Beruflich Dokumente
Kultur Dokumente
Projektarbeit
Inhaltsverzeichnis
1 Vorüberlegungen 4
1.1 Motivation und Zielstellung . . . . . . . . . . . . . . . . . . . . . . . 4
1.2 Anforderung an den Ermittlungsprozess . . . . . . . . . . . . . . . . . 4
1.3 Einordnung in Ermittlungsprozess . . . . . . . . . . . . . . . . . . . . 6
1.4 Write-Blocker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.5 Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
1.5.1 Rohdatenformat (RAW) . . . . . . . . . . . . . . . . . . . . . 7
1.5.2 Expert Witness Format (EWF) . . . . . . . . . . . . . . . . . 8
1.5.3 Advanced Forensic Format (AFF) . . . . . . . . . . . . . . . . 8
1.5.4 Xmount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2 Rechtliche Betrachtung 9
2.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.2 Private Ermittlungen . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.3 Behördliche Ermittlungen . . . . . . . . . . . . . . . . . . . . . . . . 11
2.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3 Speichermedien 13
3.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.2 Magnetspeicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.2.1 Speicherung auf einer HDD . . . . . . . . . . . . . . . . . . . 14
3.2.2 Löschen von Daten auf einer HDD . . . . . . . . . . . . . . . 15
3.2.3 Forensische Relevanz . . . . . . . . . . . . . . . . . . . . . . . 15
3.3 Flash-Speicher . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.3.1 Speicherung auf einer Solid-State-Drive (SSD) . . . . . . . . . 16
3.3.2 Löschen von Daten auf einer SSD . . . . . . . . . . . . . . . . 16
3.3.3 Forensische Relevanz . . . . . . . . . . . . . . . . . . . . . . . 17
3.4 Hybride . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
3.5 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2
Inhaltsverzeichnis
5 Verschlüsselte Datenträger 46
5.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5.2 Festplattenverschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . 46
5.3 Verschlüsselungstools . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
5.3.1 Microsoft BitLocker . . . . . . . . . . . . . . . . . . . . . . . . 47
5.3.2 FileVault 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.3.3 Linux Unified Key Setup (LUKS)/ dm-crypt . . . . . . . . . . 54
5.3.4 VeraCrypt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
5.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
6 Fazit 63
Literaturverzeichnis 65
Abbildungsverzeichnis 69
Abkürzungsverzeichnis 71
Selbstständigkeitserklärung 73
3
Kapitel 1. Vorüberlegungen
1 Vorüberlegungen
Nach Geschonneck, Computer Forensik [1, S. 66–67] gibt es sechs Grundsätze, die bei
einer Datenerhebung und Auswertung permanent berücksichtigt werden sollten
Akzeptanz
Damit die Skepsis gegenüber der gewonnenen Erkenntnisse minimiert wird, soll-
ten Methoden, Dateiformate und Softwarelösungen verwendet werden, die in der
Fachwelt als sicheres forensisches Verfahren anerkannt sind. Erkenntnisse die mit
Hilfe neuer unkonventioneller Hilfsmittel erlangt wurden, können einfacher in Fra-
ge gestellt werden, als Welche die durch anerkannten Methoden herausgearbeitet
wurden.
4
Kapitel 1. Vorüberlegungen
Glaubwürdigkeit
Die angewendeten Methoden müssen für Dritte nachvollziehbar sein. Der Ermittler
sollte, die Verarbeitungsschritte von Beginn bis zum Abschluss verstehen und erör-
tern können. Je komplexer die Werkzeuge werden, desto wichtiger ist das Verständnis
der Funktionalität.
Wiederholbarkeit
Integrität
Es ist sicherzustellen, dass die gesammelten Spuren unverändert sind und bleiben.
Ist eine Veränderung einer Arbeitskopie notwendig, muss dies begründet und doku-
mentiert werden. Das Original darf nicht verändert werden. Dies ist im gesamten
Ermittlungsprozess zu gewährleisten.
Kausalität
Dokumentation
5
Kapitel 1. Vorüberlegungen
Die Ausprägung und Form der einzelnen Phasen ist je nach individuellem Fall un-
terschiedlich. Ist eine Live-Analyse vorgesehen verschwimmen die Grenzen zwischen
Secure- und Analyse-Phase. Hier werden Spuren gesichert, die sogleich ausgewer-
tet und interpretiert werden, da sie entweder selbst flüchtig sind oder auf weitere
flüchtige Daten verweisen. Sollte eine Straftat nach § 303a Strafgesetzbuch (StGB)
- Datenveränderung oder § 303b StGB - Computersabotage gerade geschehen oder
ist sie vor kurzer Zeit geschehen, ist die Sicherung von flüchtigen Daten ein funda-
mentaler Ermittlungsschritt.
Auf die Life-Analyse soll hier nicht weiter eingegangen werden. Diese Arbeit kon-
zentriert sich auf die Datenerhebung der Secure-Phase für eine Offline-Analyse.
1.4 Write-Blocker
6
Kapitel 1. Vorüberlegungen
1.5 Software
RAW ist das älteste forensische Dateiformat um gesamte Datenträger in ihrer ganz-
heit zu speichern. Es unterstützt keine Komprimierung. Zur Auswertung muss es
immer entpackt sein. Metadaten zugehörig zum Datenträger wie zum Beispiel Has-
hwerte müssen in einer weiteren Datei gespeichert werden. Großer Vorteil dieses
Dateiformats ist, dass es von nahezu jedem forensischen System verarbeitet werden
kann. Die gängigen Dateiendungen sind unter anderem *.raw, *.dd, *.img.
7
Kapitel 1. Vorüberlegungen
EWF ist ein proporitäres Dateiformat von der Firma EnCase. Es besitzt effektive
Komprimierungsalgorithmen beim erstellten der Abbilder und beinhaltet, neben den
eigentlichen Daten, viele Metainformationen über den Sicherungsprozess. EWF ist
offengelegt, sodass Drittanbieter es nutzen können. Aktuell ist die Dateiformatver-
sion EnCase6.
AFF ist ein Open Source Standart, welcher die gleichen Funktionen wie EFW bie-
tet. Die mitgelieferten Bibliotheken von AFF besitzen die Funktion, das Duplikat
zur laufzeit als RAW-Abbild einzubinden, dadurch wird die kompatibilität erhöht.
Darüber hinaus hat es eine bessere Komprimierung [2].
1.5.4 Xmount
Xmount ist ein Programm für Linux, dass es dem Anwender ermöglicht, die oben ge-
nannten Dateiformate in weitere Dateien zu mounten. So kann ein EWF-Abbild als
Rohdatenformat bereitgestellt werden, wodurch sich die Kompatibilität erhöht. Es
ermöglicht das Erstellen eines Schreibcaches, sodass mit der Kopie gearbeitet werden
kann ohne das Original zu verändern. Beispielsweise wird ein EWF-Bootimage als
vmdk-Datei mit Chache bereitgestellt und im Anschluss mit VMWare genutzt.
8
Kapitel 2. Rechtliche Betrachtung
2 Rechtliche Betrachtung
2.1 Einleitung
Dieses Kapitel soll einen kleinen Überblick über die rechtlichen Normen in Bezug
auf Analyse von forensisch erhobenen Daten bzw. der Grundlage für die Erhebung
der Daten überhaupt und deren Verwendung bieten.
Es gibt grundlegende rechtliche Rahmenbedingungen die für eine forensische Ana-
lyse oder allgemein die Erhebung von Daten getroffen und durchgesetzt werden
müssen [3]:
• die Erhebung
• die Speicherung
• die Übermittlung
• die Kontrolle
9
Kapitel 2. Rechtliche Betrachtung
Für den Bereich der forensischen Analyse gibt es hauptsächlich zwei Gruppen, welche
Ermittlungen durchführen. Das sind zum einen IT-Forensiker, welche im privaten
Sektor Ermittlungen, als Dienstleistung, durchführen und die staatliche Behörden,
welche Ermittlungen aufgrund von Ermittlungsverfahren durchführen. Bei den Er-
mittlungen ist die staatliche Behörde an Verfahrensvorschriften, wie die Strafpro-
zessordnung (StPO), gebunden. Diese gelten so nicht für die privaten Ermittlungen,
dennoch sind ihre Ermittlungshandlungen geregelt. Die Rechtmäßigkeit der Ermitt-
lungen ergibt sich aus den allgemeinen Gesetzen [4].
Im Zuge von privaten Ermittlungen, aus welchen sich später auch staatliche Ermitt-
lung (z. B. nach einer Anzeige) ergeben können, müssen die entsprechenden Beweise
ebenfalls beweissicher erhoben werden.
Nach § 202a Abs. 1 StGB ist das Ausspähen von Daten strafbar. Hiernach darf der
IT-Forensiker ohne Erlaubnis des Verfügungsbefugten5 der Daten, diese nicht be-
gutachten.
Anhand der beauftragten forensischen Analyse durch einen Arbeitgeber, als Beispiel,
kann man sehr gut den schmalen Grad von erlaubten und unerlaubten Analysen
durch einen IT-Forensiker kenntlich machen.
Bei dienstlichen Daten erfolgt die Erstellung und Speicherung von Daten im Rah-
men des Dienstverhältnisses auf Weisung und Veranlassung des Arbeitgebers. Daher
ist hier auch der Arbeitgeber über die Daten verfügungsbefugt. Somit ist es mög-
lich, einen privaten IT-Forensiker mit der Analyse zu beauftragen, ohne dass dieser
sich nach § 202a Abs. 1 StGB strafbar macht. Es verhält sich etwas anders, wenn
private Daten von der Analyse betroffen sind. Private Daten sind Daten, welche
gegen Zugriff Unbefugter besonders gesichert sind. Der Verfügungsberechtigte, in
diesem Fall der Mitarbeiter, drückt mit diesen Schutzmaßnahmen aus, den Zugang
zu den Daten zu verhindern oder zu erschweren. Zu diesen Schutzmaßnahmen zählt
nicht das Kennwort zum Entsperren des Systems (z. B. Windows-Anmeldung). Die-
se User-Kennung dient der datenschutzrechtlichen Zugangskontrolle, im Rahmen
von Eingabekontrollen, der Zuordnung bestimmter Vorgänge zu einem Nutzer und
nicht zur Sicherung von Daten gegen den Zugriff des Arbeitgebers. Eine Analyse der
privater Daten darf nur mit Erlaubnis des Verfügungsberechtigten erfolgen [4].
5
Verfügungsberechtigt = Inhaber der Eigentumsrechte/Verfügungsrechte
10
Kapitel 2. Rechtliche Betrachtung
2.4 Zusammenfassung
Es müssen auch bei der forensischen Analyse von Daten die Grundrechte gewahrt
werden. Dieses wird durch vielerlei Gesetze und Verordnungen garantiert. Dadurch
ist es dem IT-Forensiker nur innerhalb bestimmter Rahmenbedingungen möglich
Analysen vorzunehmen. Grundsätzlich bedarf es der Zustimmung des Verfügungs-
berechtigten oder entsprechende richterliche oder staatsanwaltliche Anordnungen,
um eine Analyse von Datenträgern durchzuführen.
6
Landespolizeigesetze z. B. PolG NW, SOG M-V
11
Kapitel 2. Rechtliche Betrachtung
Daten müssen so sicher gespeichert werden, dass unbefugter Zugriff, aber auch ver-
sehentlicher Verlust nicht möglich ist - dies gilt auch bei der Übertragung, z. B. von
einer Behörde zur Nächsten.
Daten, die für den ursprünglichen Zweck der Speicherung nicht mehr benötigt wer-
den, müssen gelöscht werden.
12
Kapitel 3. Speichermedien
3 Speichermedien
3.1 Einleitung
3.2 Magnetspeicher
Zum einen gibt es Magnetspeicher, wozu auch die Hard Drive Disk (HDD), Dis-
ketten oder Magnetbänder gehören. Bei magnetischen Speichern werden Bits durch
magnetische Bereiche mit gegensätzlicher Polarität dargestellt. Sie bestehen aus be-
weglichen Teilen, weshalb sie grundsätzlich stoßanfällig sind, was sie für den Einsatz
in stationärer Hardware (z. B. RAID-System) prädestiniert. Da Disketten im Laufe
der Zeit von anderen Speichermedien, wie CDs oder DVDs und USB-Sticks verdrängt
wurden wird in dieser Arbeit nicht weiter auf diese eingegangen. Magnetbänder sind
13
Kapitel 3. Speichermedien
Das Speichern der Daten auf der Festplatte erfolgt durch die Magnetisierung kleins-
ter Eisenpartikel. Diese Eisenpartikel sind auf der Oberfläche der Magnetplatten
aufgetragen. Eine Festplatte muss, damit die Daten wiedergefunden werden kön-
nen, eingeteilt werden. So wird eine Unterteilung von außen nach innen in Spuren
vorgenommen, welche man sich als konzentrische Kreise vorstellen kann. Die Spuren-
dichte, der Abstand der Spuren, bestimmt die Speichermenge. Zwei untereinander
liegende Spuren heißen Zylinder und besitzen eine Zylinderadresse. Die Spuren wer-
den dann wiederum in noch kleinere Abschnitte unterteilt, welche sich Sektoren oder
Block nennen. Sie entsprechen einem Kreisausschnitt. Diese Blöcke sind die kleinste
Einheit einer Festplatte, welche verwendet werden können. Blöcke mit einer Größe
von 64 KByte sind keine Seltenheit. Mehrere Blöcke können zu einem Cluster zu-
sammengefasst werden (beinhaltet zwischen einem und 128 Sektoren), welches die
Speicherverwaltung großer Datenmengen erleichtert. Es ist nur möglich, dass Clus-
ter von dem Betriebssystem angesprochen werden, nicht jedoch einzelne Sektoren.
Wenn man eine Datei speichert, entspricht die Größe dieser Datei aber nicht zwangs-
läufig der Größe eines oder mehrerer Cluster. Wenn wir uns vorstellen, dass wir einen
Cluster aus acht Sektoren haben und die Datei 6,5 Sektoren beschreibt, so bezeich-
net man die unbeschriebenen 1,5 Sektoren als File-Slack. Diese File-Slacks spielen
für die forensische Analyse eine wichtige Rolle. Der File-Slack kann Informationen
über gelöschte Dateien, genutze Programme usw. enthalten.
14
Kapitel 3. Speichermedien
Hauptsächlich gibt es zwei Möglichkeiten wie Daten „gelöscht“ werden. Es ist mög-
lich, dass der Index-Eintrag einer Datei gelöscht wird - hier kann man sich ein In-
haltsverzeichnis in einem Buch vorstellen welches herausgerissen wird, was zur Folge
hat, dass die Daten selbst weiterhin, allerdings unreferenziert, auf der Festplatte zu
finden sind (unallocated area; nicht allokierter Bereich). Sie werden dem Anwen-
der nicht mehr im Datei-Explorer angezeigt, weshalb dieser von einer „Löschung“
ausgeht. Hier wird vom System ein Flag gesetzt, welches die Datei nur als gelöscht
kennzeichnet. Andererseits wird eine wirkliche Löschung der Daten nur durch das
Überschreiben der Datei ermöglicht, je häufiger dieses Überschreiben stattfindet je
sicherer ist die vollständige Löschung der Dateien.
Sofern die Sektoren nicht überschrieben wurden, besteht die Möglichkeit die Da-
ten, auch wenn diese nicht mehr referenziert sind, wiederherzustellen. Erst mit dem
Überschreiben der Sektoren, mit neuen Daten, gehen die Daten in diesen Sektoren
verloren.
3.3 Flash-Speicher
Ein weiteres Speichermedium ist der Flash-Speicher. Ein Flash-Speicher ist auf der
Basis der Electrically Earsable Programmable Read-Only Memory (EEPROM)-
Technologie entwickelt. Es handelt sich hierbei um eine elektrische Speichermethode,
welche nichtflüchtig ist, weshalb die Daten auch bei stromlosen Zustand weiter
bestehen bleiben. Das Speichern auf diese Weise hat einen schnellen Lese- und
Schreibzugriff zur Folge, weshalb ein Flash-Speicher schneller als ein magnetischer
Speicher ist, da hier keine zusätzlichen mechanischen Teile zum Lesen oder
Schreiben der Daten verwendet werden muss. Ein Nachteil der Flash-Speicher ist
hingegen die begrenzte Lebensdauer. Diese begrenzte Lebensdauer wird durch die
vorhandene Oxidationsschicht verursacht, welche zum dauerhaften Speichern der
Daten benötigt wird. Bei schreibendem Zugriff gelangen Elektroden durch diese
Oxidationsschicht, wobei diese jedes Mal etwas mehr beschädigt wird.
15
Kapitel 3. Speichermedien
Hierbei hilft der TRIM-Befehl, mit welchem das Betriebssystem dem Flash-
Controller mitteilt, welche Speicherbereiche nicht mehr gebraucht werden. Da Daten
grundsätzlich nicht endgültig gelöscht, sondern zum Löschen markiert werden, wird
eine zusätzliche Garbage-Collection benötigt. Der TRIM-Befehl ruft die Garbage-
Collection auf und entfernt die als gelöscht markierten Daten auch physikalisch.
Physikalisch heißt, die Zellen werden entladen und die Informationen endgültig ent-
fernt. Der TRIM-Befehl ist nicht Bestandteil des Betriebssystems.
16
Kapitel 3. Speichermedien
Bei einer SSD ist, sofern der TRIM-Befehl und die Garbage-Collection aktiviert
sind, eine Herstellung bzw. Auslesen von gelöschten Daten sehr schwierig. Als ge-
löscht markierte Daten und dessen Speicherzellen werden durch den TRIM-Befehl
(inklusive Garbage-Collection) nicht nur aus dem „Verzeichnis “ gelöscht und damit
die Referenz zu den Daten, sondern es werden die Speicherzellen entleert, wodurch
die Information permanent gelöscht wird. Es gibt aber auch die Möglichkeit den
TRIM-Befehl zu deaktivieren, das hat zur Folge, dass die Daten nur im „Verzeich-
nis“ gelöscht werden, also nur die Referenzen. Erst wenn die Zellen mit neuen Daten
beschrieben werden, werden diese vorher geleert und können erst in diesem geleerten
Zustand neu beschrieben werden. Also ist es erst ab diesem Zeitpunkt nicht mehr
möglich, die als gelöscht markierten Daten auszulesen.
3.4 Hybride
Ein weiterer Ansatz ist der Einsatz von sogenannten Solid State Hybrid Drive
(SSHD), also Hybridfestplatten, bei denen der Flash-Speicher nur als Schreibpuffer
zur Steigerung der Performance fungiert. Der Einsatz dieser Festplatten würde dem
Nutzer eine höhere Schreibgeschwindigkeit und einen geringeren Stromverbrauch
bringen und durch die Speicherung der Daten auf einem Magnetspeicher dennoch
die Vorteile einer HDD gepaart mit der Schnelligkeit einer SSD [6].
3.5 Zusammenfassung
Grundsätzlich ist es möglich von Festplatten die Daten, auch wenn diese vermeintlich
vom Anwender oder System gelöscht wurden, wiederherzustellen. Bei einer HDD ist
die Wiederherstellung möglich, bis die entsprechenden Blöcke überschrieben werden.
Hier gilt, je häufiger das Überschreiben stattgefunden hat, je wahrscheinlicher ist
die Vernichtung der Daten auf der Festplatte.
Bei der SSD gibt es zwei Möglichkeiten. Zum ist der TRIM-Befehl und die Garbage-
Collection aktiv und wird vom entsprechenden Betriebssystem angesprochen, dann
ist die Wahrscheinlichkeit, dass die Daten wiederhergestellt werden können sehr
gering, da hier die Speicherzellen auch physikalisch geleert werden. Wenn hingegen
der TRIM-Befehl nicht aktiv genutzt wird, so verhalten sich die Möglichkeiten der
17
Kapitel 3. Speichermedien
Wiederherstellung ähnlich die der HDD. Es ist hier ebenfalls möglich, die Daten
auch wenn vermeintlich vom Anwender gelöscht wiederherzustellen.
18
Kapitel 4. Analyse eines Datenträgerverbundes
4.1 Einleitung
Bild 4.1: Schematische Darstellung einer RAID-0 Konfiguration mit zwei Datenträgern,
Quelle: Wikipedia [7]
19
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.2: Schematische Darstellung einer RAID-1 und einer RAID-5 Konfiguration mit
zwei bzw. vier Datenträgern, Quelle: Wikipedia [7]
Bild 4.3: Schematische Darstellung einer RAID-10 Konfiguration mit vier Datenträgern,
Quelle: Wikipedia [7]
Bild 4.4: Schematische Darstellung einer RAID-51 Konfiguration mit sechs Datenträgern,
Quelle: Wikipedia [7]
20
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.5: Schematische Darstellung einer RAID-6 Konfiguration mit fünf Datenträgern,
Quelle: Wikipedia [7]
mindestens 50% der Kapazität der Festplatten zur Verfügung. RAID-Systeme lassen
sich hinsichtlich ihrer Implementierung im System unterscheiden.
Einerseits existieren Hardware-RAID Systeme. Bei derartigen Systemen kümmert
sich ein eigener Controller, dass die Daten im Sinne des RAID-Layouts korrekt auf
den physikalischen Festplatten verteilt werden. Gegenüber dem Computersystem
erscheinen die Vielzahl physikalischer Festplatten jedoch als eine einzige logische
Platte, die auch als solche dann vom Betriebssystem behandelt werden.
Neben dem Hardware-RAID System existieren auch Software-RAID Lösungen.
Diese werden also vom Betriebssystem bzw. von Diensten und Prozessen des
Computer-Systems verwaltet und letztlich ebenfalls als eine logische Platte bereit-
gestellt.
Eine Misch-Lösung beider Implementierungen stellen s. g. „Host-RAID“ Systeme
dar, die in der untersten Preisspanne kommerzieller Lösungen anzusiedeln sind. Sie
werden im Linux-Jargon oft als „Fake-RAIDs“ [8] bezeichnet, da sie letzten Endes,
wie beim Software-RAID, ebenfalls die Ressourcen des Computers beanspruchen.
Hierbei sind sie jedoch ebenfalls an den Controller der Hardware gebunden. Sie
kombinieren somit streng genommen die Nachteile beider o. g. Lösungen.
Sie finden sich heute auf diversen Mainboards vorinstalliert, so dass sie weiterhin eine
gewisse Relevanz haben, sich jedoch im Vorgehen nicht sonderlich von Hardware-
RAID Systemen unterscheiden.
In den beiden folgenden Kapiteln wird anhand eines konkreten Beispiels das Vorge-
hen bei der forensischen Analyse von Festplatten eines Software-RAID und bei der
Analyse eines Hardware-RAID Systems beschrieben.
4.2 Hardware-RAID
21
Kapitel 4. Analyse eines Datenträgerverbundes
22
Kapitel 4. Analyse eines Datenträgerverbundes
Zunächst werden die Abbilder unter Nutzung von xmount ausgelesen und dessen
Inhalt im Dateisystem des Forensikers gemountet.
1 > xmount -- in ewf hdd1 . E01 / mnt / disk1
2 > xmount -- in ewf hdd2 . E01 / mnt / disk2
3 > xmount -- in ewf hdd3 . E01 / mnt / disk3
4 > ls - rR / mnt / disk *
5 / mnt / disk3 :
6 hdd3 . info hdd3 . dd
7
8 / mnt / disk2 :
9 hdd2 . info hdd2 . dd
10
11 / mnt / disk1 :
12 hdd1 . info hdd1 . dd
Zunächst müssen die Abbilder in R-Studio über den Button „Image öffnen“ eingele-
sen werden (Siehe Bild 4.6). Der Dialog „Imagedatei öffnen“, der nun gestartet wird,
23
Kapitel 4. Analyse eines Datenträgerverbundes
erwartet zunächst Dateitypen, mit denen hier nicht gearbeitet wurde. R-Studio
erwartet hier allen voran, die eigenen proprietären Image-Dateitypen *.rdr (Siehe
Bild 4.7). Das stellt jedoch kein Problem dar, da alternativ auch die weitaus
verbreiterten DD-Dateien ausgewählt werden können, nachdem im Auswahlmenü
„Dateien des Typs“ die Suchmaske „Alle Dateien ( * )“ ausgewählt wurde (Siehe
Bild 4.8).
Nun kann R-Studio seine Stärke ausspielen, indem es den Anwender unterstützt,
das korrekte RAID-Layout zu ermitteln. Zunächst wählt der Anwender im Menü
„Virtuelles RAID erstellen“ den etwas unglücklich beschrifteten Untermenüpunkt
„Virtuellen Block erstellenRAID& Automatisch Erkennen“ (Siehe Bild 4.9).
In der Baum-Darstellung der „Geräte-Ansicht“ erscheint nun ein neuer Zweig „Virtu-
elle Volumesets und RAIDs“. Hier wählt der Anwender den ersten Unterknoten aus.
Bei der hier dynamisch vergebenen ebenfalls unglücklichen Beschriftung herrscht
Verwechslungsgefahr. An der Stelle, wo in der folgenden Abbildung „Virtual Block
RAID 1“ zu lesen ist, bildet die Ziffer eine Sequenz, die nichts mit dem RAID-Level
zu tun hat, das zu diesem Zeitpunkt noch ermittelt werden muss (Siehe Bild 4.10).
Auf der rechten Seite wird nun ein Bereich „Parent“ angeboten, über den nun die
Teile des RAID-Verbundes zusammengestellt und die Konfiguration bestimmt wer-
den kann (Siehe Bild 4.11). Hierzu wählt der Anwender den offensichtlichen Button
24
Kapitel 4. Analyse eines Datenträgerverbundes
25
Kapitel 4. Analyse eines Datenträgerverbundes
„Automatische Erkennung“ aus. Der folgende Dialog erscheint und bietet nach einer
gewissen Analyse-Zeit dem Anwender valide RAID-Layouts aus, die der Anwender
auswählen und mit dem Button „Anwenden“ bestätigen muss (Siehe Bild 4.12).
Hierbei kann es dazu kommen, dass mehrere mögliche Layouts kompatibel sind und
angewandt werden können. Letztlich obliegt es dann dem Anwender, das korrek-
te Layout zu wählen. Hierbei hilft es, dass R-Studio mit wenigen Klicks und ohne
spürbare zusätzliche Ladezeit das Layout wechseln kann, um Alternativen durchzu-
probieren.
Ferner unterstützen hierbei die Funktionen RAID-Konsistenz prüfen (Siehe Bild
4.13) oder der Menüpunkt Scannen (Siehe Bild 4.14).
Über die Funktion RAID-Konsistenz prüfen, wird ermittelt, ob die Blöcke konsis-
tent sind - also ob Spiegelungen tatsächlich identisch und ob Paritäten tatsächlich
korrekt errechnet werden.
26
Kapitel 4. Analyse eines Datenträgerverbundes
27
Kapitel 4. Analyse eines Datenträgerverbundes
Abbildung 4.15 stellt eine positiv verlaufende Konsistenz-Prüfung dar. Grüne Mar-
kierungen sind hierbei korrekt errechnete Blöcke und weiße Blöcke sind leer bzw.
mit Nullen belegt, so dass diese Bereiche weiß hinterlegt werden. Bei der Funktion
„Scannen“ ermittelt R-Studio valide Blöcke, die auf ein bestimmtes Dateisystem
oder einen bestimmten Dateitypen hinweisen. Dieser Prozess kann sehr zeitaufwän-
dig sein, daher lohnt es sich zu überlegen, ob Dateisysteme ausgeschlossen werden
können und ob man wirklich nach allen Dateitypen suchen möchte oder vielleicht
nur nach speziellen - z. B. Office Dokumenten oder Bildern.
In Abbildung 4.16 wurden Dateisysteme vorausgewählt, die bei einem Windows-PC
üblich wären. Über den Button „Bekannte Dateitypen“ lassen sich einzelne Dateity-
pen oder -Gruppen an- und abwählen (Siehe Bild 4.17). Da die Laufzeiten tatsächlich
28
Kapitel 4. Analyse eines Datenträgerverbundes
erheblich sein können, lohnt es sich - für die Identifikation des RAID Layouts - auch
den zu analysierenden Bereich einzuschränken und bei der Scanansicht „Einfach
(nur Scanfortschritt; schneller.)“ auszuwählen. (Siehe Bild 4.18) Nach einem solchen
Scan stehen dem Anwender bereits Möglichkeiten zur Verfügung durch die logische
Struktur des Dateisystems zu navigieren und Dateien jeweils wiederherzustellen bzw.
einzusehen.
Nachdem der Anwender jenes RAID-Layout ausgewählt hat, das ein konsistentes
RAID liefert, valide Dateisysteme erkennt und keine - oder möglichst wenige - kor-
rupte einzelnen Dateien ermittelt, wird der Anwender diesen Zustand exportieren
wollen. Dies ermöglicht ihm die physikalische Abstraktionsebene des RAID-Systems
zu entfernen und dessen logische Abbildung zu erzeugen (Siehe Bild 4.19). Hierzu
öffnet der Anwender das Menü zum Eintrag „Virtual Block RAID 1“ und wählt den
Menü-Eintrag „Image erstellen. . . “ aus.
Im folgenden Dialog bietet R-Studio erneut primär das eigene proprietäre Image-
Format an.
29
Kapitel 4. Analyse eines Datenträgerverbundes
Neben der Tatsache, dass dieses den Anwender an das R-Studio Produkt-Portfolio
bindet, erlaubt das Format im Vergleich zu EnCase6 ein nur schwaches Kompressi-
onsverhältnis. Es bietet auch ansonsten wenige Zusatzfeatures, die uns - die Autoren
- dazu verleiten würden, dieses Format dennoch zu empfehlen.
Für eine Aufbewahrung und/oder forensische Weiterverarbeitung empfehlen wir
daher viel mehr den Umweg über ein Byte-für-Byte-Image, dass im Anschluss
mit einem geeigneten Tool platzsparend komprimiert und weiterverarbeitet wer-
den kann (Siehe Bild 4.20). Womöglich hilfreich kann jedoch noch sein, die „Scan-
Informationen“ im entsprechenden Reiter zu speichern (Siehe Bild 4.21).
30
Kapitel 4. Analyse eines Datenträgerverbundes
4.3.1 Software-RAID
In diesem Kapitel geht es um eine Software RAID Konfiguration, bei der wir da-
von ausgehen, dass sie auf Basis des weit verbreiteten Multiple Disk (MD) vorliegt.
MDADM ist das entsprechende Administrationstool [11].
Die möglichen Konfigurationsmöglichkeiten können vielseitig sein, denn es ist mög-
lich mit MDADM verschiedenste RAID Layouts zu definieren und miteinander zu
verschachteln. Es können sowohl einzelne Dateien, ganze RAID-Verbunde, Partitio-
nen und auch ganze Festplatten mit einander verbunden werden.
Die beiden letztgenannten Optionen sind jedoch die häufigsten Anwendungsfälle
und daher bereits Grund genug, dass ein Forensiker zunächst ein Abbild sämtlicher
Platten erstellen sollte.
Im Folgenden wird davon ausgegangen, dass der Forensiker am betroffenen Compu-
ter fünf Festplatten vorfindet, zu denen er jeweils ein Image erstellen konnte, das
jeweils nun für die weitere Analyse genutzt werden kann.
Die Abbilder liegen im EnCase6 Format vor. Das gewählte Analyse-System verfügt
über die SleuthKit Software-Sammlung.
Zunächst werden die Abbilder unter Nutzung von xmount ausgelesen und dessen
Inhalt im Dateisystem des Forensikers gemountet.
Hierbei ist es wichtig, den Parameter --cache zu verwenden, um eine s. g. Over-
lay Datei anzulegen. Eine derartige Datei erlaubt es dem System bei der späteren
31
Kapitel 4. Analyse eines Datenträgerverbundes
Im Dateisystem finden sich nun RAW- bzw. DD-Files von den jeweiligen Platten,
die nun über losetup einem loopback Device zugeordnet werden. Die ursprünglichen
Datenträger stehen somit fortan als Blockdevice zur Verfügung.
1 > losetup / dev / loop1 / mnt / disk1 / hdd1 . dd
2 > losetup / dev / loop2 / mnt / disk2 / hdd2 . dd
3 > losetup / dev / loop3 / mnt / disk3 / hdd3 . dd
4 > losetup / dev / loop4 / mnt / disk4 / hdd4 . dd
5 > losetup / dev / loop5 / mnt / disk5 / hdd5 . dd
Durch Eingabe des folgenden Befehls, ermittelt MDADM das RAID-Layout des
jeweiligen Blockdevices.
1 > mdadm -- examine / dev / loop1
Die Ausgabe des Befehls lautet für die erste beliebige Platte
1 / dev / loop1 :
2 Magic : a92b4efc
3 Version : 1.2
4 Feature Map : 0 x0
5 Array UUID : 6041 aacf :9 d4400c5 :4 e5253d7 :1 b3e05d7
6 Name : suspect :0
7 Creation Time : Sat Apr 13 17:57:05 2019
8 Raid Level : raid6
9 Raid Devices : 5
10
11 Avail Dev Size : 16758784 (7.99 GiB 8.58 GB )
12 Array Size : 25138176 (23.97 GiB 25.74 GB )
13 Data Offset : 18432 sectors
14 Super Offset : 8 sectors
15 Unused Space : before =18352 sectors , after =0 sectors
16 State : clean
17 Device UUID : fd6ed775 : c28fb7a1 : f547b069 :848 f14be
18
19 Update Time : Sat Apr 13 18:05:41 2019
20 Bad Block Log : 512 entries available at offset 16 sectors
21 Checksum : 91 d8e17e - correct
32
Kapitel 4. Analyse eines Datenträgerverbundes
22 Events : 129
23
24 Layout : left - symmetric
25 Chunk Size : 512 K
26
27 Device Role : Active device 1
28 Array State : AAAAA ( ’A ’ == active , ’. ’ == missing , ’R ’ == replacing )
In der Ausgabe lässt sich feststellen, dass die vorliegende Platte hdd1.E01 Teil
eines RAID-6 Verbundes ist. Dieser Verbund besteht aus fünf einzelnen Platten
- wahrscheinlich die vier verbleibenden Asservate hdd2.E01 bis hdd5.E01. Letzte
Gewissheit erhält man, wenn man den gleichen Befehl mit den Blockdevices aller
Festplatten-Abbilder wiederholt.
In der Ausgabe erfährt der Forensiker außerdem, dass die Kapazität des logischen
Laufwerks rund 24 GiB umfasst, während die Größe der einzelnen physikalischen
Platten bei jeweils rund 8 GiB lagen.
Weitere 16 GB nutzt RAID-6 zur Abbildung von zwei Paritäten, die benötigt werden,
um eine doppelte Ausfallsicherheit zu implementieren. Da der Verbund konsistent
ist - davon zeugt die korrekt Prüfsumme und das Array State AAAAA - genügt
es, wenn der Forensiker fortan mit drei der fünf Platten arbeitet. Dieses Vorgehen
schont IO Bandbreiten, Speicherkapazitäten und damit letztlich in der folgenden
Bearbeitung auch Zeit.
Es steht dem Forensiker aber frei, alle fünf Abbilder zum RAID-6 zu verbinden.
In Schritt 2 wurde festgestellt, dass die fünf Plattenabbilder von einem logischen
RAID-6-Verbund stammen. Daher lassen diese sich ressourcensparend einbinden,
indem drei beliebige Platten des Verbundes gemountet werden.
1 > mdadm -- assemble -- r e a d o n l y -- run / dev / md0 / dev / loop1 / dev / loop2 / dev / loop3
2 mdadm : / dev / md0 has been started with 3 drives ( out of 5) .
Nun kann der Forensiker ermitteln, mit welchem Dateisystem er es zu tun hat. Auf
Basis dieser Erkenntnis, lässt sich das weitere Vorgehen bestimmen. Dazu lässt sich
z. B. der Befehl fsstat aus dem SleuthKit verwenden.
1 > fsstat -t / dev / md0
2 ext4
33
Kapitel 4. Analyse eines Datenträgerverbundes
Es wurde ermittelt, dass auf dem Software-RAID das Dateisystem „ext4“ eingesetzt
wurde.
Es lassen sich nun weitere Analysen des Volumens durchführen, ohne dass dieses
eingebunden werden muss. Beispielsweise lassen sich mit dem Carving-Tool foremost
Dateien eines gewissen Dateityps anhand der Header-Informationen ermitteln und
extrahieren. Da foremost nicht auf das Dateisystem schauen kann, entspricht die
Nummer im Dateinamen der extrahierten Dateien dem Anfangsblock der jeweiligen
Datei:
1 > foremost -T -t jpeg / dev / md0
2 Processing : / dev / md0
3 |**********************************************************************
4 ***********************************************************************
5 ****************|
6 > cd output / jpeg
7 > ls
8 00270576. jpg 00273955. jpg 17063504. jpg 25431160. jpg 25468552. jpg
9 00270692. jpg 00376832. jpg 17068664. jpg 25439144. jpg 25477184. jpg
10 00272024. jpg 17039368. jpg
34
Kapitel 4. Analyse eines Datenträgerverbundes
35
Kapitel 4. Analyse eines Datenträgerverbundes
Der Logical Volume Manager ist ein softwarebasierte Speicherlösung die in den Li-
nuxkernel integriert ist. Logical Volume Manager (LVM) stellt logische Volumen
bereit die von physischen Datenträgern abstrahiert und unabhängig sind. Es kann
als Ergänzung zu MD angesehen werden und besitzt eine flexible Architektur.
Funktionsweise
Die von LVM bereitgestellten Volumen sind flexibel und skalierbar. Sie können über
mehrere physische Datenträger verteilt und zur Laufzeit in ihrer Größe angepasst
werden. Häufig wird LVM zusammen mit MD verwendet, aber einige Anbieter inte-
grieren eigene RAID-Funktionalitäten. Diese sind in einigen Distributionen bereits
integriert oder können nachträglich installiert werden. Von logischen Volumen kön-
nen Snapshots angefertigt werden. In einem angelegten Snapshot werden alle Ände-
rungen blockweise in ein neues referenzierendes, logisches Volumen geschrieben.
Partitionen die in die LVM-Verwaltung integriert sind werden in der Master Boot
Record (MBR) Partitionstabelle mit dem Typ 0x8e gekennzeichnet. Die kleinste
Speichereinheit im LVM wird Physical Extent genannt. Sie ist auf den physischen
Datenträgern verteilt. Eine veränderbare Anzahl an Physical Extent bildet eine Vo-
lume Group. In dieser Gruppe können mehrere logische Volumes abgelegt und an-
schließend dem System zugeordnet werden. LVM hat keinen Einfluss auf dem dar-
über eingesetzten Dateisystem. Wird das Volume in seiner Größe angepasst muss
das Dateisystem dies unterstützen [12, S. 160–161].
Das Duplizieren der LVM-Volumen für die forensische Auswertung ist einfach. Die
Konfiguration ist unter /etc/lvm/ abgelegt. Hier finden sich auch Archive von alten
Konfigurationen. Bei aktivem System ist es möglich beispielweise mit dd, das Volume
zu kopieren. Die LVM-Partitionen sind unter /dev/VOLUMEGROUPNAME/VO-
LUME verfügbar. Dieses Vorgehen ist ineffizient, da Snapshots und Volumen in ihrer
gesamten Größe gespeichert werden. Zusätzlich gehen Metainformationen zur LVM-
Konfiguration verloren. Mit dem Befehl vgimportclone wird eine neu benannte Kopie
der originalen Volume Group angelegt. Somit kann das Original kopiert werden.
Auf diese Methode kann im Normalfall verzichtet werden. Sämtliche Informationen
über alle Datenträger, Volume Groups und Volumes liegen zusätzlich am Anfang
36
Kapitel 4. Analyse eines Datenträgerverbundes
37
Kapitel 4. Analyse eines Datenträgerverbundes
jeder der oben genannten LVM-Partitionen (0x8e). Es empfiehlt sich alle physi-
schen Datenträger zu duplizieren. Im Anschluss werden die Duplikate im System
des Forensikers mittels folgender Befehle eingebunden. Zu beachten ist das mögliche
MD-RAID Aktionen vorher ausgeführt werden müssen.
1 > vgscan # Sucht nach Volume Groups
2 > vgdisplay # Listet die Volume Groups auf
3 > lvs # Liefert M e t h a d a t e n zu den Volume Groups
4 > ll / dev / VOLUMENGROUP / # Zeigt alle v e r f u e g b a r e n Volumen an
Auf Bild 4.24 sind die bereitgestellten Partitionen zu sehen. Da LVM keine Par-
titionstabellen anlegt ist es möglich, mit fsstat in die Struktur des Dateisystems
einzusehen.
Eine Analyse des Snapshots in Bild 4.25 zeigt auf, dass das Dateisystem formatiert
wurde. Im Original ist das Volume mit Ext4 formatiert. Der Befehl fls zeigt dass
eine verdächtige Datei namens evil.exe existiert.
38
Kapitel 4. Analyse eines Datenträgerverbundes
39
Kapitel 4. Analyse eines Datenträgerverbundes
4.4.1 LDM
Logical Disk Manager ist eine Funktionalität die es ermöglicht mehrere verschiedene
Datenträger in ein einzigen logischen Datenträger zu verbinden. Es können dabei die
RAID-Level 0, 1 und 5 gewählt werden. Um einen Datenträger in LDM einzubinden
muss eine MBR-Partition des Typs 0x42 vorliegen. Am Ende jeder Partition befindet
sich die proprietär aufgebaute LDM Datenbank. Weiterführende Informationen sind
in Kapietel 7 aus [12, S. 162–170] einzusehen. Das freie Linuxprogramm ldmtool
ist für die Rekonstruktion empfehlenswert. An dieser Stelle wird LDM nicht weiter
thematisiert, dieses wurde durch die Windows Storage Spaces ersetzt.
4.4.2 WSS
Die Windows Storage Spaces sind eine softwarebasierte Speicherlösung von Micro-
soft. Sie wurde mit Windows Server 2016 eingeführt. Mit Windows Server 2019
wurde Windows Storage Spaces durch Storage Space Direct (S2D) auf eine Storage
Area Network Ebene erweitert.
Funktionsweise
Datenträger die für Windows Storage Spaces verwendet werden sind mit
einer Globally Unique Identifier (GUID)-PartitionTable aufbereitet. In die-
ser sind zwei Partitionen registriert. Microsoft Reserved Partition (GUID:
E3C9E3160B5C4DB8817DF92DF00215AE) [12, S. 143] und Speicherpool (GUID:
8FAF5CE780F6EE4CAFA3B001E56EFC2D). Es folgen Metainformationen über
den Speicherpool. Dazu zählen u. a. die Anzahl physischer Laufwerke, der Resilienz-
Typ und die Größe des bereitgestellten Speichers. Resilienz ist die Fähigkeit, bei
Störungen die Aufgabenerfüllung aufrecht zu erhalten.
Adäquat zu LDM und im Gegensatz zu LVM wird bei WSS eine virtuelle Festplatte
und keine Partition bereitgestellt. Diese beginnt mit einem GPT-Header, welcher
auf eine Partition verweist die wiederum mit einer spezielle Version von NTFS oder
Resilient File System (ReFS) formatiert ist. Diese Informationen liegen im RAW-
Format auf den fünf schnellsten Datenträgern des WSS-Verbundes. Selbst wenn der
Ermittler nur eine dieser Festplatten besitzt, stehen ihm sämtliche NTFS Metadaten
40
Kapitel 4. Analyse eines Datenträgerverbundes
über die gespeicherten Dateien zur Verfügung. ReFS ist ein von Microsoft entwickel-
tes Dateisystem welches für die Verwendung von Netzwerkspeicher empfohlen wird.
41
Kapitel 4. Analyse eines Datenträgerverbundes
Die Skalierung und Redundanz der Daten werden hier auf Dateisystemebene durch-
geführt. Dazu wird das Speichermedium anschließend in 256 MB große Blöcke einge-
teilt. Microsoft nennt diese Slaps. Wenn keine Redundanz konfiguriert ist, werden die
Slaps gleichmäßig auf die Datenträger verteilt. WSS bietet zusätzlich vier verschie-
dene Resilienzen an. Die einfache oder doppelte Kopie legen einen 256 MB Block
auf weiteren Datenträgern ab. Dies ist performanter als die Paritätsberechnung,
beansprucht aber viel Speicherkapazität. Alternativ kann eine einfache oder dop-
pelte Parität eingesetzt werden da über alle genutzten Datenträger ein Paritätsslap
berechnet wird. Das erhöht die Speichereffizienz des Systems. Sollte ein Laufwerk
ausfallen, sofern genügend Speicherplatz auf den gesunden Datenträgern vorhan-
den ist, werden die Paritäten bzw. Spiegelungen auf den vorhandenen Laufwerken
umgehend rekonstruiert. Anschließend ist das System vor dem Ausfall weiterer Da-
tenträger geschützt. Storage Space Direct bietet eine Kombination aus Kopie und
Parität, um Speichereffizienz und -geschwindigkeit zu verbessern [14] [15].
42
Kapitel 4. Analyse eines Datenträgerverbundes
Bild 4.30: NTFS Master File Table auf phsischer Disk identifiziert
43
Kapitel 4. Analyse eines Datenträgerverbundes
Das Duplizieren von WSS-Datenträgern ist ebenfalls einfach. Ist das System, dessen
Daten zu speichern sind, zugänglich, kann die virtuelle Festplatte mit den geeigneten
Mitteln gesichert werden. Das Programm DiskDumper erstellt ein RAW-Image des
gewünschten Laufwerks und berechnet anschließend den MD5-Hash. Für die Aus-
wertung von Offline-Datenträgern empfiehlt es sich, diese in einem Auswertesystem
mit einem aktuellen Windows schreibgeschützt einzubinden. Windows erkennt die
Datenträger und bindet den Storage Space entsprechend ein. Diese Vorgehensweise
ist vorteilhaft, da die genauen Funktionsweise des WSS von Microsoft nicht öffent-
lich zugänglich sind. Somit besteht hierbei die höchste Wahrscheinlichkeit, dass alle
Daten zugänglich sind.
Alternativ gibt es Softwareprodukte, die die Windows Storage Spaces dennoch ein-
binden können. Die Entwickler von R-Studio haben den Aufbau der WSS rekon-
struiert, sodass sie die Konfiguration zuverlässig interpretieren und das Laufwerk
anschließend bereitstellen können. Diese Funktion ist in der kostenpflichtigen Ver-
sion verfügbar. Daher wird im Rahmen dieser Projektarbeit nicht weiter darauf
eingegangen.
44
Kapitel 4. Analyse eines Datenträgerverbundes
4.5 Zusammenfassung
45
Kapitel 5. Verschlüsselte Datenträger
5 Verschlüsselte Datenträger
5.1 Einleitung
5.2 Festplattenverschlüsselung
46
Kapitel 5. Verschlüsselte Datenträger
Dateisystem befindet sich in diesem Fall eine logische Schicht über der Verschlüsse-
lung. Diese Technik sorgt dafür, dass ein Image einer so verschlüsselten Partition nur
unleserliche Daten enthält, die vor der weiteren forensischen Analyse entschlüsselt
werden müssen, um auf das Dateisystem zugreifen zu können.
In dieser Arbeit liegt der Fokus auf der Entschlüsselung vollständig verschlüsselter
Betriebssystem-Partitionen.
5.3 Verschlüsselungstools
Überblick
47
Kapitel 5. Verschlüsselte Datenträger
anderen Stelle abgelegt wird, falls die Entschlüsselung per TPM (z. B. wegen eines
Hardwaredefekts oder einer Integritätsverletzung) scheitert. Bild 5.1 zeigt eine
Übersicht der möglichen Schlüssel. Der verschlüsselte FVEK sowie die Kopien des
verschlüsselten VMK werden in einer unverschlüsselten Datenstruktur (BitLocker
Metadaten) an drei Stellen (Anfang, Mitte, Ende) auf der ansonsten verschlüsselten
Partition abgelegt. Die BitLocker Metadaten-Strukturen beginnen mit der Signatur
„-FVE-FS-“ [22, S. 4]. Wird diese Signatur in einem Partitionsimage gefunden, so
ist die Partition höchstwahrscheinlich mit BitLocker verschlüsselt.
Schlüsselgewinnung
Damit das Image einer mit BitLocker verschlüsselten Partition entschlüsselt werden
kann, wird entweder der FVEK, der VMK oder ein Schlüssel für den VMK be-
nötigt. Alle Schlüssel, die zur Laufzeit unverschlüsselt im Arbeitsspeicher abgelegt
sind, werden, wenn BitLocker sie zur Entschlüsselung gerade nicht benötigt, über-
schrieben [21, S. 13]. Da der VMK nur für einen kurzen Moment zum Entschlüsseln
des FVEK benötigt wird, ist es unwahrscheinlich den VMK im Random-Access Me-
mory (RAM) auffinden zu können. Der FVEK jedoch wird während der gesamten
Laufzeit des Systems im RAM gehalten und kann aus einem Memory Dump ausge-
lesen werden [23]. Auf diese und andere Techniken zur Gewinnung des FVEK aus
einem laufenden System/ RAM Image oder einem Angriff auf das TPM wird in
48
Kapitel 5. Verschlüsselte Datenträger
Entschlüsselung
49
Kapitel 5. Verschlüsselte Datenträger
Die verschlüsselte Partition wird mittels dislocker-fuse und dem, beim Einschalten
der Verschlüsslung erstellten, Recovery Key entschlüsselt und danach eingehängt.
Dislocker unterstützt verschiedene Arten von Schlüsseln (siehe Abschnitt „Schlüs-
selgewinnung“) um die Partition zu entschlüsseln. Mit dem Parameter „-r“ wird die
Partition nur lesend eingebunden, um Veränderungen zu vermeiden. Wie in Bild 5.5
erkennbar, kann nun auf den Inhalt der Partition zugegriffen werden.
5.3.2 FileVault 2
Überblick
50
Kapitel 5. Verschlüsselte Datenträger
Schlüsselgewinnung
Beim Einschalten von FileVault wird ein Recovery-Key erzeugt. Dieser kann ent-
weder lokal ausgegeben und z. B. ausgedruckt oder in einen iCloud-Account hoch-
geladen werden. Besteht Zugriff auf den iCloud Account des Gerätebesitzers, kann
1
In der Quelle [26] wird beschrieben, dass die Datei sich in der Recovery-Partition befindet. Bei
dem für diese Arbeit installierten System (macOS 10.14 Mojave in einer VMWare VM) war die
Datei jedoch im Preboot-Volume abgelegt.
51
Kapitel 5. Verschlüsselte Datenträger
Entschlüsselung
Für diese Arbeit wurde eine VMWare VM mit macOS 10.14 installiert und das
System-Volume mit FileVault verschlüsselt. Der Recovery-Key wurde nicht in der
iCloud abgelegt sondern am Bildschirm ausgegeben. Die Partitionstabelle der VM
wird, mit mmls betrachtet, nur unzureichend dargestellt (Bild 5.6), da mmls in der
eingesetzten Version nicht mit APFS umgehen kann. Um weitere Informationen über
die im Image enthaltenen Partitionen, Container und Volumes zu erhalten, wird die
apfs-fuse Toolsammlung genutzt (https://github.com/sgan81/apfs-fuse). Mit
dem enthaltenen apfsutil können die Volumes im APFS angezeigt werden (Bild 5.7).
Unter Angabe des Recovery-Keys (oder eines Passworts) kann das verschlüsselte
System-Volume mit apfs-fuse eingebunden werden (Bild 5.8). Der Zugriff erfolgt in
der genutzten Programmversion (vom 20 April 2019) nur lesend und die Software
befindet sich noch im experimentellen Stadium.
52
Kapitel 5. Verschlüsselte Datenträger
53
Kapitel 5. Verschlüsselte Datenträger
Überblick
Schlüsselgewinnung
54
Kapitel 5. Verschlüsselte Datenträger
Zeitpunkt vor, zu dem die Daten entschlüsselt waren, so kann der Schlüssel auch
daraus gewonnen werden [34]. Für diese Arbeit wird jedoch angenommen, dass ein
Schlüssel für einen LUKS Keyslot vorliegt.
Entschlüsselung
Für diese Arbeit wurde eine Ubuntu 19.04 Desktop Installation mit den im In-
stallationsdialog (Bild 5.9) angebotenen Verschlüsselungsoptionen verschlüsselt. In
dem verschlüsselten Bereich auf der Festplatte wurde mit Hilfe von LVM eine Vo-
lume Group angelegt. Darin befinden sich die /root- und die swap-Partition. Dies
wird erreicht, indem die abgebildeten Optionen während der Installation angewählt
werden. Von dem installierte System wurde mit ewfacquire ein Image (Dateiname
„image.e*“) erstellt. Dieses wird nun ausgewertet.
Im ersten Schritt wird die Partitionstabelle des Images mit mmls betrachtet (Bild
5.10). Es werden zwei „Linux-Partitionen“ erkannt. In der ersten ist ein minimales
Linux zum Booten des eigentlichen Betriebssystems enthalten. Dieses befindet sich,
wie in Bild 5.11 erkennbar, verschlüsselt in der zweiten Partition, deren Dateisys-
tem (wegen der Verschlüsselung) nicht bestimmt werden kann. Um die verschlüssel-
te Partition analysieren zu können, wird das mit ewfacquire erstellte Image mittels
Xmount bereitgestellt (siehe 5.12). Im Anschluss wird die verschlüsselte Partition
als loop-Device eingebunden (Bild 5.13). An der Signatur „LUKS“ am Partitionsbe-
ginn ist erkennbar, dass es sich tatsächlich um die verschlüsselte Partition handelt.
Mit dem Tool cryptsetup werden die Metadaten der verschlüsselten Partition an-
gezeigt (Bild 5.14). Damit das verschlüsselte Dateisystem lesbar wird, wird es mit
55
Kapitel 5. Verschlüsselte Datenträger
56
Kapitel 5. Verschlüsselte Datenträger
57
Kapitel 5. Verschlüsselte Datenträger
5.3.4 VeraCrypt
Überblick
VeraCrypt ist ein freies, auf TrueCrypt basierendes, Verschlüsselungstool. Es ist für
Windows, Linux und macOS verfügbar und kann sowohl verschlüsselte Container
erstellen als auch ganze Partitionen/ Speichermedien verschlüsseln. Daneben kann
ein installiertes Windows vollständig verschlüsselt werden (pre-boot authenticati-
on) [35]. Eine solche Konfiguration kann daran erkannt werden, dass der VeraCrypt-
Bootloader am Anfang der Festplatte abgelegt wird. Der Bootloader kann jedoch
auch auf einem externen Medium gespeichert werden (VeraCrypt Rescue Disk) [36].
Grundsätzlich verfolgt VeraCrypt den Ansatz, dass neben der Verschlüsselung auch
das Vorhandensein der verschlüsselten Daten möglichst schlecht erkennbar ist. Es
wird deshalb auf eine unverschlüsselt lesbare Signatur zu Beginn einer verschlüssel-
ten Partition verzichtet. Darüber hinaus ist es möglich, versteckte Container anzu-
legen.
Eine mit VeraCrypt verschlüsselte Partition beginnt mit einem Header, welcher den
eigentlichen Schlüssel zur Verschlüsselung der Daten enthält. Der Header selber ist
ebenfalls verschlüsselt [37]. Um den Header zu verschlüsseln, können bei der System-
verschlüsselung nur Passwörter genutzt werden [38]. Die Architektur unterstützt nur
58
Kapitel 5. Verschlüsselte Datenträger
Schlüsselgewinnung
Der Schlüssel zur Entschlüsselung des VeraCrypt Headers kann bei einer System-
verschlüsselung nur ein Passwort - optional erweitert durch ein PIM - sein. Einen
Recovery-Key gibt es nicht - lediglich eine Rescue Disk, welchen den Header zum
Zeitpunkt der Erstellung der Recovery Disk enthält. Das Passwort kann unter Um-
ständen ein anderes sein, als das aktuell genutzte, wenn die Disk nach einer Pass-
wortänderung nicht vernichtet und neu erstellt wurde.
Liegt ein Memory Dump des Systems bei entschlüsselter Partition vor, kann dar-
aus der Schlüssel für die Daten extrahiert werden [40]. Läuft das System noch mit
entschlüsselter Partition und kann es bedient werden, kann - bei vorhandenen ad-
ministrativen Berechtigungen - das Entschlüsselungspasswort auf einen bekannten
Wert gesetzt werden [41]. Für diese Arbeit wird davon ausgegangen, dass das Pass-
wort bekannt ist und kein PIM vergeben wurde.
Entschlüsselung
Für diese Arbeit wurde eine Windows 10 Installation mittels VeraCrypt verschlüs-
selt. Dabei wurde mit der Option „Die Windows System-Partition verschlüsseln“ ge-
arbeitet. Von der gesamten Festplatte wurde mit dd ein RAW Image (veracrypt.img)
erstellt. Die Partitionsstruktur, mit mmls betrachtet, ist in Bild 5.16 abgebildet.
Um die verschlüsselte Partition öffnen zu können, genügt es nicht nur sie alleine als
Loop-Device einzuhängen (Bild 5.17). Es wird ein partitioniertes Gerät und keine
einzelne Partition erwartet. Dies wird erreicht, indem losetup mit dem Parameter
„-P“ aufgerufen wird. Der Parameter „-f“ wählt automatisch das nächste, freie Loop-
Device. Nachdem das Image mit allen Partitionen als Loop-Device eingehängt ist,
kann die verschlüsselte Betriebssystem-Partition mit VeraCrypt entschlüsselt und
gemountet werden. Dabei ist darauf zu achten, dass wie in Bild 5.18 der Parameter
„–mount-options=ro,system“ angegeben wird, damit die Partition ReadOnly einge-
bunden und als verschlüsselte Systempartition mit pre-boot authentication erkannt
59
Kapitel 5. Verschlüsselte Datenträger
wird. Bei der Verschlüsselung wurde der PIM nicht gesetzt und Schlüsseldateien
können für dieses Szenario nicht genutzt werden. Somit muss lediglich das Passwort
zur Entschlüsselung angegeben werden.
Eine alternative Möglichkeit die Partition zu mounten ist cryptsetup. Dafür muss
das Image ebenfalls vollständig als Loop-Device eingehängt werden (siehe Bild 5.17).
cryptsetup wird nun so aufgerufen, dass es eine, mit VeraCrypt verschlüsselte, Sy-
stempartition öffnen soll. Die entschlüsselte Partition wird unter „/dev/mapper“
eingehängt und kann gemountet werden. Diese Variante ist in Bild 5.19 zu sehen.
60
Kapitel 5. Verschlüsselte Datenträger
5.4 Zusammenfassung
61
Kapitel 5. Verschlüsselte Datenträger
62
Kapitel 6. Fazit
6 Fazit
Zusammenfassend lässt sich sagen, dass die Forensik strengen Reglements in Bezug
auf gesetzliche Regelungen, als auch ethisch und moralisch richtigem Handeln,
unterlegen ist. Dies gilt nicht nur für behördliche Ermittlungen, welche besonders
streng geregelt sind, sondern auch bei Ermittlungen im „privaten“ Umfeld. In
jedem Fall ist die Dokumentation, eine damit verbundene Nachvollziehbarkeit der
Ermittlungen, hier an erster Stelle zu nennen. Dieses stellt eine Rechtssicherheit
(Beweissicherheit) her. Die Integrität der Daten muss in jedem Fall gewahrt
werden, wofür Write-Blocker zum Einsatz kommen, damit bei der Analyse die
Unveränderlichkeit der Daten garantiert werden kann.
63
Kapitel 6. Fazit
Datenträger nur mit der dazugehörigen Hardware vornehmen kann. Somit können
Datenträger eines Rechners nicht ohne den dazugehörigen Chip entschlüsselt werden.
Zu den Datenträgern an sich lässt sich zusammenfassend sagen, dass bei der Rekon-
struktion von Daten auf Flash-Speichern größere Probleme auftreten als bei HDDs.
Eine Wiederherstellung verborgener Daten ist kaum oder gar nicht möglich ist, so-
fern der TRIM-Befehl und die Garbage Collection aktiv sind. Ist der TRIM-Befehl
deaktiviert, so wird die Garbage-Collection nicht angesprochen. Dadurch bleiben die
Daten einer Speicherzelle bis zum nächsten Schreibprozess in dieser Zelle erhalten.
64
Literaturverzeichnis
Literaturverzeichnis
[2] Hans-Peter Merkel: Die Afflib als Ersatz für proprietäre Forensiktools. In:
Linux-Magazin 2009 (2009), Nr. 08
[4] Hudy, Felix: Macht sich der private IT-Forensiker bei seinen Ermitt-
lungen strafbar? https://www.datenschutzbeauftragter-info.de/
macht-sich-der-private-it-forensiker-bei-seinen-ermittlungen-strafbar/.
Version: 18.01.2017
65
Literaturverzeichnis
[12] Carrier, Brian: File system forensic analysis. 10. print. Upper Saddle River,
NJ : Addison-Wesley, 2011. – ISBN 0321268172
[15] cosmosdarwin: Fault tolerance and storage efficiency in Storage Spaces Di-
rect. TECHNET : https://docs.microsoft.com/en-us/windows-server/
storage/storage-spaces/storage-spaces-fault-tolerance#examples,
2017
[17] Apple Inc.: Das Startvolume Ihres Mac mit FileVault verschlüsseln. https:
//support.apple.com/de-de/HT204837, Januar 03, 2018
66
Literaturverzeichnis
[22] Kornblum, Jesse D.: Implementing BitLocker Drive Encryption for forensic
analysis. In: Digital Investigation 5 (2009), Nr. 3-4, S. 75–84. http://dx.doi.
org/10.1016/j.diin.2009.01.001. – DOI 10.1016/j.diin.2009.01.001. – ISSN
17422876
[26] Metz, Joachim ; Choudary, Omar ; Grobert, Felix: IFIP Advances in Infor-
mation and Communication Technology. Bd. v.410: Security Analysis and De-
cryption of Filevault 2: 9th IFIP WG 11. 9 International Conference on Digital
Forensics, Orlando, FL, USA, January 28-30, 2013, Revised Selected Papers.
Berlin/Heidelberg : Springer Berlin Heidelberg, 2013. – ISBN 9783642411472
[27] Urban, Julie: Examining Mac Data from Hardware With the Ap-
ple T2 Chip. https://www.blackbagtech.com/blog/2018/08/21/
examining-mac-data-hardware-apple-t2-chip/, 21.08.2018
[30] Broz, Milan: dm-crypt: Linux kernel device-mapper crypto target. https:
//gitlab.com/cryptsetup/cryptsetup/wikis/DMCrypt, 23.04.2019
67
Literaturverzeichnis
[33] Natarajan, Ramesh: 10 Linux cryptsetup Examples for LUKS Key Manage-
ment (How to Add, Remove, Change, Reset LUKS encryption Key). https:
//www.thegeekstuff.com/2016/03/cryptsetup-lukskey/, 01.03.2016
[34] Pettersson, Torbjörn: Cryptographic key recovery from Linux memory dumps
[35] VeraCrypt: VeraCrypt: Free Open source disk encryption with strong security
for the Paranoid. https://www.veracrypt.fr/en/Home.html, 13.09.2018
68
Abbildungsverzeichnis
Abbildungsverzeichnis
69
Abbildungsverzeichnis
70
Abbildungsverzeichnis
Abkürzungsverzeichnis
71
Abbildungsverzeichnis
SSD Solid-State-Drive
SSHD Solid State Hybrid Drive
StGB Strafgesetzbuch
StPO Strafprozessordnung
TPM Trusted Platform Module
VM Virtual Machine
VMK Volume Master Key
WSS Windows Storage Spaces
72
Selbstständigkeitserklärung
Selbstständigkeitserklärung
Hiermit erklären wir, dass wir die hier vorliegende Arbeit selbstständig, ohne uner-
laubte fremde Hilfe und nur unter Verwendung der aufgeführten Hilfsmittel ange-
fertigt haben.
73