Digitale Forensik PDF
Document Details
Uploaded by EntrancingOnyx2948
Hochschule Niederrhein
2025
Prof. Dr. Fein
Tags
Summary
This document is a lecture outline on digital forensics for the winter semester 2024/2025 at Hochschule Niederrhein. The outline covers topics including the definition of forensics, digital evidence, and the Locard exchange principle.
Full Transcript
1.1 DIGITALE FORENSIK — EINORDNUNG DER FORENSIK 2 ZITAT „Die forensische Wissenschaft (häufig abgekürzt als Foren- sik) ist […...
1.1 DIGITALE FORENSIK — EINORDNUNG DER FORENSIK 2 ZITAT „Die forensische Wissenschaft (häufig abgekürzt als Foren- sik) ist […] die Anwendung wissenschaftlicher Methoden auf Fragen des Rechtsystems, etwa zur Untersuchung und Verfol- gung von Straftaten.“ Dewald und Freiling (2015) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.1 DIGITALE FORENSIK — EINORDNUNG DER FORENSIK 3 FORENSIK ▶ Begriff der Forensik (lat. forum → Marktplatz) ▶ Früher wurden Gerichtsverfahren auf dem Marktplatz geführt ▶ Anwendung von wissenschaftlichen Methoden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.1 DIGITALE FORENSIK — EINORDNUNG DER FORENSIK 6 KRIMINALISTIK „Ihr Gegenstand sind das Wissen und die Erkenntnisse über die Mittel, Methoden und Verfahren der Verhütung, Auf- deckung, Untersuchung und Aufklärung von Straftaten und kriminalistisch relevanten Erkenntnissen sowie der Erkennt- nisse, die sich auf die Verbrechensbekämpfung in der Gesell- schaft ausrichten.“ Ackermann, Clages und Roll (2019) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.1 DIGITALE FORENSIK — EINORDNUNG DER FORENSIK 14 KRIMINOLOGIE „Die Kriminologie als empirische und interdisziplinäre Wis- senschaft befasst sich mit der geordneten Gesamtheit des Er- fahrungswissens über das Verbrechen, den Rechtsbrecher, die negative soziale Auffälligkeit und mit der Kontrolle des Ver- haltens sowie der Wirkung von Strafen und Sanktionen.“ Ackermann, Clages und Roll (2019) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.1 DIGITALE FORENSIK — EINORDNUNG DER FORENSIK 15 ABGRENZUNG VON KRIMINOLOGIE UND KRIMINALISTIK „Die Kriminalistik […] vermittelt auf der anderen Seite das Wissen über die Mittel, Methoden und Verfahren der Verhü- tung, Aufdeckung, Untersuchung und Aufklärung von Straf- taten, einschließlich der ‚Fahndung‘ nach Personen und Sa- chen.“ Ackermann, Clages und Roll (2019) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.2 DIGITALE FORENSIK — SPUREN 16 SPUR ▶ engl. evidence ▶ Hinterlassenes Zeichen ▶ Altgermanisch für Tritt oder Fußabdruck ▶ Beweismittel ▶ Nahezu alles kann eine Spur sein ▶ Aufteilung in: Spureninformation Spurenträger X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.2 DIGITALE FORENSIK — SPUREN 17 SPUR „Eine Spur (evidence) ist [...] jedes Objekt, was ein Argument plausibler macht. In der juristischen Fachsprache spricht man statt von Spur auch häufig von Beweismittel.“ Dewald und Freiling (2015) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.2 DIGITALE FORENSIK — SPUREN 18 SPUR „Eine Spur ist [...] ein Gegenstand zusammen mit einer Reihe von dokumentierten Behauptungen (claim) oder Annahmen (assumptions) über diesen Gegenstand.“ Dewald und Freiling (2015) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.2 DIGITALE FORENSIK — SPUREN 19 SPURENINFORMATION UND SPURENTRÄGER Spur Spurenträger Spureninformation Integrität und Authentizität X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.2 DIGITALE FORENSIK — SPUREN 20 SPURENINFORMATION UND SPURENTRÄGER Spureninformation ▶ engl. information ▶ Bedeutung der Spur ▶ z.B. Inhalt eines Briefs (codierte Bedeutung der Zeichen) Spurenträger ▶ engl. support ▶ Materie ▶ Vergänglichkeit ▶ z.B. ein Brief und Tinte X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.2 DIGITALE FORENSIK — SPUREN 21 INTEGRITÄT UND AUTHENTIZITÄT Integrität ▶ Keine Veränderung der Spuren seit der Sicherstellung ▶ Vergänglichkeit der Materie zu beachten ▶ Veränderung auch durch den Sicherungsprozess selbst möglich ▶ Hauptsächlich bezogen auf Spureninformation Authentizität ▶ Spur muss authentisch sein ▶ Keine Verwechslung ▶ Hauptsächlich bezogen auf Spurenträger X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.2 DIGITALE FORENSIK — SPUREN 22 LOCARDS AUSTAUSCHPRINZIP ▶ Grundprinzip bzgl. der Entstehung von Spuren ▶ Eine Straftat verursacht immer einen Austausch von Materie zwischen Tatort, Opfer und Täter ▶ Die Theorie ist wesentlicher Bestandteil der modernen forensischen Wissenschaft ▶ Übertragung von Materie oder Mustern X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.2 DIGITALE FORENSIK — SPUREN 23 LOCARDS AUSTAUSCHPRINZIP Tatort Spuren (physisch) Opfer Verdächtiger X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 36 DIGITALE SPUREN „Digitale Spuren (digital evidence) sind Spuren, die auf Daten basieren, welche in Computersystemen gespeichert oder über- tragen worden sind.“ Casey (2004) nach Dewald und Freiling (2015) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 37 SPURENTRÄGER UND SPURENINFORMATION ▶ Spurenträger ⇒ Speichermedium ▶ Spureninformation ⇒ gespeicherte/codierte Information ▶ Information besteht aus diskreter Repräsentation (Codierungsschema, z.B. UTF-8) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 38 SPURENTRÄGER UND SPURENINFORMATION ▶ Spureninformation kann auf einem beliebigen Spurenträger gespeichert sein ▶ Schwache Bindung zwischen Spurenträger und Spureninformation ▶ Daher vollständige Kopie der Informationen möglich X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 39 INTEGRITÄT UND AUTHENTIZITÄT Integrität ▶ Grundfrage: Ist eine Information seit der Sicherung verändert worden? ▶ Integritätsüberprüfung mit Hilfe von Hashfunktionen Authentizität ▶ Grundfrage: Ist die Information die, die sie vorgibt zu sein? ▶ Annahmen: Verlässlichkeit von Personen, mathematische Sicherheit der Hashfunktionen, usw. X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 40 TRANSFER IN DER DIGITALEN WELT Locards Austauschprinzip: ▶ Keine explizite Analogie möglich, da (eigentlich) kein Austausch von Materie ▶ In der digitalen Welt: Austausch von Informationen (Musterübertragung) ▶ Eigentlich ist jede Datenverarbeitung eine Musterübertragung Übertragungen: ▶ Maschineninstruktionen (z.B. mov) ▶ Zuweisungen bei der Programmierung ▶ Lokale Kopieroperationen von Dateien ▶ Kopieroperationen von Dateien innerhalb eines Netzwerks X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 41 LOCARDS AUSTAUSCHPRINZIP FÜR DIGITALE SPUREN Digitaler Tatort Austausch Täter Opfer Austausch Physischer Tatort X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Casey (2011) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 42 ABSTRAKTIONSEBENEN ▶ Digitale Spuren liegen nicht in einer für den Menschen zugänglichen Form vor ▶ Notwendigkeit einer Extraktion und Übersetzung ▶ Interpretationsfehler auf jeder Ebene möglich X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 43 ABSTRAKTIONSEBENEN Daten können auf unterschiedlichen Abstraktionsebenen dargestellt werden: 1. Magnetisierung/Elektronenzustände (Bit) 2. Zeichenkodierung 3. Dateisystem 4. Daten des Dateisystems als Datei 5. Interpretation als Dateiart, z.B. E-Mail X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 44 EIGENSCHAFTEN – ÜBERSICHT ▶ Flüchtigkeit ▶ Technische Vermeidbarkeit ▶ Manipulierbarkeit ▶ Kopierbarkeit ▶ Semantik X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 45 EIGENSCHAFTEN – FLÜCHTIGKEIT ▶ Sicherungs- und Analysemethoden sind Abhängig von der Flüchtigkeit der Daten ▶ Unterscheidung: Persistente Spuren: ▶ Großer Zeitraum ohne Stromzufuhr ▶ z.B. Festplatte, USB-Sticks, usw. Flüchtige Spuren: ▶ I.w.S.: Dauerhafte Speicherung bei Stromzufuhr (z.B. RAM) ▶ I.e.S.: Nur temporäre Speicherung bei Stromzufuhr (z.B. Netzwerkdaten) ▶ Flüchtige Spuren können entweder live oder per Protokolldatei dauerhaft gesichert werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 46 EIGENSCHAFTEN – TECHNISCHE VERMEIDBARKEIT ▶ Unterscheidung: Technisch vermeidbare Spuren: ▶ Nicht kritisch für das Funktionieren des Systems ▶ z.B. Log-Dateien Technisch unvermeidbare Spuren:: ▶ Veränderung nicht durch das Betriebssystem möglich ▶ z.B. gelöschte Dateien im Dateisystem ▶ Technisch unvermeidbare Spuren sind von besonderem Interesse, da diese nur schwer durch den Nutzer manipuliert werden können ▶ Sicherung und Analyse der unvermeidbaren Spuren sind allerdings oft nur durch besonderes Wissen möglich X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 47 EIGENSCHAFTEN – MANIPULIERBARKEIT ▶ Digitale Spuren können aus Sicht der Spureninformation leicht manipuliert werden ▶ Dies geschieht absichtlich oder unabsichtlich ▶ Manipulation nicht immer (einfach) erkennbar ▶ Beispiele: Manipulation der Festplatte ▶ System wird mit Hilfe einer Live-DVD gestartet ▶ Bit auf der Festplatte wird mit Hilfe von Software verändert ▶ System wird heruntergefahren Telefonat per VOIP ▶ System wird mit Hilfe einer Live-DVD gestartet ▶ Telefonat mit Hilfe von VOIP-Software ▶ System wird heruntergefahren X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 48 EIGENSCHAFTEN – KOPIERBARKEIT ▶ Kodierung der Daten mit Hilfe von binären Zahlenwerten ▶ Diskrete Zustände (eindeutig) ▶ Daher sind perfekte Kopien (der Spureninformation) möglich ▶ Integrität muss bei einer forensischen Kopie bewahrt werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 49 EIGENSCHAFTEN – SEMANTIK ▶ Primärdaten Primär durch eine Anwendung verarbeitete Daten z.B. Bilddateien, E-mails, usw. ▶ Sekundärdaten System-Sekundärdaten: Unterstützung der Verarbeitung von Primärdaten (z.B. Indizes) Benutzer-Sekundärdaten: Betreffen nicht die Kernfunktionalität einer Anwendung (z.B. Lesezeichen) ▶ Programmdaten Programmcode Die Anwendung an sich X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.4 DIGITALE FORENSIK — DIGITALE SPUREN 50 EIGENSCHAFTEN – SEMANTIK ▶ Konfigurationsdaten Bestimmung der Art und Weise der Verarbeitung von Primärdaten Durch Nutzer veränderbar (explizit) oder auch nicht (implizit) ▶ Logdaten Information in Form eines Protokolls, z.B. einer Anwendung Besondere Relevanz, da Rückschlüsse über Aktivitäten möglich sind X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.5 DIGITALE FORENSIK — FORENSISCHE INFORMATIK 58 FORENSISCHE INFORMATIK ▶ i.e.S.: Methoden und Fragestellungen bzgl. Assoziationen ▶ i.w.S.: Prozess der digitalen Ermittlung an sich (z.B. große Datenmengen, Hauptsspeicheranalyse, usw.) ▶ Aussagen die getroffen werden, müssen auch für weniger versierte Personen nachvollziehbar sein ▶ Beweis oder Widerlegung der gemachten Hypothesen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Dewald und Freiling (2015) 1.5 DIGITALE FORENSIK — FORENSISCHE INFORMATIK 61 AUFTEILUNG NACH TECHNIKEN „1. Sicherung und Analyse persistenter Spuren, also vornehm- lich Festplatten. In Anlehnung an die englischsprachige Ter- minologie wird dies oft als die Tot-Analyse (dead analysis) oder Post-Mortem-Analyse bezeichnet.“ Dewald und Freiling (2015) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.5 DIGITALE FORENSIK — FORENSISCHE INFORMATIK 62 AUFTEILUNG NACH TECHNIKEN „2. Sicherung und Analyse von flüchtigen Spuren im weiteren Sinne, also der Inhalte von Hauptspeicher, Caches, etc. (zu- meist im Rahmen einer Live-Analyse).“ Dewald und Freiling (2015) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.5 DIGITALE FORENSIK — FORENSISCHE INFORMATIK 63 AUFTEILUNG NACH TECHNIKEN „3. Sicherung und Analyse von flüchtigen Spuren im engeren Sinne, meist Spuren im Netz. Dieser Teilbereich wird häufig als Netzwerkforensik bezeichnet.“ Dewald und Freiling (2015) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.6 DIGITALE FORENSIK — DER FORENSISCHE PROZESS 66 DER FORENSISCHE PROZESS NACH CASEY 1. Vorbereitung (preparation) 2. Übersicht/Identifikation (survey/identification) 3. Erhaltung (preservation) 4. Untersuchung und Analyse (examination and analyis) 5. Präsentation (presentation) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Casey (2011) 1.6 DIGITALE FORENSIK — DER FORENSISCHE PROZESS 67 VORBEREITUNG „Preparation: Generating a plan of actions to conduct an effective digital investigation, and obtaining supporting re- sources and materials.“ Casey (2011) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.6 DIGITALE FORENSIK — DER FORENSISCHE PROZESS 68 IDENTIFIKATION „Survey/Identification: Finding potential sources of digital evidence (e.g., at a crime scene, within an organization, or on the Internet).“ Casey (2011) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.6 DIGITALE FORENSIK — DER FORENSISCHE PROZESS 69 ERHALTUNG „Preservation: Preventing changes of in situ digital evidence, including isolating the system on the network, securing rele- vant log files, and collecting volatile data that would be lost when die system is turned off. This step includes subsequent collection or acquisition.“ Casey (2011) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.6 DIGITALE FORENSIK — DER FORENSISCHE PROZESS 70 UNTERSUCHUNG UND ANALYSE „Examination and Analysis: Searching for and interpreting trace evidence. Some process modules use the term examina- tion and analysis interchangeable.“ Casey (2011) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.6 DIGITALE FORENSIK — DER FORENSISCHE PROZESS 71 PRÄSENTATION „Presentation: Reporting all findings in a manner which sa- tisfies the context of the investigation, whether it be legal, corporate, military, or any other.“ Casey (2011) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 1.6 DIGITALE FORENSIK — DER FORENSISCHE PROZESS 72 INTEGRATED DIGITAL INVESTIGATION PROCESS MODEL (CARRIER) Ziele (physisch) Ziele (digital) Erhaltung Ein- und Ausgänge sichern, Veränderungen verhindern Veränderungen verhindern (Netzwerk, flüchtige Daten, Sicherung) Übersicht Identifizierung von Spuren Spuren auf Asservat suchen (Labor) Dokumentation Fotos, Skizzen, Karten Fotos und Beschreibungen Durchsuchung Intensive Suche Nichtoffensichtliche Spuren suchen (Labor) Rekonstruktion Entwicklung von Theorien basierend auf der Analyse X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Tabelle in Anlehnung an Carrier nach Casey (2011) 2.1 PARTITIONSANALYSE — MOTIVATION UND ÜBERBLICK 1 VOLUME SYSTEMS „Volume systems have two central concepts to them. One is to assemble multiple storage volumes into one storage volume and the other is to partition storage volumes into indepen- dent partitions.“ Carrier (2005) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 2.1 PARTITIONSANALYSE — MOTIVATION UND ÜBERBLICK 2 EINFÜHRUNG ▶ Speichermedien müssen so aufgebaut sein, dass auf die Daten effizient zugegriffen werden kann ▶ Daher Nutzung von Partitionen/Volumes ▶ Innerhalb der Partitionen werden Dateisysteme genutzt ▶ Partitionen sind unabhängig von der physikalischen Anbindung des Datenträgers X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.1 PARTITIONSANALYSE — MOTIVATION UND ÜBERBLICK 3 EINFÜHRUNG ▶ Auch Nutzung mehrerer Speicher in einer Partition (RAID) ▶ Wichtige Partitionssysteme: DOS/MBR (Master Boot Record) GPT (Globally Unique Identifier/GUID Partition Table) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.1 PARTITIONSANALYSE — MOTIVATION UND ÜBERBLICK 4 VOLUME/DATENTRÄGER „A volume is a collection of addressable sectors that an Ope- rating System (OS) or application can use for data storage. The sectors in a volume need not be consecutive on a physi- cal storage device; instead, they need to only give the impres- sion that they are.“ Carrier (2005) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 2.1 PARTITIONSANALYSE — MOTIVATION UND ÜBERBLICK 5 VOLUME/DATENTRÄGER „A hard disk is an example of a volume that is located in consequence sectors. A volume may also be the result of as- sembling and merging smaller volumes.“ Carrier (2005) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 2.1 PARTITIONSANALYSE — MOTIVATION UND ÜBERBLICK 6 PARTITION „A partition is a collection of consecutive sectors in a volume. By definition, a partition is also a volume, which is why the terms are frequently confused.“ Carrier (2005) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 2.2 PARTITIONSANALYSE — PARTITIONSTABELLEN 8 PARTITION TABLE „The common partition systems have one or more tables, and each table entry describes a partition.“ Carrier (2005) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 2.2 PARTITIONSANALYSE — PARTITIONSTABELLEN 9 PARTITIONSTABELLEN ▶ Wichtige Daten bzgl. der Partitionen werden in Tabellen gespeichert ▶ Diese Tabellen werden Partitionstabellen genannt ▶ Ein Partitionssystem besitzt eine oder mehrere Partitionstabellen ▶ Die Einträge der Tabelle definieren (normalerweise) jeweils eine Partition X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.2 PARTITIONSANALYSE — PARTITIONSTABELLEN 10 ESSENTIELLE UND NICHT-ESSENTIELLE DATEN DER PARTITIONSTABELLE Essentielle Daten: ▶ Startsektor ▶ Endsektor (alternativ: Länge der Partition) Nicht-essentielle Daten: ▶ Partitionstyp ▶ Beschreibung X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.2 PARTITIONSANALYSE — PARTITIONSTABELLEN 11 EINFACHE PARTITIONSTABELLE MIT DREI PARTITIONEN Start End Type 0 99 FAT 100 249 NTFS 300 599 NTFS X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 2.4 PARTITIONSANALYSE — ADRESSIERUNG 16 SEKTORADRESSIERUNG NACH CARRIER ▶ LBA (Logical Block Addressing) → Erster Sektor der physikalischen Disk besitzt Adresse 0 ▶ LVA (Logical Volume Addressing) Logical Disk Volume Address → Erster Sektor eines Volumes besitzt Adresse 0 Logical Partition Volume Address → Erster Sektor einer Partition besitzt Adresse 0 (nicht verfügbar außerhalb einer Partition!) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.4 PARTITIONSANALYSE — ADRESSIERUNG 17 SEKTORADRESSIERUNG NACH CARRIER Partition 1 Partition 2 Starting Address: 0 Starting Address: 864 Physical Address: 100 Physical Address: 964 Logical Disk Volume Address: 100 Logical Disk Volume Address: 964 Logical Partition Address: 100 Logical Partition Address: 100 Physical Address: 569 Logical Disk Volume Address: 569 Logical Partition Address: N/A X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 2.5 PARTITIONSANALYSE — DOS/MBR 18 DOS/MBR „DOS partitions are the most common but also the most complex partitioning system. They were originally designed in the 1980s for small systems and have been improved (i.e., hacked) to handle large modern systems.“ Carrier (2005) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 2.5 PARTITIONSANALYSE — DOS/MBR 19 EINFÜHRUNG ▶ DOS-Partitionen werde schon sehr lang genutzt (u.a. i386) ▶ Keine (konkrete) Referenz vorhanden ▶ Die ersten 512 Byte: Master Boot Record (MBR) ▶ MBR besteht aus: Boot Code Partitionstabelle Signatur X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.5 PARTITIONSANALYSE — DOS/MBR 20 AUFBAU DES MBR Bytes Beschreibung 0-445 Boot Code 446-461 Partitionseintrag #1 462-477 Partitionseintrag #2 478-493 Partitionseintrag #3 494-509 Partitionseintrag #4 510-511 Signatur (0xAA55) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Tabelle in Anlehnung an Carrier (2005) 2.5 PARTITIONSANALYSE — DOS/MBR 21 BOOT CODE UND PARTITIONSTABELLE ▶ Boot Code Instruktionen, wie die Partitionstabelle analysiert werden muss bzw. wo sich das Betriebssystem befindet. ▶ Partitionstabelle Besteht aus vier Einträgen, wobei jeder Eintrag eine eigene Partition beschreiben kann. Jeder Eintrag besteht u.a. aus: Flag bzgl. der Bootfähigkeit Adressen Partitionstyp X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.5 PARTITIONSANALYSE — DOS/MBR 22 BOOT CODE ▶ Definiert in den ersten 446 Byte des MBR im ersten Sektor ▶ Microsoft Boot Code Analyse der Partitionstabelle Identifizierung der ersten bootfähigen Partition Ausführen des Codes am Anfang der betreffenden Partition ▶ Boot-Sektor-Viren speichern ihren Code in den ersten 446 Byte des MBR, so dass sie bei jedem Systemstart ausgeführt werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.5 PARTITIONSANALYSE — DOS/MBR 24 PARTITIONSTABELLE Partition #1 Partition #2 X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 2.5 PARTITIONSANALYSE — DOS/MBR 26 SEKTORADRESSEN CHS-Adresse ▶ Wird definiert über: Zylinder (Cylinder/Track) Lese-/Schreibkopf (Head) Sektor (Sector) ▶ Nicht mehr bevorzugte Angabe eines Sektors ▶ Problematisch, wenn ein Sektor defekt ist LBA (Logical Block Address) ▶ Logisches Durchnummerieren der Sektoren eines Speichermediums ▶ Einfache Neuzuordnung möglich, wenn ein Sektor defekt ist X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.5 PARTITIONSANALYSE — DOS/MBR 29 EINSCHRÄNKUNGEN DES MBR Beschränkung: ▶ Ein MBR bietet Platz für nur vier(!) Partitionen ▶ Mehr als vier Partitionen können nicht mit Hilfe eines MBR realisiert werden Lösung: ▶ Nutzung von ein/zwei/drei Einträgen des MBR ▶ Weiterer Eintrag wird für sog. Erweiterte Partitionen (Extended Partitions) genutzt ▶ Daher sind sehr komplexe Konstrukte möglich X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.5 PARTITIONSANALYSE — DOS/MBR 30 ERWEITERTE PARTITIONEN Primäre Dateisystem-Partition ▶ engl. Primary File System Partition ▶ Eintrag ist im MBR vorhanden ▶ Partition enthält Dateisystem oder andere Daten Primäre erweiterte Partition ▶ engl. Primary Extended Partition ▶ Eintrag ist im MBR vorhanden ▶ Partition enthält zusätzliche Partitionen ▶ Verkettete Listen (Linked Lists) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.5 PARTITIONSANALYSE — DOS/MBR 32 SEKUNDÄRE PARTITIONEN Sekundäre Dateisystem-Partition ▶ engl. Secondary File System Partition ▶ Unter Microsoft Windows auch Logische Partition (Logical Partition) genannt ▶ Eintrag ist in primärer erweiterter Partition vorhanden ▶ Partition enthält Dateisystem oder andere Daten Sekundäre erweiterte Partition ▶ engl. Secondary Extended Partition ▶ Eintrag ist in primärer erweiterter Partition vorhanden ▶ Partition enthält zusätzliche Partitionen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.5 PARTITIONSANALYSE — DOS/MBR 34 ZUSAMMENFASSUNG (KURZ) N ≤4 ▶ Nutzung eines MBR ▶ Ausreichend bzgl. der Anzahl an Partitionen N >4 ▶ Bis zu drei Partitionen im MBR ▶ Zusätzlicher Eintrag für Primary Extended Partition ▶ Nutzung von verketteten Listen um weitere Partitionen zu realisieren X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.5 PARTITIONSANALYSE — DOS/MBR 35 ZUSAMMENFASSUNG (BEISPIEL 12 GB IN 6 PARTITIONEN) 2 GB 4 GB 6 GB 8 GB 10 GB 12 GB Primary File Primary File Primary File Primary Extended Partition System #1 System #2 System #3 Secondary Secondary File Sy- Extended #1 stem #1 Secondary Secondary File Sy- Extended #2 stem #2 Secondary File Sy- stem #3 Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 2.6 PARTITIONSANALYSE — GUID PARTITION TABLE (GPT) 36 EINFÜHRUNG ▶ Globally Unique Identifier/GUID Partition Table wird im Kontext zu EFI (Extensible Firmware Interface) genutzt ▶ Es können 128 Partitionen realisiert werden ▶ Nutzung von 64-bit LBA-Adressen ▶ Wichtige Teile werden zusätzlich als Backup in Form einer Kopie vorgehalten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.6 PARTITIONSANALYSE — GUID PARTITION TABLE (GPT) 37 BEREICHE DES GPT ▶ Protective MBR ▶ GPT Header ▶ Partition Table ▶ Partition Area ▶ Backup Area X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.6 PARTITIONSANALYSE — GUID PARTITION TABLE (GPT) 38 ALLGEMEINES LAYOUT GPT Header Protective Partition Partition Backup MBR Table Area Area X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 2.6 PARTITIONSANALYSE — GUID PARTITION TABLE (GPT) 39 BEREICHE DES GPT – PROTECTIVE MBR UND GPT HEADER Protective MBR (Sektor 0) ▶ MBR mit einem Eintrag des Typs 0xEE (EFI GTP Disk) ▶ Eintrag belegt die komplette Disk ▶ Wird genutzt, so dass auch ältere Systeme die Disk als belegt erkennen GPT Header (Sektor 1) ▶ Definiert Größte und Lage der Partitionstabelle ▶ Unter Windows: 128 Partitionen möglich ▶ Checksumme von Header und Partitionstabelle um Modifikationen/Fehler zu erkennen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.6 PARTITIONSANALYSE — GUID PARTITION TABLE (GPT) 40 BEREICHE DES GPT – PARTITION TABLE Partition Table (ab Sektor 2) ▶ Enthält die eigentliche Partitionstabelle ▶ Jeder Eintrag enthält: Start- und Endpunkt in Form einer Adresse Typ Name Attribute Globally Unique Identifier (GUID) ▶ GUID ist ein für das System eindeutiger 128-bit-Wert X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.6 PARTITIONSANALYSE — GUID PARTITION TABLE (GPT) 41 BEREICHE DES GPT – PARTITION AREA UND BACKUP AREA Partition Area ▶ Größter Bereich des Laufwerks ▶ Sektoren der Partition Area werden genutzt, um die eigentlichen Partitionen (mit den dazugehörigen Daten) zu speichern ▶ Größe/Lage ist im GPT-Header gesetzt Backup Area (erster Sektor nach Partition Area) ▶ Backup des GPT Headers ▶ Backup des Partition Tables X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 2.6 PARTITIONSANALYSE — GUID PARTITION TABLE (GPT) 45 ZUSAMMENFASSUNG ▶ Kontext zu EFI (Extensible Firmware Interface) ▶ 128 Partitionen möglich ▶ LBA (Logical Block Address, 64 Bit) ▶ Aufbau: Protective MBR GPT Header Partition Table Partition Area Backup Area ▶ Backup von GPT Header und Partition Table wird vorgehalten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.1 METHODIK DER DATEISYSTEMANALYSE — GRUNDLAGEN 1 ZIEL DER DATEISYSTEMANALYSE ▶ Die Dateisystemanalyse analysiert Daten auf Volume/Partition/Disk und interpretiert diese als Dateisystem ▶ Mögliche Ergebnisse dabei: Dateien eines Ordners anzeigen Gelöschte Dateien wiederherstellen Inhalt eines Sektors anzeigen ▶ Wichtig: Die Interpretation des Inhalts einer Datei ist nicht Teil der Dateisystemanalyse! X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.1 METHODIK DER DATEISYSTEMANALYSE — GRUNDLAGEN 2 MOTIVATION „The motivation behind a file system is fairly simple: compu- ters need a method for the long-term storage and retrieval of data.“ Carrier (2005) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 3.1 METHODIK DER DATEISYSTEMANALYSE — GRUNDLAGEN 3 DAS DATEISYSTEM ▶ Dateisysteme werden benötigt um Dateien zu speichern und abzurufen ▶ Ermöglichen eine hierarchische Speicherung von Daten mit Hilfe von Ordnern ▶ Dateisysteme besitzen spezifische Strukturen und Methoden ▶ Das Lesen eines Dateisystems ist jedem System möglich, das diesen Typ unterstützt X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.1 METHODIK DER DATEISYSTEMANALYSE — GRUNDLAGEN 4 FÜNF KATEGORIEN NACH CARRIER ▶ Carrier führt fünf Abstraktionsschichten ein, die die Strukturen eines Dateisystems darstellen ▶ Die Schichten können genutzt werden, um den Aufbau unterschiedlicher Dateisysteme zu analysieren und zu vergleichen ▶ Fünf Kategorien: Dateisystem (File System Data) Inhalt (Content Data) Metadaten (Meta Data) Dateiname (File Name Data) Anwendung (Application Data) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.1 METHODIK DER DATEISYSTEMANALYSE — GRUNDLAGEN 5 FÜNF KATEGORIEN NACH CARRIER Dateisystemdaten ▶ Allgemeine (notwendige) Daten des Dateisystems ▶ Jedes Dateisystem besitzt spezifische Strukturen Inhaltsdaten ▶ Nutzung einer Art von Container (Dateneinheit, z.B. Cluster) ▶ Beinhaltet die Daten der Dateien an sich ▶ Allokierungsstatus der Dateneinheiten Metadaten ▶ Daten, die eine Datei beschreiben ▶ Zeitstempel und Adresse des Dateiinhalts X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.1 METHODIK DER DATEISYSTEMANALYSE — GRUNDLAGEN 6 FÜNF KATEGORIEN NACH CARRIER Dateinamensdaten ▶ Auch Human Interface Category ▶ Verknüpft eine Datei mit einem Dateinamen Anwendungsdaten ▶ Spezielle Operationen des Dateisystems ▶ Allerdings nicht benötigt um das Dateisystem grundlegend zu nutzen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.1 METHODIK DER DATEISYSTEMANALYSE — GRUNDLAGEN 7 ESSENTIELLE DATEN „Essentiell file system data are those that are needed to save and retrieve files.“ Carrier (2005) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 3.1 METHODIK DER DATEISYSTEMANALYSE — GRUNDLAGEN 8 NICHT-ESSENTIELLE DATEN „Non-Essentiell file system data are those that are there for convenience but not needed for the basic functionality of sa- ving and retrieving data.“ Carrier (2005) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 3.1 METHODIK DER DATEISYSTEMANALYSE — GRUNDLAGEN 9 ESSENTIELLE UND NICHT-ESSENTIELLE DATEN – BEISPIELE Essentielle Daten ▶ z.B. Adresse, an der der Inhalt einer Datei gespeichert ist ▶ z.B. die Verknüpfung von Dateiname und Metadaten Nicht-Essentielle Daten ▶ z.B. Zeitstempel des letzten Zugriffs ▶ z.B. Zugriffsrechte X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.2 METHODIK DER DATEISYSTEMANALYSE — DATEISYSTEMDATEN 11 EINFÜHRUNG ▶ engl.: File System Data ▶ Enthält: Allgemeine Daten des Dateisystems Definiert die Eindeutigkeit des Dateisystems Informationen darüber, wo weitere (wichtige) Daten abgelegt sind X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.2 METHODIK DER DATEISYSTEMANALYSE — DATEISYSTEMDATEN 13 EINFÜHRUNG ▶ Weitere Informationen des Dateisystems: Version Hinweise zur Erstellung Zeitstempel Bezeichnung ▶ Der Nutzer kann diese Daten im Normalfall nur mit Hilfe eines Hex-Editors anschauen und/oder verändern Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.2 METHODIK DER DATEISYSTEMANALYSE — DATEISYSTEMDATEN 15 BESONDERE ANALYSE: VOLUME SLACK ▶ Das Dateisystem kann kleiner sein, als die Partition ▶ Die Sektoren hinter dem Dateisystem werden in diesem Fall Volume Slack genannt ▶ Hier können Daten unabhängig vom genutzten Dateisystem versteckt abgelegt werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 16 EINFÜHRUNG ▶ engl.: Content Data ▶ Enthält: Enthält Positionsdaten, an denen sich Dateien und Ordner befinden (können) Demnach Informationen darüber, welche Sektoren aktuell durch das Dateisystem genutzt werden und welche nicht ⇒ allokiert bzw. nicht-allokiert Definition der Dateneinheit, die durch das Dateisystem genutzt wird ▶ Analysen dieser Kategorie zur Wiederherstellung gelöschte Dateien werden meist nicht per Hand durchgeführt X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 17 ERSTELLEN ODER VERGRÖSSERN EINER DATEI Datei wird erstellt bzw. vergrößert: ▶ Suche eines neuen Blocks durch das Betriebssystem, um neuen Inhalt abzuspeichern ▶ Der gefundene Block wird als allokiert markiert ▶ Für die Suche eines neuen Blocks werden unterschiedliche Strategien angewendet X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 18 EINFÜHRUNG Löschen einer Datei ▶ Die betreffenden Blöcke werden als nicht-allokiert markiert ▶ Die frei gewordenen Blöcke können zur Speicherung neuer Daten genutzt werden ▶ Die meisten Betriebssysteme geben die Blöcke nur frei und überschreiben nicht den Inhalt X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 19 ADRESSEN „A sector can have multiple addresses, each from a different perspective.“ Carrier (2005) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 20 STARTPUNKTE VERSCHIEDENER ADRESSEN ▶ Adressen von Sektoren sind relative Angaben ▶ Demnach ist eine Adresse immer abhängig vom Ursprung/Nullpunkt der Betrachtung ▶ Wichtige Adressen (bis hierhin): Physikalische Adresse (Physical Address) ⇒ Start am Anfang eines Speichermediums Logische Laufwerks-Adresse (Logical Volume Address) ⇒ Start am Anfang eines Laufwerks/Volumes Logische Dateisystem-Adresse (Logical File System Address) ⇒ Start am Anfang eines Dateisystems X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 21 EIGENSCHAFTEN VERSCHIEDENER ADRESSEN ▶ Physikalische Adresse (Physical Address) Bezieht sich auf das physikalische Speichermedium Jeder Sektor hat eine eigene Adresse ausgehend vom Start des Mediums ▶ Logische Laufwerks-Adresse (Logical Volume Address) Bezieht sich auf ein Laufwerk Jeder Sektor hat eine eigene Adresse ausgehend vom Start eines Laufwerks (Partition) ▶ Logische Dateisystem-Adresse (Logical File System Address) Bezieht sich auf das Dateisystem Dateisysteme bilden Dateneinheiten um Daten abzulegen Dateneinheit wird aus aufeinanderfolgenden Sektoren gebildet X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 22 ADRESSIERUNG Logical Volume 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Address Logical File System 0 1 2 3 4 5 Address X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 23 ALLOKATIONSSTRATEGIEN ▶ Wenn eine Datei gespeichert (oder vergrößert) werden soll, muss eine freie Dateneinheit gefunden werden ▶ Unterschiedliche Betriebssysteme nutzen verschiedene Ansätze, um freie Einheiten zu finden ▶ Unterscheidung dreier Hauptstrategien: First Available Next Available Best Fit X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 24 ALLOKATIONSSTRATEGIEN – FIRST AVAILABLE ▶ Start ist der Anfang des Dateisystems ▶ Bei der nächsten benötigten Einheit wird die Suche wieder am Anfang gestartet ▶ Ergebnis: Fragmentierung, da zusammengehörende Daten (in der Regel) nicht als Ganzes im gleichen Stelle abgespeichert werden ▶ Daten werden demnach gehäuft am Anfang des Dateisystems neu geschrieben ▶ Daher: Datenwiederherstellung am Ende des Dateisystems wahrscheinlicher X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 25 ALLOKATIONSSTRATEGIEN – NEXT AVAILABLE ▶ Start ist die nächste freie Einheit nach der zuletzt Allokierten ▶ Daten werden fortlaufend im Dateisystems neu geschrieben X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 26 ALLOKATIONSSTRATEGIEN – BEST FIT ▶ Es werden aufeinanderfolgende Einheiten gesucht, in denen die Daten abgelegt werden können ▶ Werden später zusätzliche Einheiten benötigt, kann die Datei trotzdem fragmentiert abgelegt sein ▶ Sind keine passenden Einheiten hintereinander verfügbar, muss First/Next Available genutzt werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 33 DATA UNIT ALLOCATION STATUS ▶ Welche Dateneinheiten allokiert und nicht-allokiert sind muss nachvollzogen werden können (z.B. in Form einer Bitmap) ▶ Manchmal ist bekannt, dass bestimmte Daten in einer nicht-allokierten Einheit vorliegen ▶ Manche Tools können den Fokus auf diese Bereiche legen ▶ Export dieser Einheiten erzeugt (in der Regel) eine unstrukturierte Sammlung von Daten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.3 METHODIK DER DATEISYSTEMANALYSE — INHALTSDATEN 34 DATA UNIT ALLOCATION STATUS Data 0 1 2 3 4 5 6 7 8 9 10 11 Units Bitmap 1 1 0 1 1 1 0 0 1 1 1 0 X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 3.4 METHODIK DER DATEISYSTEMANALYSE — METADATEN 37 EINFÜHRUNG ▶ engl.: Metadata ▶ Enthält (Beispiele): Zeitstempel Adresse der genutzten Dateneinheit einer Datei ▶ Daten werden meist in einer tabellenähnlichen Struktur abgespeichert ▶ Enthält eher beschreibende Informationen ▶ Viele Informationen dieser Kategorie sind nicht-essentiell (z.B. Zeitstempel) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.4 METHODIK DER DATEISYSTEMANALYSE — METADATEN 38 LOGISCHE DATEI-ADRESSE ▶ Wiederholung: Adressen sind immer relativ zu einem Startpunkt zu verstehen ▶ Wichtige Adressen: Physikalische Adresse (Physical Address) ⇒ Start am Anfang eines Speichermediums Logische Laufwerks-Adresse (Logical Volume Address) ⇒ Start am Anfang eines Laufwerks/Volumes Logische Dateisystem-Adresse (Logical File System Address) ⇒ Start am Anfang eines Dateisystems Logische Datei-Adresse (Logical File Address) ⇒ Start am Anfang einer Datei X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.4 METHODIK DER DATEISYSTEMANALYSE — METADATEN 39 LOGISCHE DATEIADRESSE Logical Volume 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Address Logical File System 0 1 2 3 4 5 Address Logical File 0 1 0 1 2 Address Allocated Unallocated X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 3.4 METHODIK DER DATEISYSTEMANALYSE — METADATEN 40 FILE SLACK – EINFÜHRUNG ▶ Für eine Datei muss immer eine ganze Dateneinheit (z.B. Cluster) allokiert werden ▶ Der eigentliche Dateiinhalt kann aber weniger Platz in Anspruch nehmen ▶ Der restliche Bereich eines Sektors und einer Speichereinheit wird File Slack genannt ▶ Das Betriebssystem entscheidet, ob der Bereich überschrieben wird oder nicht ▶ Es können sich hier aber auch noch Daten von früheren Dateien befinden ▶ Analogie: Videokassette X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.4 METHODIK DER DATEISYSTEMANALYSE — METADATEN 41 FILE SLACK – UNTERSCHEIDUNG 1. Bereich ▶ Befindet sich in dem Sektor, der nicht vollständig mit Daten der Datei beschrieben ist ▶ Früher: Inhalt des RAM ▶ Normalfall: Mit Nullen überschrieben 2. Bereich ▶ Die restlichen Sektoren, die zur Dateneinheit gehören, aber nicht genutzt werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.4 METHODIK DER DATEISYSTEMANALYSE — METADATEN 42 FILE SLACK – ABBILDUNG Cluster 4910 Sector 1 Sector 2 Sector 3 Sector 4 X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 3.5 METHODIK DER DATEISYSTEMANALYSE — DATEINAMENSDATEN 50 EINFÜHRUNG ▶ File Name Data ▶ Enthält: Namen einer Datei Ermöglich dem Nutzer die Metadaten mit einem Namen zu verbinden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.5 METHODIK DER DATEISYSTEMANALYSE — DATEINAMENSDATEN 51 WIEDERHERSTELLUNG MIT HILFE EINES DATEINAMENS ▶ Wiederherstellung funktioniert analog zu der Wiederherstellung mit Hilfe der Metadaten ▶ Dabei ist allerdings eine Verbindung eines Dateinamens zu dazugehörigen Metadaten gegeben ▶ Wichtig: Alle Ebenen die dabei durchlaufen werden müssen können bereits durch neue Inhalte belegt sein X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.6 METHODIK DER DATEISYSTEMANALYSE — ANWENDUNGSDATEN 59 EINFÜHRUNG ▶ engl.: Application Data ▶ Enthält: z.B. Dateisystem-Journale oder Quotas Nicht-essentielle Daten, da der eigentliche Aufbau des Dateisystems nicht betroffen ist Auch Carving, also das Wiederherstellen von Daten mit Hilfe der Dateisignatur gehört in diese Kategorie aufgrund der Unabhängigkeit bzgl. des Dateisystems X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.6 METHODIK DER DATEISYSTEMANALYSE — ANWENDUNGSDATEN 60 DATEISYSTEM-JOURNALE ▶ Während innerhalb eines Dateisystems geschrieben wird, kann ein Computer abstürzen ▶ Dies führt zur Inkonsistenz der Daten ▶ Intensiver Ansatz: Explizite Analyse auf fehlerhafte Einträge (dauert sehr lang) ▶ Besser: Bevor Metadaten zu einer Datei verändert werden, wird innerhalb eines Journals festgehalten, welche Änderungen durchgeführt werden sollen ▶ Hierdurch können Änderungen nach einem Absturz explizit nachvollzogen werden X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.6 METHODIK DER DATEISYSTEMANALYSE — ANWENDUNGSDATEN 61 DATA CARVING ▶ Suche nach Dateisignaturen (Anfang und/oder Ende einer Datei) ▶ Ergebnis sind alle Dateien, die die Signatur(en) beinhalten ▶ Fokus auf nicht-allokierten Bereich, um Dateien ohne dazugehörige Metadaten wiederherzustellen ▶ Einfacher Ansatz, um gelöschte Dateien sichtbar zu machen X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 3.7 METHODIK DER DATEISYSTEMANALYSE — ZUSAMMENFASSUNG 62 INTERAKTIONEN DER FÜNF KATEGORIEN NACH CARRIER File System Application Category Category Layout and Size Quota Data Information File Name Metadata Content Category Category Category Times and file1.txt Content Data #1 Addresses Content Data #2 Times and file2.txt Content Data #1 Addresses X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 3.7 METHODIK DER DATEISYSTEMANALYSE — ZUSAMMENFASSUNG 63 STRUKTUREN (VORSCHAU AUF DIE NÄCHSTEN VORLESUNGEN) Dateisystem Inhalt Metadaten Dateiname Anwendung ExtX superblock, blocks, inodes, directory entries journal group descriptor block bitmap inode bitmap, extented attributes FAT boot sector, clusters, directory entries, directory entries n/a FSINFO FAT FAT NTFS $Boot, clusters, $MFT, $FILE_NAME, disk quota, $Volume, $Bitmap $STANDARD_INFORMATION, $IDX_ROOT, journal, $AttrDef $Data $BITMAP change journal X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Tabelle in Anlehnung an Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 1 EINFÜHRUNG ▶ File Allocation Table ▶ Sehr einfaches Dateisystem ▶ Früher der Standard bei Microsoft Betriebssystemen (Windows 9x) ▶ Immer noch sehr oft zu finden (z.B. auf portablen Datenträgern) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 2 AUFBAU ▶ Sehr geringe Anzahl an Strukturen notwendig ▶ Die Abstraktion in die fünf Kategorien ist z.T. schwierig ▶ Zentrale Elemente: File Allocation Table (FAT) Directory Entries X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 3 DIRECTORY ENTRIES ▶ Jede Datei und jeder Ordner besitzt (mindestens) einen Dateneintrag (directory entry) ▶ Inhalte (u.a.): Dateiname Dateigröße Startadresse des Inhalts X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 4 CLUSTER UND FAT ▶ Inhalte werden in sog. Clustern gespeichert ▶ Wenn mehr als ein Cluster genutzt werden muss: Weitere dazugehörige Einträge im FAT ▶ Aufgabe des FAT: Identifizierung des nächsten Clusters einer Datei Allokierungsstatus der einzelnen Cluster ▶ Daher: Informationen zu Inhalt- und Metadaten X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 5 VERSIONEN VON FAT ▶ Versionen von FAT: FAT12 FAT16 FAT32 ▶ Unterschiede in der Größe der Einträge im FAT ▶ Alle Dateisysteme der Familie haben einen ähnlichen Aufbau X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 6 ÜBERSICHT ZU FAT Clusters FAT Structure Cluster 34 Directory Entry Structures 4,000 file1.dat bytes Cluster 34 35 EOF Cluster 35 X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 7 LAYOUT DES DATEISYSTEMS ▶ Grundsätzliches Layout: Reserved Area FAT Area Data Area X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.1 DATEISYSTEMANALYSE FAT — KONZEPT 8 LAYOUT DES DATEISYSTEMS Reserved Area FAT Area Data Area X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 9 BOOT-SEKTOR ▶ Boot-Sektor → erster Sektor des Volumes ▶ Teil der Reserved Area (Hauptsächlich Daten der Dateisystem-Kategorie) ▶ Andere Benennung mancher Daten nach Microsoft: BIOS Parameter Block (BPB) X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 12 RESERVED AREA UND FAT AREA ▶ Reserved Area startet in Sektor 0 ▶ Größe Reserved Area ist im Boot-Sektor angegeben: FAT12/16 → normalerweise 1 Sektor FAT32 → Mehrere Sektoren ▶ FAT Area beinhaltet eine oder mehrere FAT-Strukturen ▶ FAT Area beginnt im ersten Sektor nach der Reserved Area X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 13 DATA AREA ▶ Data Area beinhaltet die Cluster ▶ Cluster bestehen aus aufeinanderfolgenden Sektoren ▶ Cluster werden genutzt, um Datei- und Ordnerinhalte zu speichern ▶ Anzahl der Sektoren pro Cluster ist ebenfalls im Boot-Sektor definiert X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 14 BESONDERHEIT: ROOT-VERZEICHNIS ▶ FAT12/16 → Root-Verzeichnis (Root Directory) startet im ersten Cluster der Data Area ▶ FAT32 → Root-Verzeichnis kann sich überall befinden (startet meist aber im ersten Cluster) ▶ Vorteil der Dynamik bei FAT32 → Root-Ordner ist nicht in der Größe begrenzt und kann an defekte Sektoren angepasst werden ▶ Adresse des Root-Ordners ist im Boot-Sektor angegeben, Größe durch dazugehörige FAT-Struktur X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 15 ROOT-DIRECTORY IN FAT12/FAT16 Root Directory Reserved Area FAT Area Data Area Num of Sectors Num of in File System Num of Root Reserved Sectors FATS * Size Directory Entries of each FAT X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 16 ROOT-DIRECTORY IN FAT32 Root Directory Reserved Area FAT Area Data Area Num of Sectors in File System Num of Root Directory Reserved Sectors FATS * Size Starting Location of each FAT X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Abbildung in Anlehnung an Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 17 ESSENTIELLE DATEN DES BOOT-SEKTOR – ÜBERSICHT ▶ Anfang der Reserved Area → immer Sektor 0 ▶ Größe der Reserved Area FAT12/FAT16 → normalerweise ein Sektor FAT32 → normalerweise mehrere Sektoren ▶ Größe der FAT Area durch Produkt aus: Anzahl der FATs Größe eines FAT ▶ Größe der Data Area durch Differenz aus: Startadresse der Data Area Anzahl der Sektoren ▶ Anzahl der Sektoren pro Cluster X Theoretische Grundlagen zu forensischen Methoden | Hochschule Niederrhein | Wintersemester 2024/2025 | Prof. Dr. Fein Inhalt aus Carrier (2005) 4.2 DATEISYSTEMANALYSE FAT — DATEISYSTEMDATEN 20 ANALYSE ▶ Die Analyse der Dateisystemdaten hat immer das Ziel die Konfiguration und des grundlegenden Aufbau zu ermöglichen ▶ Boot-Sektor ist erster Sektor der Partition ▶ Erster Schritt: Analyse des Boot-Sektors ▶ Ziel: Bestimmung des Dateisystemtyps (FAT12/FAT16/FAT
