Artikel über Antiforensik in iX 08/2007

iX 08/07In iX 08/2007 ist ein Artikel über Antiforensik- und Antidetektionsmethoden von Angreifern erschienen. Angreifer möchten weder als solche erkannt noch ihrer Taten überführt werden. Aus diesem Grund kommen immer häufiger Verfahren zum Einsatz, die entweder Angriffsspuren verwischen oder gezielt Ermittlungswerkzeuge kompromittieren sollen. Jeder Ermittler oder Sicherheitsspezialist sollte Weiterlesen…

Forensik CD aus iX 07/2007

ForensiX CD 07/2007

ForensiX-CD: Hilfe bei Systemeinbrüchen

Plötzlich entwickeln Systeme ein Eigenleben, der Administrator entdeckt unbekannte Prozesse, Anwendungen werden langsamer – der Verdacht kommt auf, dass sich jemand in einen Rechner eingehackt und dort manipuliert hat. Was tun? Mit speziellen Werkzeugen kann man diesen Verdacht erhärten und die Spuren des Einbruchs für polizeiliche Ermittlungen oder gerichtliche Beweisführung sichern. Auf der Heft-CD befindet sich eine Auswahl passender Werkzeuge nebst Anleitung.

Meine Kollege Sebastian Krause hat die Werkzeugsammlung zusammengetragen, während Enno Ewers endlich ein robustes Skript zum Sammeln flüchtiger Daten unter Linux erstellt hat, welches auch die strukturierte Sicherung des Hauptspeichers ermöglicht (siehe unten).

Kontakt: forensix at computer-forensik dot org

ForensiX-CD Skripte

ForensiX-CD Linux Incident Response Skript

ForensiX-CD Linux Incident Response Readme

ForensiX-CD Linux Incident Response Build Script für statische Binaries

ForensiX-CD angepasste Konfiguration für Windows Forensic Toolchest (WFT)

ForensiX-CD Windows Forensic Toolchest Readme

nach Erscheinen der ForensiX-CD aktualisierte Werkzeug

Windows Forensic Toolchest (WFT) Version 3.0.0.1

ForensiX-CD Grafiken

ForensiX-CD Cover

ForensiX-CD Label

ForensiX-CD Inhaltsverzeichnis

  • WFT – Windows Forensic Toolchest
    CD-Image zur Computeruntersuchung erstellen.
    Bitte vorher genau die Anleitung lesen!
  • Incident Response Script für Linux
    Eine Adaption des WFT für Linux, um einen Linux-Rechner bei Einbruchsverdacht live zu untersuchen.
    Bitte auch hier unbedingt die Anleitung lesen!
  • Forensik-Software
    Ausgewählte Tools für Linux/Unix und Windows
  • Incident Response
    Tools für Linux und Windows
  • Anti-Rootkit-Tools
    Werkzeuge zum Entdecken und Entfernen von Rootkits für Linux/Unix, Mac OS X und Windows
  • Computer-Forensik. Systemeinbrüche erkennen, ermitteln, aufklären (PDF)
    Auszüge aus dem deutschsprachigen Standardwerk zum Thema Forensik.
    Autor: Alexander Geschonneck; Verlag: dpunkt; 2. Auflage 2006

ForensiX-CD Version 0.2 ISO-Image

Download (SHA1 5165b45c0e475a14b01175d682add38be7842616)

c’t Artikel: „Auf frischer Tat ertappen – Spurensicherung am lebenden Objekt“

c't cover 05/2007In c’t 05/2007 erschien – nach langen Wehen – ein Artikel von mir zum Thema „Live Response“. Neben den klassischen Live-Response-Themen habe ich mich ausführlich der RAM-Analyse gewidmet.

Ich hoffe, dass ich wegen des Faustkeilvergleichs nicht bei der nächsten Gelegenheit ein Bier ausgeben muß, aber auch dies werde ich mit Würde und ebenfalls großem Durst ertragen. 😉

Die Tools Weiterlesen…

Forensik-Artikel in der KES: „Tatort PC“

KES 2/2006 „Tatort PC – Ermittlungen nach dem S-A-P Modell“

Die Zeitschrift für Kommunikations- und EDV-Sicherheit „KES“ hat das Thema Computer-Forensik in Ausgabe 2/2006 zu einem Themenschwerpunkt gemacht. Ich habe die Titelgeschichte „Tatort PC“ geschrieben und mich eingehender mit dem Ermittlungsprozess beschäftigt. Dreh- und Angelpunkt war das sog. S-A-P Modell (Secure, Analyze, Present). In jeder Phase Weiterlesen…

Tools

WeblinksAuf dieser Seite finden Sie zusätzliche Informationen, über die meisten in meinem Buch oder diversen Artikeln vorgestellten Computer Forensik bzw. Incident Response Werkzeuge. Weitere Tools finden Sie auch hier. Änderungen an URL, Quelltextverfügbarkeit oder Lizenzbestimmungen durch die Hersteller vorbehalten. Link defekt?


Logo dpunkt Verlag„Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären.“, 6. aktualisierte und erweiterte Auflage, dpunkt.verlag, 2013


K
=kommerziell F=“frei“ verfügbar D=Demo- bzw. Trialversion verfügbar, Q=Quellcode einsehbar

AccessData FTK

Erstellen
und Auswerten von Datenträger-Images, Extraktion von Daten

Windows

K, D

www.accessdata.com

Adepto

Erstellen
von Datenträgerimages

Linux

F

www.e-fense.com/helix/

Autopsy Forensic
Browser

Auswerten
von Datenträger-Images, Extraktion von Daten

Unix, cygwin

F, Q

www.sleuthkit.org/
autopsy/

Captain Nemo

Auslesen
diverser Dateisysteme

Windows

K, D

www.runtime.org

Chkrootkit

Suche
nach Spuren von gebräuchlichen Rootkits

Unix

F, Q

www.chkrootkit.org

Cryptcat

um Verschlüsselung
ergänzte Version von Netcat

Unix, Windows

F, Q

sourceforge.net/projects/
cryptcat/

Cygwin

Arbeitsumgebung
für die Übersetzung und Verwendung von Unix-like Tools

Windows

F, Q

www.cygwin.com

dcfldd

Erweitertes
dd

Unix

F, Q

sourceforge.net/projects/
dcfldd/

dd

Erstellung
von Daten träger-Images

Unix, Windows

F, Q

gmgsystemsinc.com/fau/

Disk Investigator

Analyse von Datenträgern

Windows

K, D

www.theabsolute.net/sware/
dskinv.html

EnCase

Erstellung
und Auswerten von Datenträger-Images, Extraktion von Daten

Windows

K, D

www.guidancesoftware.com

Evidor

Suche
nach Zeichenketten auf Datenträgern

Windows

K

www.x-ways.net/evidor/

Explore2fs

Schnelles Einsehen
von ext2-Partitionen

Windows

D

uranus.it.swin.edu.au/
~jn/linux/

Ext2fs

Treiber
für den lesenden und schreibenden Zugriff auf ext2/3 Dateisysteme

Windows

F

www.fs-driver.org

F.I.R.E.

Sammlung
von Security- und Forensik-Tools, vorkompilierte Binaries für Solaris,
Linux und Windows

Boot-CD (Linux),
Windows partition

F, Q

sourceforge.net/projects/
biatchux/

F.R.E.D.

Batchfile
zum Sammeln von flüchtigen Informationen

Windows

F, Q

lokale Kopie: fred.bat

Fatback

Analyse
von FAT-Dateisystemen

Unix

F, Q

prdownloads.sourceforge.net/
projects/fatback

FileDisk

Mounten
von Datenträger-Images als Windows-Laufwerk

Windows

F, Q

www.acc.umu.se/~bosse/

Filemon, Regmon

Analyse
von Registry- und Filesystemzugriffen von Applikationen

Windows

F

www.sysinternals.com

foremost

Wiederherstellung
unterschiedlicher Dateiformate von Datenträger-Images

Unix

F, Q

foremost.sourceforge.net/

Forensic
Acquisition Utilities

Leistungsfähige
Sammlung zum Erstellen von Datenträger-Images

Windows

F, Q

gmgsystemsinc.com/fau/

Foundstone
Forensic ToolKit

Sammlung
von Werkzeugen für die Analyse von Dateien

Windows

F

www.foundstone.com

FPort

Anzeige,
welche Applikationen Ports geöffnet haben

Windows

F

www.foundstone.com

Helix

Incident
Response und Forensics CD; Hybrid-CD auf Knoppix basierend mit separater
Windows-Umgebung

Boot-CD (Linux),
Windows partition

F

www.e-fense.com/helix/

iehist

Internet
History Viewer

Windows

F, Q

www.cqure.net/
tools.jsp?id=13

IRCR

Sammeln
von flüchtigen Daten

Windows

F

ircr.tripod.com

Knoppix STD

Um Security-
und Forensik-Tools erweiterte Knoppix- Distribution

Boot-CD (Linux)

F, Q

www.s-t-d.org

Md5deep

Rekursives
Erstellen und Überprüfen von MD5-Prüfsummen

Unix, Windows

F, Q

md5deep.sourceforge.net/

Metadata Assistant

Analyse
von Datenspuren in MS-Office- Dokumenten

Windows

K, D

www.payneconsulting.com

Netcat

Flexibles
Werkzeug zum Übertragen von Daten in einem Netzwerk

Unix, Windows

F, Q

netcat.sourceforge.net

Ntreg

Mounten
einer Windows-Registry als Filesystem

Unix

F, Q

www.bindview.com

Palmdecrypt

Analyse
von Palm-PDA-Passwörtern

Windows

F

www.atstake.com/research/

Paraben’s
E-Mail Examiner

Analyse
von Mailboxdateien verschiedenster Mail-Clients

Windows

K, D

www.paraben-forensics.com/
examiner.html

Paraben’s SIM Seizure
Paraben’s Cell Seizure

Auslesen und Analyse von PDAs, Mobiltelefonen und SIM-Karten

Windows

K, D

www.paraben-forensics.com/

Pdd

Auslesen
von Speicherinformationen von Palm PDA

Windows

F

www.atstake.com/research/


lokale Kopie

Psutils

Sammlung
von Werkzeugen für die Analyse von laufen den Prozessen

Windows

F

www.sysinternals.com

rifiuti

Analyse
von Dateien im Windows-Papierkorb

Windows

F, Q

http://www.foundstone.com/resources/
freetools.htm

SectorSpy

Analyse
von Festplatteninhalten

Windows

F

home.carolina.rr.com/
lexunfreeware
lokale
Kopie

streak

Erstellung
und Netzübertagung von Datenträger-Images

Boot-Floppy (OpenBSD)

F

www.fox-it.com/streak/

lokale Kopie

The
Coroner’s Toolkit (TCT) & TCTUtils

Sammlung
von Werkzeugen zum Analysieren von Datenträger-Images

Unix

F, Q

www.porcupine.org/
forensics/tct.html

The
Sleuthkit

Mächtige
Sammlung von Werkzeugen zum Analysieren von Datenträger-Images

Unix

F, Q

www.sleuthkit.org/
sleuthkit/

X-Ways Trace

Analyse
von Gebrauchsspuren auf Windows-Systemen

Windows

K, D

http://www.x-ways.net/
trace/index-d.html

X-Ways Forensics

Hex-Editor,
zusätzlich umfangreiche forensische Analyse von Datenträgern möglich

Windows

K, D

www.x-ways.net/
forensics/index-d.html

Live View

erzeugt aus DD-Images lauffähige VMware-Konfigurationen

Windows

F,Q

http://liveview.sourceforge.net/

LiveKd

Erzeugt Windows Crashdumps, die sich dann
forensisch analysieren lassen http://technet.microsoft.com/

Windows

F

http://technet.microsoft.com/
de-de/sysinternals/bb897415(en-us).aspx

KnTTools

Damit kann der Hauptspeicher von XP64,Windows2003
SP1 und Vista ausgelesen werden

Windows

K

http://www.gmgsystemsinc.com/knttools/

Windows Forensic Toolchest (WFT)

Sammlung von Werkzeugen zur Sammlung und Analyse
von flüchtigen Windows-Daten

Windows

K, D

www.foolmoon.net/security/wft/

PTfinderFE

Grafisches Frontend für ptfinder. benötigt
graphviz-2.8.exe und ActivePerl-5.8.8.817-MSWin32-x86-257965.msi

Windows

F

www.forensiczone.com/
ram/
ptfinderfe/PTFinderFE.htm

ptfinder

Identifikation von _EPROCESS und _ETHREAD
Strukturen in Windows-Speicherabbildern.

Windows

F, Q

computer.forensikblog.de/files/
ptfinder/ptfinder-collection-current.zip

poolfinder

PoolFinder durchsucht ein Windows-Speicherabbild
oder eine Auslagerungsdatei sequentiell und identifiziert dabei Pool Allocations.

Windows

F, Q

computer.forensikblog.de/files/
poolfinder/poolfinder-current.zip

pmodump

Rekonstruiert virtuellen Speicher durch die
Analyse eines Windows-Speicherabbilds

Windows

F, Q

www.lurhq.com/truman/

pd (Process Dumper)

Erstellung von Speicherauszügen

Windows, Linux

F, Q

www.trapkit.de

NotMyFault

Erstellung von Speicherabbildern

Windows

F, Q

lokale
Kopie

mp (Memory Parser)

Grafisches Frontend für die Analyse von mit
pd erstellen Speicherauszügen.

Windows

F, Q

www.trapkit.de

kern.pl

Identifiziert das Betriebssystem eines Windows-Speicherabbilds,
Bestandteil des OS Detection Package

Windows

F, Q

sourceforge.net/project/showfiles.php?
group_id=164158&package_id=203967

Mount Image Pro

Mounten von DD- und EnCase-Images als Laufwerksbuchstabe

Windows

K, D

www.mountimagepro.com

PEiD

Identifikation von Packer- und Compilerinformationen
von Windows Executables

Windows

F

peid.has.it

Wireshark

Erstellung und Analyse des Netzwerkverkehrs

Windows, Linux, Solaris, u.a.

F, Q

www.wireshark.org/

packetyzer

Erstellung und Analyse des Netzwerkverkehrs

Windows

F, Q

www.paglo.com/opensource/packetyzer

tcpflow

ermöglicht das Analysieren und Protokollieren
von TCP-Verbindungen

Linux, Solaris, BSD, u.a.

F, Q

www.circlemud.org/~jelson/software/tcpflow/

TULP2G

Sicherung von Daten mobiler Geräte

Windows

F, Q

tulp2g.sourceforge.net/

Oxygen Forensics Suite

Sicherung und Analyse von Mobiltelefonen

Windows

K, D

www.oxygensoftware.com/de/
products/forensic/

 

 


ctlogoWerkzeuge in der c’t 05/2007 im Softlink 0705180 in meinem Artikel über Live Analyse vorgestellt wurden

Windows Forensic Toolchest (WFT)

Sammlung von Werkzeugen zur Sammlung und Analyse
von flüchtigen Windows-Daten

www.foolmoon.net/security/wft/

poolfinder

PoolFinder durchsucht ein Windows-Speicherabbild
oder eine Auslagerungsdatei sequentiell und identifiziert dabei Pool Allocations.

computer.forensikblog.de/
2006/10/poolfinder_1_0_0.html

pmodump

Rekonstruiert virtuellen Speicher durch die
Analyse eines Windows-Speicherabbilds

www.lurhq.com/truman/

pd (Process Dumper)

Erstellung von Speicherauszügen

www.trapkit.de

NotMyFault

Erstellung von Speicherabbildern

lokale Kopie

mp (Memory Parser)

Grafisches Frontend für die Analyse von mit
pd erstellen Speicherauszügen.

www.trapkit.de

kern.pl

Identifiziert das Betriebssystem eines Windows-Speicherabbilds,
Bestandteil des OS Detection Package

sourceforge.net/project/showfiles.php?
group_id=164158&package_id=203967

Helix

Incident Response und Forensics CD; Hybrid-CD
auf Linux basierend mit separater Windows-Umgebung

www.e-fense.com/helix/

FSP/FRU

Client/Server Architektur zur Übermittlung
forensischer Liver Response Daten

http://sourceforge.net/project/
showfiles.php?group_id=164158

F.R.E.D.

Batchfile zum Sammeln von flüchtigen Informationen

lokale
Kopie

dd.exe

Windows-Version von dd, viele andere nützliche
Werkzeuge enthalten. Bestandteil der Forensic Acquisition Utilities

gmgsystemsinc.com/fau/

ptfinder

Identifikation von _EPROCESS und _ETHREAD
Strukturen in Windows-Speicherabbildern.

computer.forensikblog.de/2006/09/ptfinder_0_3_00.html

PTfinderFE

Grafisches Frontend für ptfinder

www.forensiczone.com/
ram/ptfinderfe/PTFinderFE.htm

 

 


ForensiX logoForensik CD aus iX 07/2007
Linux Incident Response Toolkit sammelt flüchtige Daten unter Linux (2.4 er und 2.6er Kernel) und gibt den Hauptspeicher strukturiert aus http://computer-forensik.org
/tools/ix/forensix/
ForensiX-CD  Hilfe bei Systemeinbrüchen http://computer-forensik.org
/tools/ix/forensix/

 

 


ixlogoiX special „Sicher im Netz“ 10/2008
Linux Incident Response Toolkit http://computer-forensik.org
/tools/ix/ix-special/
ForensiX-DVD Hilfe bei Systemeinbrüchen http://computer-forensik.org
/tools/ix/ix-special/


Forensik-Werkzeug Artikel in iX 03/2006

ix 03/06 Im Rahmen der Titelgeschichte zum Thema „Dateisystemforensik und Datenrettung“ habe ich in der ix 03/2006 einen Artikel veröffentlicht, der sich mit der Leistungsfähigkeit von kommerziellen Forensik-Tools beschäftigt. Im Rahmen dieser Betrachtung wurden grundsätzliche Anforderungen an Open und Closed Source Forensik-Tools beschrieben und wie diese letztendlich auch vor Gericht zu bewerten sind.

Ergänzung: 2006-03-02 um 11:34:51: In den Artikel hat sich der Fehlerteufel eingeschlichen. Die URL zum Download des Testimages der lautet [wpdm_package id=’1694′]