Vorbereitungen kurz vor der Tat
abgeschlossen hat. Zu dem Datum der Tat passen die Datuminformationen des letzten Zu-
griffs, 01. Juli 2019, sowie das Erstellen der Dateien am 27. Juni 2019.
Die genannten Daten schränken den Zeitraum der Untersuchung deutlich ein. In der folgenden
Abbildung 23 ist die von Axiom erzeugte Gesamtzeitachse für das untersuchte Image. Die
Achse beginnt vor ca. 20 Jahren und endet in ca. zehn Jahren.
Abbildung 23 Zeitachse des gesamten Images
Die Zeitlinie wird nun auf das Datum der Tat sowie die zwei Wochen davor eingegrenzt, 18.Juni
– 02.Juli 2019. Das Ergebnis ist in Abbildung 24 dargestellt.
19
Abbildung 24 Zeitachse 18.06. - 02.07.2019
In dieser Darstellung sind durch die eingetragenen Spitzen des Diagramms Aktivitäten am
Computer deutlich zu erkennen, allerdings werden alle gefundenen Artefakte angezeigt. Für
den 27. Juni, 17 Uhr sind das insgesamt 39248 Treffer wie in Abbildung 25 ersichtlich wird.
Abbildung 25 gefundene Artefakte 27. Juni 2019
Für die weitere Einschränkungen stellt Axiom Examine umfangreiche Filtermöglichkeiten zur
Verfügung. Neben dem Zeitraum lassen sich die Artefaktkategorien, die Dateitypen, Datums-
und Zeitattribute und die Zeitleistenkategorien filtern.
Tabelle 4 Filtermöglichkeiten der Zeitachse in Axiom Examine
Filtermöglichkeit Beispiel
Artefaktkategorie Betriebssystem, Webbezogen, E-Mail, Dokumente
Dateitypen Artefakte, Dateien und Ordner
Datum- und Zeitattribute Datei erstellt, letzte Aktualisierung, letzter Zugriff
Zeitleistenkategorie Browsernutzung, gelöschte Datei, Geräteinteraktion
Tags und Kommentare Lesezeichen, Kommentare, mögliche Waffen
In Abbildung 26 wurde nur der Filter „mögliche Waffen“ gesetzt. Es werden sowohl die fünf
Bilder angezeigt, die bereits über die Excel-Datei exportiert wurden als auch die Veränderun-
gen und Zugriffe auf die Dateien verzeichnet.
20
Abbildung 26 Zeitachse der als "mögliche Waffe" getaggten Artefakte
Als weitere Verarbeitungsoption wurde die Suche nach Keywords konfiguriert. Hier sollte
Axiom nach dem Wort „Waffe“ suchen. Es wurden 185 Übereinstimmungen gefunden, die An-
sicht der Ergebnisse ist in Abbildung 27 dargestellt.
Abbildung 27 Keyword-Treffer "Waffen"
Aus Abbildung 27 wird deutlich, dass sich die Tatverdächtige bereits seit dem 19. Juni 2019
mit dem Thema befasst hat, wo und wie sie eine Waffe erwerben kann. Sie hat sich u.a. da-
nach erkundigt, welche Voraussetzungen Waffenbesitzer erfüllen müssen. Die folgende
21
Abbildung zeigt die klassifizierten URLs (links) mit den Ergebnissen. Parallel zu der Informa-
tionsbeschaffung über das Waffenrecht befasste sich die Tatverdächtige hier vermutlich be-
reits mit dem Waffentransport zum späteren Tatort.
Abbildung 28 Ansicht der klassifizierten URLs
Während der Ergebnisanalyse ist deutlich geworden, dass der Standardbrowser Mozilla Fire-
fox zu sein scheint. Die Analyse der Artefaktkategorie „Firefox Websuche“, welche 220 Arte-
fakte entfällt, zeigt, dass Franziska Speicher sich am 31. Mai 2019 verschiedene Profile bei
sozialen Netzwerken zugelegt hat. Zu den Netzwerken gehören u.a. Facebook, Instagram
und Xing. In Abbildung 29 werden diese Ergebnisse mit den verschiedenen Links angezeigt.
Abbildung 29 Ausschnitt Artefaktkategorie "Firefox Websuche"
Um aus den als interessant eingestuften Artefakten eine Zeitleiste zu erstellen, bietet Axiom Examine die Mög-lichkeit, diese Artefakte mit einem Lesezeichen zu markieren. Die markierten Artefakte sind in
Abbildung 30 links dargestellt. Der rechte Teil der Abbildung zeigt das Auswahlmenü für das
Anlegen einer Zeitleiste, welche auf dem Tag „Lesezeichen“ basiert. Abbildung 31 zeigt die
auf der Auswahl des Benutzers erstellte Zeitachse.
22
Abbildung 30 als Lesezeichen getaggte Artefakte (links), Auswahl für Zeitleiste (rechts)
Abbildung 31 aus den Lesezeichen erstellte Zeitachse
Insgesamt betrachtet hat die Analyse ergeben, dass die digitale Persönlichkeit von Franziska
Speicher erst am 31. Mai 2019 erstellt wurde. Inwiefern die Tatverdächtige wirklich diese Per-
son ist, ließ sich mit der Untersuchung nicht ermitteln. Die Analyse der Webaktivitäten hat
gezeigt, dass sich die Person vor allem ab dem 18. Juni aktiv über Waffen, die notwendigen
Berechtigungen für den Besitz von Waffen sowie deren Transport informiert hat. Foren- und
Chataktivität konnte über diesen beschlagnahmten Computer nicht aufgeklärt oder nachge-
wiesen werden. Es ist davon auszugehen, dass für die Kommunikation vor allem das Smart-
phone eingesetzt wurde.
23
5. Fazit
Die umfangreiche Auseinandersetzung mit dem Thema der IT-Forensik in Betriebssystemen
und Anwendungen hat Erkenntnisse zu Tage gebracht, die für unterschiedliche Adressaten
interessant sind. Zum einen ist der persönliche Aspekt betroffen. Der Umgang mit dem Fo-
rensik-Tool Axiom hat gezeigt, wie detailliert und ausführlich das Nutzungsverhalten eines PC-
Bedieners nachvollziehbar ist, unabhängig davon ob es sich um Google Suchanfragen, her-
untergeladene oder gelöschte Bilder oder besuchte Instagram-Seiten handelt. Mit Hilfe der
Software lässt sich sehr leicht ein Profil über das Surfverhalten und persönliche Vorlieben und
Interessen des Betroffenen erstellen. Durch dieses Bewusstsein rückt das Thema Datenschutz
und der eigene Umgang mit personenbezogenen Daten noch stärker in den Fokus, als es
ohnehin schon der Fall ist.
Auf der anderen Seite bietet dieses mächtige Tool den Ermittlungsbehörden hervorragende
Möglichkeiten zur Aufklärung von Straftaten. Es ist allerdings davon auszugehen, dass sich
zumindest die intelligenten Straftäter dieser Möglichkeiten bewusst sind. Dazu bestehen auch
in der digitalen Welt Möglichkeiten, Spuren zu vernichten.
Das Praktikum hat außerdem ein Bewusstsein dafür geschaffen, wieviel Zeit benötigt wird, um
große Mengen Daten zu analysieren. Des Weiteren sollte der Forensiker vorher wissen, wo-
nach er bestimmte Daten durchsuchen möchte, um die entsprechenden Verarbeitungsoptio-
nen vorher zu konfigurieren. Die dadurch gesetzten Tags geben einen ersten Anhaltspunkt,
um von da aus tiefer in den Fall einzusteigen.
24
Literaturverzeichnis
Akbal, Erhan; Dogan, Sengul (2018): Forensics Image Acquisition Process of Digital Evidence. In:
IJCNIS 10 (5), S. 1–8. DOI: 10.5815/ijcnis.2018.05.01.
BSI (2011): Leitfaden IT-Forensik. Hg. v. Bundesamt für Sicherheit in der Informationstechnik. Bonn.
Enzyklo.de (2019): dynamische Allozierung. Online verfügbar unter https://www.enzyklo.de/Begriff/dy-
namische Allozierung, zuletzt geprüft am 09.07.2019.
Simson L. Garfinkel (2012): Category:Forensics File Formats. Hg. v. ForensicsWiki. Online verfügbar
unter https://www.forensicswiki.org/wiki/Category:Forensics_File_Formats, zuletzt geprüft am
09.07.2019.
25
Abbildungsverzeichnis
Abbildung 1 Erstellen der virtuellen Windows 10 Maschine ................................................................................... 4
Abbildung 2 verwendete Dienste ............................................................................................................................ 4
Abbildung 3 Auswahl der Beweisquelle................................................................................................................... 6
Abbildung 4 Darstellung der geladenen Beweisquelle ............................................................................................ 6
Abbildung 5 Auswahl der Imagetypen .................................................................................................................... 7
Abbildung 6 Eigenschaften des Raw-Images (links) und des E01-Images (rechts) .................................................. 8
Abbildung 7 E01-Image - Verifikationsinformationen ............................................................................................. 8
Abbildung 8 Falldetails E01-Image .......................................................................................................................... 9
Abbildung 9 Vorgehensweise zur Auswahl des Images ......................................................................................... 10
Abbildung 10 Laden der Beweisquelle................................................................................................................... 10
Abbildung 11 Wahl der Suchart ............................................................................................................................ 11
Abbildung 12 Konfigurieren der Verarbeitungsoptionen ...................................................................................... 12
Abbildung 13 Ansicht der Beweisanalyse .............................................................................................................. 13
Abbildung 14 Artefaktkategorien Raw Image ....................................................................................................... 14
Abbildung 15 Artefaktkategorien E01 Image ....................................................................................................... 14
Abbildung 16 Artefaktkategorien VDI Image ........................................................................................................ 14
Abbildung 17 Auswertung Verarbeitungsoptionen Raw-Image ............................................................................ 15
Abbildung 18 Auswertung Verarbeitungsoptionen E01-Image ............................................................................. 15
Abbildung 19 Auswertung Verarbeitungsoptionen VDI-Image ............................................................................. 15
Abbildung 20 Zustand VDI-Image nach Neustart von Examine ............................................................................ 16
Abbildung 21 Berichterstellung in Axiom .............................................................................................................. 17
Abbildung 22 Ausschnitt eines erstellten Excel-Berichts ....................................................................................... 18
Abbildung 23 Zeitachse des gesamten Images ..................................................................................................... 18
Abbildung 24 Zeitachse 18.06. - 02.07.2019 ......................................................................................................... 19
Abbildung 25 gefundene Artefakte 27. Juni 2019 ................................................................................................. 19
Abbildung 26 Zeitachse der als "mögliche Waffe" getaggten Artefakte .............................................................. 20
Abbildung 27 Keyword-Treffer "Waffen" .............................................................................................................. 20
Abbildung 28 Ansicht der klassifizierten URLs ....................................................................................................... 21
Abbildung 29 Ausschnitt Artefaktkategorie "Firefox Websuche" ......................................................................... 21
Abbildung 30 als Lesezeichen getaggte Artefakte (links), Auswahl für Zeitleiste (rechts) .................................... 22
Abbildung 31 aus den Lesezeichen erstellte Zeitachse .......................................................................................... 22
Abbildung 32 Ausgangspunkt der Image-Erstellung ............................................................................................. 29
Abbildung 33 Starten des FTK-Imager ................................................................................................................... 29
Abbildung 34 Ansicht des gestarteten FTK Imager ............................................................................................... 30
Abbildung 35 Wahl der Beweisquelle .................................................................................................................... 30
Abbildung 36 Selektion des Laufwerks .................................................................................................................. 31
Abbildung 37 Laden des Explorers in die Baumstruktur ........................................................................................ 31
26
Abbildung 38 geladene Baumstruktur des Dateisystems ...................................................................................... 32
Abbildung 39 Wahl der Beweisquelle für die Imageerstellung ............................................................................. 32
Abbildung 40 Wahl des Speicherortes des Images sowie der Verifikation ............................................................ 33
Abbildung 41Auswahl des Image-Typen ............................................................................................................... 33
Abbildung 42 Eingabe der Beweismittelinformationen ........................................................................................ 34
Abbildung 43 Angabe Fragmentgröße und Start des Imagings ............................................................................ 34
Abbildung 44 Prozess der Imageerstellung ........................................................................................................... 35
Abbildung 45 Abschluss der Imageerstellung ....................................................................................................... 35
Abbildung 46 Verifikation des Images ................................................................................................................... 36
Abbildung 47 Ergebnis der Verifikation ................................................................................................................. 36
Abbildung 48 Abschlussbericht E01-Image ........................................................................................................... 37
Abbildung 49 Abschlussbericht Raw-Image .......................................................................................................... 38
Abbildung 50 Vorgehensweise bei einer forensischen Untersuchung (BSI 2011, S. 86) ..... Fehler! Textmarke nicht
definiert.
Abbildung 51 Vorgehensweise bei einer forensischen Untersuchung (BSI 2011, S. 86) ..... Fehler! Textmarke nicht
definiert.
Abbildung 52 Vorgehensweise bei einer forensischen Untersuchung (BSI 2011, S. 86) ..... Fehler! Textmarke nicht
definiert.
27
Tabellenverzeichnis
Tabelle 1 Analysedauer der Images ...................................................................................................................... 13
Tabelle 2 Zusammengefasste Analyseergebnisse der Verarbeitungsoptionen ..................................................... 16
Tabelle 3 Übersicht Artefaktkategorien und gefundene Artefakte ....................................................................... 17
Tabelle 4 Filtermöglichkeiten der Zeitachse in Axiom Examine ............................................................................ 19
28
Anhang
29
A Screenshots – Erstellen der Images auf der virtuellen Maschine
Abbildung 32 Ausgangspunkt der Image-Erstellung
Abbildung 33 Starten des FTK-Imager
30
Abbildung 34 Ansicht des gestarteten FTK Imager
Abbildung 35 Wahl der Beweisquelle
31
Abbildung 36 Selektion des Laufwerks
Abbildung 37 Laden des Explorers in die Baumstruktur
32
Abbildung 38 geladene Baumstruktur des Dateisystems
Abbildung 39 Wahl der Beweisquelle für die Imageerstellung
33
Abbildung 40 Wahl des Speicherortes des Images sowie der Verifikation
Abbildung 41Auswahl des Image-Typen
34
Abbildung 42 Eingabe der Beweismittelinformationen
Abbildung 43 Angabe Fragmentgröße und Start des Imagings
35
Abbildung 44 Prozess der Imageerstellung
Abbildung 45 Abschluss der Imageerstellung
36
Abbildung 46 Verifikation des Images
Abbildung 47 Ergebnis der Verifikation
37
Abbildung 48 Abschlussbericht E01-Image
38
Abbildung 49 Abschlussbericht Raw-Image
top related