O'Reilly logo

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Computer-Forensik Hacks

Book Description

Computer-Forensik Hacks – 100 Forensik-Hacks ist eine Sammlung von 100 thematisch sortierten Tricks und Tools, die dabei helfen, herausfordernde Probleme der Computer-Forensik zu lösen.

Die im Buch vorgestellten Werkzeuge sind durchgängig Open-Source-Tools. Die detailliert beschriebenen Hacks zeigen die State-of-the-Art-Ansätze der modernen Computerforsensik.

Die Hacks zeigen, wie Daten juristisch korrekt gesichert, wie gelöschte Daten und Verzeichnisse wieder hergestellt und wie digitale Spuren gesichert werden.

Welche Spuren in Browsern hinterlassen werden und wie sie aufgefunden werden können, wird in weiteren Hacks dargestellt, ebenso wie Erläuterung von üblichen Angriffstechniken.

Die Autoren Lorenz Kuhlee und Victor Völzow sind bei der hessischen Polizei für die Aus- und Fortbildung von Computer-Forensikern zuständig.

Table of Contents

  1. Vorwort und Danksagungen
    1. Lorenz Kuhlee
    2. Victor Völzow
    3. Grußwort von Prof. Dr. Felix Freiling
  2. Einleitung
    1. Wie dieses Buch verwendet werden soll
    2. Wie dieses Buch aufgebaut ist
    3. Besuchen Sie uns auf der Webseite zum Buch
    4. Typografische Konventionen
    5. Verwendung von Code-Beispielen
  3. 1. Datensicherung: Hacks #1-14
    1. Vorbereitung
    2. Live-Sicherung flüchtiger Daten
    3. Sicherung von Speichermedien
    4. Tipps und Tricks zur Datensicherung
    5. Hack #1: Woran Sie denken sollten
      1. Folgende Utensilien schlagen wir Ihnen vor
    6. Hack #2: So säubern Sie Ihre Backup-Datenträger
    7. Hack #3: Bevor es zu spät ist – RAM sichern
    8. Hack #4: RAM sichern trotz Passwortsicherung
      1. Voraussetzungen
      2. An die Arbeit
    9. Hack #5: Wenn nichts mehr hilft: Cold Boot
      1. Cold Boot für den Alltag
      2. Cold Boot even colder
    10. Hack #6: Weitere flüchtige Daten richtig sichern
    11. Hack #7: Automatisieren Sie Live-Sicherungen mit Skripten
    12. Hack #8: So sichern Sie Daten auf der Kommandozeile
    13. Hack #9: Wenn Sie doch eine GUI bevorzugen
      1. Datensicherung unter Windows
      2. Datensicherung unter Linux
    14. Hack #10: Vertrauen ist gut, Kontrolle ist besser
    15. Hack #11: Boot DVDs für die Datensicherung
      1. Caine Live-CD
      2. DEFT Live-CD
      3. Raptor Live-CD
      4. Helix Live-CD
    16. Hack #12: Aus der Ferne sichern
      1. Installation
      2. Anwendungsbeispiel 1 – Inhalt einer Webseite anzeigen
      3. Anwendungsbeispiel 2 – Aufbau einer Remote Shell
      4. Anwendungsbeispiel 3 – Kopieren von Dateien
      5. Anwendungsbeispiel 4 – Klonen von Festplatten und Partitionen
      6. Anwendungsbeispiel 5 – Scannen von Ports
      7. Anwendungsbeispiel 6 – Der einfache Chat
      8. Anwendungsbeispiel 7 – nc als (Pseudo-)»Webserver«
    17. Hack #13: Aus der Ferne sicher sichern
      1. Vorbereitung – Für die praktische Umsetzung dieses Hacks
      2. Sicheres Kopieren durch einen ssh-Tunnel
      3. Sicheres Kopieren mithilfe von sshfs
    18. Hack #14: Wenn Ihnen das Format nicht passt
      1. Von DD nach E01 und zurück
      2. Von vmdk nach E01 und zurück
      3. Von DD nach VHD
  4. 2. Dateisysteme: Hacks #15-25
    1. Hack #15: Analysieren Sie den Master Boot Record
      1. Struktur des MBR
      2. Schematischer Ablauf des Bootprozesses
      3. Warum auch Sektor 1 für Sie wichtig sein sollte
    2. Hack #16: Identifizieren Sie verschiedene FAT-Dateisysteme
      1. Informationen aus dem Master Boot Record (MBR)
      2. Informationen aus dem Volume Boot Record (VBR)
    3. Hack #17: Das Prinzip gelöschter Dateien unter NTFS
      1. Was passiert beim Löschen einer Datei?
    4. Hack #18: Wie Sie Zeitstempel einer Datei validieren
      1. Wo, was, wie?
      2. Wie Zeitstempel zur Beschleunigung des Betriebssystems beitragen können
      3. Hinweis auf manipulierte Zeitstempel
    5. Hack #19: So identifizieren Sie unter NTFS die Eigenschaften einer gelöschten Datei
    6. Hack #20: Wie ein Puzzle: Setzen Sie trotz Fragmentierung gelöschte Dateien wieder zusammen
      1. Wie sind Data Run Lists aufgebaut?
      2. Stellen Sie fragmentierte Dateien anhand ihrer Data Run wieder her
      3. Zu guter Letzt: Negative Sprünge
    7. Hack #21: Wenn Dateien keine Dateien sind
      1. Wie werden Daten abgelegt?
    8. Hack #22: Der Slack-Bereich
      1. Sektoren und Cluster
      2. Datei-Slack
      3. Drive-Slack (Cluster-Slack)
      4. Slacker
      5. Weitere Arten von Slack
    9. Hack #23: Welche Daten Sie sonst noch in der MFT finden können
    10. Hack #24: Schreiben Sie Ihren eigenen MFT-Eintragsparser
      1. $MFT
      2. Resident vs. Non-Resident
      3. Attribute
      4. Little-Endian vs. Big-Endian
      5. Der Aufbau eines Attributs und seine Länge
      6. Hexadezimalwerte in Dezimalwerte wandeln
      7. Aufbau und Umsetzung des MFT-Eintragsparsers
      8. Anwendung des MFT-Eintragsparsers
      9. Das Projekt »analyzeMFT«
    11. Hack #25: Der Unterschied zwischen Hard- und Soft-Link
      1. Hard-Link
      2. Soft-Link
  5. 3. Analyse und Wiederherstellung von Daten: Hacks #26-45
    1. Hack #26: Zugriff auf Images mit grafischen Helfern
      1. Zugriff auf Ihre Imagedateien unter Windows
      2. Zugriff auf Ihre Imagedateien unter Linux
    2. Hack #27: Binden Sie Images in Ihr System ein
      1. Mounten unter Windows
      2. Mounten unter Linux
    3. Hack #28: Finden Sie alte Bekannte
      1. Erfassen Sie Ihre Bekannten
      2. Bilden Sie Vergleichslisten
      3. Datenabgleich
      4. Mehrere Dateien gleichzeitig abgleichen
    4. Hack #29: Retten Sie in wenigen Minuten Dateien mit Freeware unter Windows
      1. Recuva
      2. PC Inspektor File Recovery
      3. Testdisk und Photorec
      4. Diskdigger
      5. Glary Undelete
    5. Hack #30: Ausflug in die Welt der Zahlen
      1. Binärsystem
      2. Hexadezimalsystem
      3. Oktalsystem
      4. Binär in hexadezimal umwandeln
      5. Binär in oktal umwandeln
      6. Erkennen Sie negative hexadezimale Zahlen auf einen Blick
    6. Hack #31: Decodieren Sie Rot13 und Base64
      1. Rot13
      2. Base64
      3. Notepad++
    7. Hack #32: Entdecken Sie das wahre Gesicht einer Datei
      1. Die Signaturanalyse
      2. file-Befehl
      3. Nautilus–Skript unter Gnome
      4. gthumb
    8. Hack #33: Erst auspacken, dann suchen
      1. Fallabhängiges Vorgehen
      2. Entpacken unter Windows
      3. Entpacken unter Linux
    9. Hack #34: Wenn Sie doch einmal manuell Carven müssen
      1. JPG Record (Header und Footer)
      2. Vorgehen
      3. Schritt 1: Suche nach dem JPG-Header (FFD8)
      4. Schritt 2: Berechnung des Start-Offsets in dezimal
      5. Schritt 3: Suche nach dem JPG-Footer (FFD9)
      6. Schritt 4: Berechnung des End-Offsets in dezimaler Darstellung
      7. Schritt 5: Berechnung der Größe
      8. Schritt 6: Carving
      9. Nachüberlegung
    10. Hack #35: Wenn nichts mehr hilft: Block Hashing
    11. Hack #36: Keywordsuche mit regulären Ausdrücken
      1. Reguläre Ausdrücke
      2. Suche nach Domainnamen
      3. Suche nach IP-Adresse
      4. Suche nach E-Mail-Adresse
      5. Suche nach Kreditkartennummern
    12. Hack #37: Volltreffer
      1. Partitionsüberblick
      2. Schlüsselwörter
      3. Die Suche
      4. Ergebnisauswertung
      5. Vom Byte-Offset zum Sektor
      6. Vom Sektor zum Cluster
      7. Vom Cluster zur I-Node (MFT-Eintrag)
      8. Inhalt der Datei
      9. Slack
    13. Hack #38: Listen für Forensiklaien generieren
      1. Erstellen Sie eine Datenbank mit tsk_loaddb
      2. Generieren Sie einfache Listen mit dem find-Befehl
    14. Hack #39: Kopieren nach Dateinamenerweiterung
    15. Hack #40: Jede Platte hat ihre Geschichte
      1. Die Wunderwaffe log2timeline
      2. Die Installation von log2timeline
      3. Was log2timeline kann
      4. So erstellen Sie Ihren Zeitstrahl mit log2timeline
    16. Hack #41: Visualisieren Sie Ihre Zeitleiste
      1. Sie haben einen Mac?
      2. Visualisieren mit GnuPlot
      3. Noch mehr Visualisierung mit GnuPlot
    17. Hack #42: Logfile-Auswertung, Teil 1
      1. Finden Sie Windows-Ereignisprotokolle
      2. Finden Sie Linux-Logdateien
      3. Generelles Vorgehen
      4. Finden Sie die Logfiles eines Apache-Webservers
      5. Finden Sie die Logfiles eines MySQL-Servers
      6. Finden Sie die Logfiles für Loginversuche
    18. Hack #43: Logfile-Auswertung, Teil 2
      1. Logrotate
      2. Ihre Herausforderung
      3. Eine Lösung: Der Befehl tac
      4. Der Trick über die Zeit
    19. Hack #44: Automatisierte Auswertung von Logfiles
      1. Das Format der Netflow-Datei
      2. Extrahieren Sie die für Sie wichtigen Daten
    20. Hack #45: Analyse der gesicherten RAM-Dumps
      1. Auswertung mit Volatility
      2. Carven mit Photorec
  6. 4. Digitale Spuren in Windows: Hacks #46-55
    1. Hack #46: Wichtige Verzeichnisse in Windows XP / Vista / 7
      1. Windows XP
      2. Windows Vista und Windows 7
    2. Hack #47: Die Registry-Top-10
    3. Hack #48: Ihre Goldgrube – MRU-Listen für alle Zwecke
    4. Hack #49: Welche Programme wurden gestartet?
    5. Hack #50: So werten Sie Ereignisprotokolle aus
      1. Quo vadis, Ereignisprotokoll?
      2. Auf zur Auswertung
    6. Hack #51: Reisen Sie in die Vergangenheit
      1. Systemwiederherstellungspunkte unter Windows XP
      2. Systemwiederherstellungspunkte unter Vista / 7
    7. Hack #52: Finden Sie Spuren in Vorschaudatenbanken
      1. Vorschaubilder in Windows XP
      2. Vorschaubilder in Windows Vista / 7
    8. Hack #53: Sehen Sie, was gedruckt wurde
    9. Hack #54: Stöbern Sie im Müll
      1. Der Recycler von Windows XP
      2. Der $Recycle.Bin unter Windows Vista / 7
    10. Hack #55: Passwort vergessen? Kein Problem!
  7. 5. Digitale Spuren in Linux: Hacks #56-66
    1. Hack #56: Finden Sie heraus, welches Linux-Derivat vorliegt
    2. Hack #57: Verschaffen Sie sich einen Partitionsüberblick (Sys V)
      1. Der Klassiker fdisk
      2. Der Befehl mmls aus dem Digitalforensiktool TSK
      3. Der Linux Befehl file
      4. Der native Weg mit dem Befehl dd
    3. Hack #58: Verschaffen Sie sich einen Partitionsüberblick (BSD)
    4. Hack #59: Ermitteln Sie installierte Software
      1. Laufendes System
      2. Totes System
    5. Hack #60: Finden Sie Hinweise auf gelaufene Netzwerkdienste
      1. Netzwerkdienste
      2. Standalone
      3. Superdaemon – inetd bzw. xinetd
      4. Portmapper
    6. Hack #61: Stellen Sie die Netzwerkkonfiguration fest
      1. IP-Adresskonfiguration
      2. IP-Adresse eines Live-Systems
    7. Hack #62: Spüren Sie Anomalien bei den Usern auf
      1. User-ID 0 (Null)
      2. Benutzerstatus
      3. Rechte
    8. Hack #63: Auf den Spuren des Users
    9. Hack #64: Stellen Sie Beziehungen grafisch dar
      1. Daten für Graphviz aufbereiten
      2. Grafische Darstellung Ihrer bereinigten Daten
      3. Das Ergebnis
    10. Hack #65: Analysieren eines LAMP(P)-Servers
      1. Wo sollen wir starten?
    11. Hack #66: So rekonstruieren Sie eine dynamische Webseite
      1. Bauen Sie sich doch einfach Ihren eigenen Webserver
      2. Fehlen nur noch die übrigen Dienste
      3. Backups
  8. 6. Internetartefakte: Hacks #67-81
    1. Browser-Auswertung
    2. Messenger-Auswertung
    3. E-Mail-Auswertung
    4. Sonstige Internetspuren
    5. Hack #67: So untersuchen Sie SQLite Datenbanken
      1. Vorbereitende Schritte
      2. Analyse der Daten durch den SQLite Manager
    6. Hack #68: Analysieren der Firefox-History
      1. Der Weg zu den abgespeicherten Daten
      2. Untersuchung der Datenbanken
      3. Automatisierte Auswertung der History duch Tools von Drittanbietern
    7. Hack #69: Sonstige Spuren des Browsers Firefox
      1. Installierte Add-ons
      2. Kekse, mjamm, mjamm!
      3. Zeig’ mir, was Du lädst, und ich zeig’ Dir, wer Du bist.
      4. Eingegebene Formulardaten
      5. Temporäre Internetdateien von Firefox
      6. Wann wurde Firefox installiert
      7. Startseite, Proxies, Privatsphäre und andere Einstellungen
      8. Automatisierte Tools
    8. Hack #70: Analysieren der Internet-Explorer-History
      1. Automatisierte Auswertung der History mit Tools von Drittanbietern
    9. Hack #71: Sonstige Spuren des Browsers Internet Explorer
      1. Cookies
      2. Lokaler Zwischenspeicher (temporäre Internetdateien)
      3. Manuell eingegebene URLs
      4. Formulareingaben und Passwörter
      5. Favoriten
      6. Automatische Tools
    10. Hack #72: Analysieren der Chrome-History
      1. Automatisierte Auswertung der History mit Tools von Drittanbietern
    11. Hack #73: Sonstige Spuren des Browsers Chrome
      1. Cookies
      2. Was wurde heruntergeladen?
      3. Wonach wurde gesucht?
      4. Favoriten
      5. Den lokalen Zwischenspeicher untersuchen
      6. Zuletzt geöffnete Sessions und Tabs
      7. Installierte Plugins und Einstellungen
      8. Automatisierte Tools
    12. Hack #74: So werten Sie den ICQ-Messenger aus
      1. Allgemeine Einstellungen
      2. Kontakte
      3. Chatprotokolle
      4. Ausgetauschte Dateien
      5. Automatisierte Tools
    13. Hack #75: Untersuchen Sie den Windows Live Messenger
      1. Allgemeine Einstellungen
      2. Kontakte
      3. Chatprotokolle
      4. Gelöschte Nachrichtenverläufe finden
      5. Ausgetauschte Dateien
      6. Automatisierte Tools
    14. Hack #76: Finden Sie Spuren des Skype Messenger
      1. Allgemeine Einstellungen
      2. Kontakte
      3. Nachrichtenverläufe und Anruflisten
      4. Ausgetauschte Dateien
      5. Automatisierte Tools
    15. Hack #77: Analysieren Sie E-Mails von Microsoft Outlook
      1. Speicherpfade
      2. So werten Sie PST-Dateien aus
      3. Zwischenspeicher für E-Mail Anhänge
      4. Kommerzielle Lösungen
    16. Hack #78: Bereiten Sie E-Mails von Windows Live Mail auf
      1. Speicherpfade
    17. Hack #79: Analysieren Sie E-Mails im Format mbox
    18. Hack #80: Der E-Mail auf der Spur
      1. Ohne Header geht es nicht
      2. Header gefunden, was nun?
    19. Hack #81: Finden Sie Spuren im HTML-Quelltext
  9. 7. Hacking & Co.: Hacks #82-90
    1. Hack #82: Top-10-Hinweise auf einen Angriff
    2. Hack #83: So funktioniert WLAN-Hacking
      1. WLAN »sniffen« und anmelden
      2. Verschlüsselung auf Protokollebene
      3. Verschlüsselung auf Anwendungsebene
      4. Wer darf sich am WLAN Access Point (WAP) anmelden?
      5. Authentifizierung über RADIUS
      6. Suchen und Finden von WLANs – der Mythos der SSIDs
      7. Checkliste: Sicheres WLAN
    3. Hack #84: Typische Suchmuster für Angriffe auf Datenbanken
      1. Typische Angriffe
      2. SQL Injection-Suchmuster für gezielte Logfile-Analyse
      3. Umgehen eines Web-Logins
      4. PhpMyAdmin
    4. Hack #85: Lassen Sie sich Netzwerkverbindungen anzeigen
      1. TCPView
    5. Hack #86: Stellen Sie fest, ob ein Webserver leicht angreifbar war
      1. Hacker-Methodologie
      2. Gegenmaßnahmen und Hinweise auf einen Einbruch
    6. Hack #87: Der Kammerjäger: Stellen Sie fest, ob sich Malware eingenistet hat
      1. Verdächtige Prozesse
      2. Autoruns und Process Explorer
      3. Procmon
      4. Last, but not least
    7. Hack #88: Überprüfen Sie Ihren Netzwerkverkehr
      1. Installation von Wireshark
      2. Wireshark starten
      3. Wireshark in Betrieb
      4. Dokumentation
    8. Hack #89: PDF Malware-Analyse
      1. Kurzgefasst: Adobe PDF-Objekte
      2. PDF-Analyse-Tools
      3. pdfid.py
    9. Hack #90: Machen Sie sich die Erfahrung der Profis zunutze
      1. Virus Total
      2. Anubis
      3. CWSandbox :: Behavior-based Malware Analysis
  10. 8. Virtualisierung: Hacks #91-100
    1. Hack #91: Nutzen Sie QEMU für die Virtualisierung
      1. Installation
      2. Virtuelles Festplattenimage erzeugen
      3. So booten Sie eine beliebige Live-DVD
      4. So installieren Sie ein Betriebssystem auf Ihre virtuelle Festplatte
      5. Ohne Netzwerk
      6. Dokumentation durch Bildschirmfotos (Screenshots)
      7. Schreibzugriffe abfangen
    2. Hack #92: So virtualisieren Sie Ihr forensisches Image
      1. So konvertieren Sie EWF in RAW
      2. xmount mit Overlay (Cache-File)
      3. Download und Installation
    3. Hack #93: Richten Sie ein virtuelles Netzwerk ein
      1. NAT-Netzwerk
      2. Bridged-Netzwerk
      3. Guest-only-Netzwerk
      4. Host-only-Netzwerk
      5. Wahl der Waffe
    4. Hack #94: Konvertieren zwischen virtuellen Festplatten
      1. e01 zu dd (Raw)
      2. xmount
      3. dd (Raw) zu qcow2
      4. qcow2 zu dd (Raw)
      5. vmdk zu dd (Raw)
      6. dd (Raw) zu vmdk
      7. vdi zu dd (Raw)
      8. vhd zu dd (Raw)
      9. Zugriff auf das Neugewonnene
    5. Hack #95: Blue Screen ade mit OpenGates
      1. OpenGates
    6. Hack #96: Penetrationstest für Passwörter eines (virtualisierten) Windows-Betriebssystems
      1. Aushebeln des Passworts für die Virtualisierung
      2. Passwörter knacken mit Ophcrack
    7. Hack #97: Penetrationstest für Passwörter eines (virtualisierten) Linux-Betriebssystems
      1. Modifikation durch Salz
      2. Weitere Erweiterungen – der heutige Standard
      3. Passwort aushebeln
    8. Hack #98: Passwortpenetration mit John the Ripper
      1. Ein eigener Passwortgenerator
    9. Hack #99: Booten eines Mac OS X-Image
      1. Schritt für Schritt
    10. Hack #100: Eine VM, viele Gesichter
      1. Erstellen einer QEMU-Festplatte, diesmal im .qed-Format
      2. Erstellen einer Overlay-Datei
      3. Vereinigen Sie das Ursprungsabbild mit der Overlay-Datei
      4. Booten mehrere Abbilder einschließlich Overlay-Datei
  11. A. Über die Autoren
  12. Stichwortverzeichnis
  13. Kolophon
  14. Copyright