Projekt II

im Fernstudiengang "IT Forensik"

an der Hochschule Wismar

Zu dem Thema:

„IT-Forensische Analyse und Auswertung eines NAS-Server unter Verwendung von Sleuthkit“

von: Weingart, Hämmerle, Bösch, Schönlein

Prüfer: Prof. Dr.-Ing. Antje Raab-Düsterhöft Abgegeben am: 25.07.2019

Inhaltsverzeichnis Eigenständigkeitserklärung 3Abstrakt 41. Einführung 5

1.1. Relevanz des Themas 51.2. Problemstellung 61.3. Vorgehensweise 61.4. Abgrenzung 71.5. Struktur 7

2. Konzeptioneller Rahmen 82.1. Definitionen 8

2.1.1. IT-Forensik 82.1.2. NAS-Server 92.1.3. RAID Systeme 11

2.2. Sleuthkit 132.2.1. Vorstellung 13

2.2.2. Wichtige Befehle für die NAS-Server-Auswertung 152.3. Vorgehensweise 162.4. Zusammenfassung 18

3. IT-Forensische Analyse 193.1. Image-Erstellung 19

3.1.1. Erstellung eines Live-Boot-Stick 193.2. Image-Auswertung 303.3. Zusammenfassung 39

4. Schlussfolgerungen und Empfehlung 40Abbildungsverzeichnis 42Literaturverzeichnis 43

Eigenständigkeitserklärung Name: Bösch Vorname: Patricia Studiengang: Bachelor IT-Forensik Name: Hämmerle Vorname: Michel Studiengang: Bachelor IT-Forensik Name: Schönlein Vorname: Franziska Studiengang: Bachelor IT-Forensik Name: Weingart Vorname: Michel Studiengang: Bachelor IT Forensik Hiermit bestätigen wir, dass wir die vorliegende Arbeit selbstständig verfasst und

keine anderen Publikationen, Vorlagen und Hilfsmitteln als die angegebenen benutzt

haben. Alle Teile unserer Arbeit, die wortwörtlich oder dem Sinn nach anderen

Werken entnommen sind, wurden unter Angabe der Quelle kenntlich gemacht.

Gleiches gilt für verwendete Internetquellen.

Basel, 26.07.2019 ___________________________________________________________________________________________ __________________________________________________________________________________________________________ Ort, Datum Unterschrift Patricia Bösch Zürich, 26.07.2019 ___________________________________________________________________________________________ __________________________________________________________________________________________________________ Ort, Datum Unterschrift Michel Hämmerle

Würzburg, 26.07.2019 ___________________________________________________________________________________________ __________________________________________________________________________________________________________

Ort, Datum Unterschrift Franziska Schönlein

Bern, 26.07.2019 ___________________________________________________________________________________________ ___________________________________________________________________________________________________________

Ort, Datum Unterschrift Michel Weingart

Abstrakt Die vorliegende Projektarbeit wurde im Rahmen des Bachelor Studiengangs „IT-

Forensik“ angefertigt und beschreibt die IT-forensische Analyse eines NAS-Servers

im Hinblick auf Verdacht von illegalem pornographischen Inhalt. Hierbei bilden die

auszuwertenden Festplatten einen RAID-1 Verbund.

Das gewählte Thema spielt in der heutigen Zeit noch immer eine wichtige Rolle und

die Beweissicherung ist von unermesslichem Wert. Bei der Untersuchung ist es daher

wichtig, auf die korrekte Vorgehensweise der Beweissicherung zu achten. Für die

Untersuchung des NAS-Servers wurde die IT-forensische Vorgehensweise nach dem

BSI-Leitfaden berücksichtigt. Hierzu wurde zuerst mittels ewfaquire, welches

Bestandteile der Bibliothek libewf ist, ein forensisches Image erstellt. Für die

Analyseschritte wurde das forensische Open Source Tool “Sleuthkit” eingesetzt.

Die Arbeit setzt sich aus einem theoretischen und einem praktischen Teil zusammen.

Im theoretischen Teil wird auf verschiedene Definitionen, das Sleuthkit und dessen

Möglichkeiten eingegangen. Anschließend wird im praktischen Teil auf die

Problemstellung beantwortet.

Nach der Image-Erstellung und dessen Auswertung konnte die Problemstellung

beantwortet werden. Das Image wurde auf Bilder hin untersucht und es konnten zwei

verdächtige Bilder sichergestellt werden.

1. Einführung Als erstes wird auf die grundlegende Relevanz des Themas hingewiesen. Danach

wird die Problemstellung erläutert und die Zielsetzung beschrieben. Anschließend

folgt noch die Abgrenzung der Thematik sowie eine Erklärung über den Aufbau,

beziehungsweise die Struktur der vorliegenden Arbeit.

1.1. Relevanz des Themas Der Computer hat das Leben in unserer Gesellschaft radikal verändert. Nicht nur am

Arbeitsplatz finden wir Rechner und Laptops auf jedem Schreibtisch, auch nahezu in

jedem Haushalt. Die Computer sind weltweit vernetzt. Es können Emails verschickt,

Musik oder Serien gestreamt und E-Books gelesen werden. Diese Datenmengen

werden heutzutage auf USB-Sticks, Festplatten und in Clouds gespeichert.1

Natürlich werden Computer nicht nur in der Arbeitswelt oder im Haushalt, sondern

auch als Tatmittel eingesetzt, um Straftaten zu begehen. Im Bereich der

Computerkriminalität verzeichnet die Polizeiliche Kriminalstatistik (PKS) des

Bundeskriminalamts (BKA) im Jahr 2018 einen Anstieg von 1,8 % der zur Anzeige

gebrachten Fälle im Vergleich zum Vorjahr. Insgesamt lagen 2018 dem BKA 110.475

Fälle vor, in denen technische Mittel zur Straftatbegehung, unter anderem

Computersabotage und Datenveränderung, verwendet worden sind. Auch die

Verbreitung pornografischer Schriften spielt in diesem Bereich eine große Rolle.

Heutzutage werden pornographische Inhalte, neben den heimischen Festplatten oder

Cloud-Speichern, oftmals auch auf Servern in aller Welt gespeichert, um den Zugriff

für einen ausgewählten Personenkreis zu ermöglichen.2

Bei diesen Servern handelt es sich zumeist um einen sogenannten NAS-Server.

Dieser kann ohne allzu große Informatikkenntnisse im privaten Umfeld eingerichtet

und in Betrieb genommen werden und stellt eine kostengünstige Möglichkeit dar, viel

1 Vgl. Böhme/Freiling/Gloe/Kirchner, Multimedia-Forensik als Teildisziplin der digitalen Forensik, 2009, Bonn, S. 1537 - 1551 2 Vgl. Bundeskriminalamt, Polizeiliche Kriminalstatistik 2018, 2018, Wiesbaden

Speicherplatz im privaten oder auch öffentlichen Netzwerk zur Verfügung zu stellen.

Viele Straftaten finden im privaten Bereich statt und solche NAS-Server spielen dabei

eine Rolle, da unzählige Daten darauf enthalten sein könnten. Daher ist das Wissen

um die Analysemöglichkeiten eines NAS-Servers und die diesbezüglich

durchzuführende Vorgehensweise von großer Bedeutung.3 1.2. Problemstellung In dieser Projektarbeit wird auf folgende IT-Forensik Problemstellung eingegangen:

“IT-Forensische Analyse und Auswertung eines NAS-Server unter Verwendung von

Sleuthkit”

Die Arbeit beschäftigt sich mit der Annahme, dass auf einem sichergestellten NAS-

Server der Verdacht auf illegale Pornographie besteht. Der NAS-Server soll

forensisch post-mortem untersucht und analysiert werden. Dabei sollen zwei Bilder

gefunden werden, die den Beschuldigten überführen sollen. Bei dem physischen

NAS-Server handelt es sich um das Betriebssystem Ubuntu 18.10. Die Festplatten

bilden hierbei einen RAID-1-Verbund.

1.3. Vorgehensweise Um die Problemstellung vollständig beantworten zu können, sollen die RAID-

Partitionen wiederhergestellt werden. Danach werden die Informationen auf den

Daten-Partitionen mithilfe forensischer Tools ausgelesen.

Für die Erstellung des forensischen Images wird ewfaquiredie, welches Bestandteil

der Bibliothek libewf ist, verwendet. Für die Analyseschritte wird das forensische Open

Source Tool “Sleuthkit” eingesetzt, auf das im theoretischen Teil der Arbeit noch näher

eingegangen wird. Weitere Programme, die in der Arbeit eingesetzt werden, werden

in der Arbeit direkt erläutert.

3 Vgl. Nasserver-Test.de, Was ist ein NAS Server, 2019

1.4. Abgrenzung Die Beantwortung der Problemstellung wird hauptsächlich mittels dem Open Source

Tool Sleuthkit realisiert. Auf die Möglichkeiten von Analysen mit Sleuthkit wird in

Kapitel 2 kurz eingegangen. Andere forensische Tools zur Untersuchung von

forensischen Images werden in dieser Arbeit nicht berücksichtigt. Zudem beziehen

sich die beschriebenen Erkenntnisse und Vorgehensweisen ausschließlich auf den in

der Problemstellung eingeführten Fall eines physischen NAS-Servers mit dem

Betriebssystem Ubuntu 18.10, bei dem die Festplatten einen RAID-1-Verbund bilden.

1.5. Struktur Die vorliegende Arbeit ist in zwei wesentliche Teile gegliedert. Zunächst soll im

zweiten Kapitel auf den theoretischen Hintergrund der Arbeit eingegangen werden.

Dazu werden in Kapitel 2.1 Begriffe, welche für das Verständnis der Arbeit benötigt

werden, näher definiert und erläutert. Anschließend wird das für die Arbeit verwendete

Forensische Tool “Sleuthkit” vorgestellt. Zuletzt folgt dann eine Beschreibung über die

in der Literatur empfohlene Vorgehensweise bei IT-forensischen Analysen. Kapitel 3

“IT-forensische Analyse” zeigt den praktischen Teil der Arbeit und beantwortet die

unter Kapitel 1.2 definierte Problemstellung. Hierbei werden die vorgenommen

Schritte beschrieben und unter Kapitel 4 zusammengefasst und eine

Schlussfolgerung daraus gezogen. Die Arbeit endet in Kapitel 5 mit einem

Schlusswort und dem Ausblick.

2. Konzeptioneller Rahmen Das nachfolgende Kapitel geht auf den theoretischen Hintergrund der vorliegenden

Arbeit ein. Als erstes werden für das Verständnis wichtige Begriffe erläutert. Daraufhin

folgt die Vorstellung des in der Arbeit verwendeten IT-Forensischen Tools “Sleuthkit”.

Das Kapitel schließt mit der theoretischen Vorgehensweise bei einer IT-forensischen

Analyse ab.

2.1. Definitionen Im folgenden Abschnitt werden wichtige Begriffe definiert und näher erläutert, welche

grundlegend zum Verständnis der vorliegenden Arbeit beitragen sollen. Es wird auf

die Begriffe IT-Forensik, NAS-Server sowie RAID-Systeme eingegangen. 2.1.1. IT-Forensik Der Begriff „IT-Forensik“ kann als forensische Wissenschaft definiert werden. Dewald

und Freiling definieren die forensische Informatik als „Anwendung wissenschaftlicher

Methoden der Informatik auf Fragen des Rechtssystems. Insbesondere stellt die

forensische Informatik Methoden zur gerichtsfesten Sicherung und Verwertung

digitaler Spuren bereit.”4 Mit dieser Definition wird vor allem der wissenschaftliche

Aspekt in der IT-Forensik hervorgehoben. Es existieren zahlreiche Definitionen zur IT-

Forensik. Hierbei werden die Begriffe der Forensischen Informatik, digitalen Forensik,

Computerforensik oder IT-Forensik synonym verwendet.5

Bei den Definitionen wird vor allem hervorgehoben, dass sich die digitale Forensik auf

digitale Beweismittel, beziehungsweise Spuren, beschränkt.6 Der BSI beschreibt die

IT-Forensik als eine “streng methodisch vorgenommene Datenanalyse auf

4 Dewald, Formalisierung digitaler Spuren und ihre Einbettung in die Forensische Informatik, 2012, Erlangen-Nürnberg, S.59; Dewald/Freiling, Forensische Informatik, 2011, Erlangen, S. 49 5 Vgl. Casey, Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, 2011, S.37; Dewald/Freiling, Forensische Informatik, 2011, Erlangen, S. 1; Geschonneck, Computer-Forensik – Computerstraftaten erkennen, ermitteln, aufklären, 2014, S. 2; Freiling/Heckmann/Polák/Posegga, Forensic Computing, in: Dagstuhl Reports (2011), S.1 6 Vgl. Böhme/Freiling/Gloe/Kirchner, Multimedia-Forensik als Teildisziplin der digitalen Forensik, 2009, Bonn, S. 1537 - 1551

Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter

Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der

Sicht des Anlagenbetreibers eines IT-Systems.”7 Durch das streng methodische

Vorgehen ist eine größtmögliche Objektivität bei der forensischen Untersuchung

gegeben, was ein wichtiges Kriterium darstellt. Fehler bei der Durchführung oder

Nichtbeachten von rechtlichen Vorgaben können Konsequenzen für die

Beweisführung vor Gericht haben oder zum Ziehen falscher Schlüsse führen. Die

Forensische Untersuchung darf daher, gemäß den Definitionen, nicht auf

Vermutungen oder Intuition basieren.8

Bei der Analyse lässt sich die IT-Forensik in zwei Bereiche aufteilen, die Post-mortem-

Analyse und die Live-Forensik.9 Die Live-Forensik steht dafür, dass die Untersuchung

bereits während des Vorfalls untersucht wird. Ziel dabei ist, flüchtige Daten wie unter

anderem Hauptspeicherinhalt, gestartete Prozesse und Informationen über

bestehende Netzwerkverbindungen. zu gewinnen und zu analysieren. Bei der Post-

mortem-Analyse wird die Untersuchung erst nach dem Vorfall durchgeführt. Dabei

werden sogenannte Images (Datenträgerabbilder) auf nichtflüchtige Spuren hin

untersucht. Hierbei liegt die Konzentration auf der „Gewinnung und Untersuchung von

gelöschten, umbenannten sowie anderweitig versteckten und verschlüsselten Dateien

von Massenspeichern”.10 2.1.2. NAS-Server Die Abkürzung NAS steht für „Network Attached Storage“, englisch für

netzgebundener Speicher oder Netzlaufwerk. Ein NAS-Server ist somit ein an ein

Netzwerk angeschlossener Datenspeicher, also Datenserver, die einfach zu

7 Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1 (2011), S.8 8 Vgl. Palmer, A Road Map for Digital Forensic Research, in: DFRWS Technical Report (2001), S. 20 9 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1. ( 2011), S.13 10 Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1 (2011), S. 13

verwalten sind.11 Im Allgemeinen wird ein NAS-Server eingesetzt, um einem Netzwerk

Speicherplatz zur Verfügung zu stellen.12

Alle Geräte, welche mit dem Netzwerk verbunden sind, können auf diesen

Speicherplatz zugreifen, Daten lesen und schreiben. Dies spart Speicherplatz und

vereinfacht das Handling großer Datenmengen.13

Neben einem großen Speicherplatz stecken im Gehäuse des NAS-Servers auch ein

Arbeitsspeicher sowie ein Prozessor. Diese sind notwendig, da auf dem Server ein

Betriebssystem installiert ist, welches zum Beispiel für die Zugriffsverwaltung der

Daten benötigt wird.14 Der NAS-Server wird über ein über das Netzwerk

angeschlossenes Gerät verwaltet. Dies sorgt auch dafür, dass der Server unabhängig

von dem verwendeten Betriebssystem bedienbar ist.15 Es existieren unterschiedliche

Modelle von NAS-Servern, welche sich hinsichtlich der Leistung der Komponenten im

Inneren und der Festplatteneinschübe unterscheiden.

Ein NAS-Server hat verschiedene Einsatzzwecke. Zum einen kann der NAS-Server

als Backup-Medium oder auch als Archiv dienen. Zum anderen ist es möglich, von

unterwegs auf den Server und dessen Inhalte zuzugreifen, sofern der NAS-Server mit

dem Internet verbunden ist. Zudem gibt es NAS-Server mit einem eigenen Mail-Server

oder es kann auch über VPN-Verbindungen von außerhalb auf das interne Netzwerk

des Servers zugegriffen werden. Ebenfalls kann ein NAS-Server an eine

Überwachungskamera gekoppelt werden.16

Ab einer Anzahl von zwei Festplatteneinschüben sind NAS-Server grundsätzlich auf

Skalierbarkeit ausgerichtet. „Alle modernen Geräte unterstützen beispielsweise die

11 Vgl. Lubkowitz, Alles über NAS-Server, in: Online PC (2011), Nr. 6, S. 30 f. 12 Vgl. Wikipedia, Network Attached Storage, 2019 13 Vgl. Nasserver-Test.de, Was ist ein NAS Server, 2019 14 Vgl. Lubkowitz, Alles über NAS-Server, in: Online PC (2011), Nr. 6, S. 30 f. 15 Vgl. Nasserver-Test.de, Was ist ein NAS Server, 2019 16 Vgl. Nasserver-Test.de, Was ist ein NAS Server, 2019

diversen RAID-Standards.“17 Zwei identische Festplatten können miteinander

gekoppelt werden und durch die automatische Spiegelung von RAID 1 kann die

Datensicherheit erhöht werden. Durch RAID 0 kann die Geschwindigkeit verdoppelt

werden. 2.1.3. RAID Systeme Der Begriff ist ein Akronym für englisch "redundant array of independent disks", also

"redundante Anordnung unabhängiger Festplatten18. RAID dienen in den meisten

Fällen dazu, Redundanz zu erschaffen. Damit wird bezweckt, dass im Falle eines

Festplattendefekts im NAS-Server keine Daten verloren gehen. Für die Umsetzung

werden mindestens zwei Festplatten in einem RAID-Array betrieben. "Das eine RAID"

gibt es dabei nicht, da Festplatten sich in unterschiedliche RAID-Level aufteilen

lassen19. Im Rahmen dieser Arbeit wird lediglich auf zwei unterschiedliche RAID-

Levels kurz eingegangen.20

RAID 0: Dieses RAID-System ist das einzige, welches auf Performance-Gewinn

ausgelegt ist. Beim Schreiben werden die Daten auf zwei Festplatten aufgeteilt.

Dadurch verdoppelt sich die Schreib- und Lesegeschwindigkeit. Fällt jedoch eine

Festplatte aus, so sind dementsprechend auch die Daten der anderen Festplatte

nutzlos.21

RAID 1: Die Daten werden mit mindestens zwei Festplatten gespiegelt. Daten, die auf

die erste Festplatte geschrieben werden, landen auch auf der zweiten Festplatte. Ein

Nachteil bei RAID 1 ist, dass die verfügbare Speicherkapazität halbiert wird.22

17 Nasserver-Test.de, Was ist ein NAS Server, 2019 18 Wikipedia, RAID, 2019 19 Vgl. Nasserver-Test.de, NAS Server: Einrichtung eines RAIDs, 2018 20 Vgl. Nasserver-Test.de, NAS Server: Einrichtung eines RAIDs, 2018 21 Vgl. Nasserver-Test.de, NAS Server: Einrichtung eines RAIDs, 2018 22 Vgl. Nasserver-Test.de, NAS Server: Einrichtung eines RAIDs, 2018

Abbildung 1 Aufbau Quelle: https://www.elektronik-kompendium.de/sites/com/1312061.htm

2.2. Sleuthkit Im Folgenden Abschnitt soll das IT-forensische Tool Sleuthkit vorgestellt werden,

welches für die IT-forensische Analyse in dieser Arbeit verwendet worden ist. Zuerst

wird erläutert, was das Sleuthkit ist und danach werden noch die wichtigsten Befehle

vorgestellt.

2.2.1. Vorstellung Gemäß Sleuthkit.org handelt es sich beim Sleuthkit um eine „Sammlung von

Befehlszeilentools und eine C-Bibliothek, mit der Datenträgerabbilder analysiert und

Dateien daraus wiederhergestellt werden können.“23 Mit dem Sleuthkit können gemäß

dem Leitfaden „IT-Forensik“ des Bundesamtes für Sicherheit in der

Informationstechnik Datenträgerabbilder untersucht werden. Das Sleuthkit ist eine

Open Source Lösung, welche direkt auf der Website24 heruntergeladen werden kann.

Es werden unterschiedliche Dateisysteme unterstützt (siehe Abbildung 3).

Funktionalitäten des Sleuthkit sind unter anderem „unterschiedliche Arten der

Datensuche oder auch die Möglichkeit zur Erstellung von Zeitlinien anhand von

Dateizugriffszeiten: Mit dieser Funktionalität bietet das Sleuthkit die Grundlage für

zahlreiche andere forensische Werkzeugsammlungen“.25

Mit unterschiedlichen Befehlszeilen lassen sich verschiedene Abfragen tätigen. Der

Sleuthkit-Befehl fls listet Datei- und Verzeichnisnamen im Image auf und kann die

Namen kürzlich gelöschter Dateien innerhalb eines Verzeichnisses anzeigen. Der

Befehl fls –i list zeigt die Image-Formate an, welche von Sleuthkit unterstützt werden

(siehe Abbildung 2). Mit dem Befehl fls –f list lassen sich die durch Sleuthkit

unterstützen Dateisysteme anzeigen (siehe Abbildung 3).

23 Carrier, Sleuthkit, 2009 24 Vgl. Carrier, Sleuthkit, 2009 25 Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1 (2011), S. 215

Abbildung 2 unterstützte Image-Formate Quelle. eigenes Bild

Abbildung 3 unterstützte Dateisysteme 1 Quelle: Eigenes Bild

Mit dem Sleuthkit-Befehl fsstat können folgende Partitionsinformationen ausgegeben

werden:

- Partitionstyp

- Mounted on

- Last mounted

- Cluster Größe

Mit dem Sleuthkit-Befehl mmls kann auf RAW Images, physikalische sowie

forensische (EWF) Image-Formate zugegriffen werden. Mit dem Befehl lässt sich

der Offset analysieren.

Mit dem Sleuthkit Befehl xmount können forensische Images in andere Formate

konvertiert werden. Soll ein ewf-Format in ein vmdk-Format konvertiert werden, würde

folgender Befehl ausgeführt werden:

xmount --in ewf hw_RAID1.E01 --cache /tmp/cache.ovl –-out vmdk /ewf/ Befehlserklärung:

▪ --in: Input Image Format

▪ --cache: Damit wird das Quell-Image virtuell schreibbar. Die Änderungen werden

hierbei nur in die Cache-Overlay-Datei übernommen und das ursprüngliche

Image bleibt unangetastet. Wird zu einem späteren Zeitpunkt das Image mit

dieser vorhandenen Overlay-Datei gestartet, so kann mit dem geänderten Status

gearbeitet werden. Wird mit einer neuen Overlay-Datei gestartet, so beginnt die

Virtualisierung wieder mit dem Originalzustand.

▪ Nach --cache wird der Pfad der Cache-Overlay-Datei angegeben.

▪ --out: Output Image Format. Wenn nicht definiert, wird standardmäßig zu "raw"

konvertiert

▪ Nach --out raw wird der Pfad angegeben, wohin das Image gemounted werden

soll.

2.2.2. Wichtige Befehle für die NAS-Server-Auswertung Nachfolgend werden noch einige Befehle beispielhaft aufgeführt, welche für die

Auswertung eines NAS-Servers verwendet werden können.

Die forensischen Dateien mit der Endung “.E“ werden zusammengefügt und mit dem

mmls-Befehl analysiert. Bei Erfolg werden die Partitionstabellen angezeigt und das

Offset der verschiedenen Partitionen kann damit erhalten werden. Das Argument -B

fügt eine Spalte mit den Partitionsgrößen in Bit ein.

mmls -B disk_sda.E*

Die forensischen Dateien mit der Endung “.E“ werden zusammengefügt und als raw-

Datei im Verzeichnis “/ewf” abgelegt. Das Zeichen “*” dient als Platzhalter, da die

forensischen Dateien unterschiedliche Endungen haben (.E01, .E02, .E03...)

xmount --in ewf disk_sda.E* --cache /tmp/disk_sda.ovl --out raw /ewf

Das Sleuthkit bietet noch viele weitere Befehle, welche jedoch aufgrund des Umfangs

in dieser Arbeit im theoretischen Teil nicht berücksichtigt werden können.

2.3. Vorgehensweise Im praktischen Teil soll die Problemstellung beantwortet werden. Hierbei wird die

Definition zur IT-Forensik beachtet, welche besagt, dass bei einer forensischen

Analyse streng methodisch vorgegangen werden soll, um möglichst objektive

Ergebnisse zu erhalten. Daher wird im Vorfeld kurz das vom BSI-Leitfaden

empfohlene Vorgehen vorgestellt.

Der BSI-Leitfaden teilt die Vorgehensweise bei IT-forensischen Analysen in sechs

Teilbereiche auf:26

- strategische Vorbereitung

- operationale Vorbereitung

- Datensammlung

- Untersuchung

- Datenanalyse

- Dokumentation

Die strategische Vorbereitung stellt eine Maßnahme dar, die vor der eigentlichen

Untersuchung stattfindet. Die Operationale Vorbereitung, Datensammlung,

Untersuchung sowie Datenanalyse finden während der Untersuchung statt und die

Dokumentation erfolgt danach.27

Die strategische Vorbereitung beinhaltet im Wesentlichen die Schritte vor Eintritt eines

Zwischenfalls. Hiermit sind Maßnahmen gemeint, die getroffen werden, um eine

spätere forensische Untersuchung zu unterstützen. Üblich ist die Erstellung eines

Werkzeugkataloges, in welchem forensische Werkzeuge anhand ihrer Eigenschaften

26 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1 (2011), S. 86 27 Vgl. ebd.

aufgeführt sind. Dies soll in dieser Arbeit jedoch nicht näher betrachtet werden, da im

Vorfeld bereits das forensische Tool “Sleuthkit” als Werkzeug festgelegt wurde.28 Die

operationale Vorbereitung stellt den Anfang einer Untersuchung dar. In dieser Phase

wird eine erste Bestandsaufnahme gemacht. Es wird eine Übersicht über das

betroffene Netzwerk und die darin verfügbaren Datenquellen erstellt. Anhand des

Anfangsverdachts wird eine Vorauswahl der potentiell interessanten Daten getroffen.

Dann wird entschieden, wie die Daten forensisch abgesichert werden können.29 Auf

die operationale Vorbereitung folgt die Datensammlung. Geeignete forensische

Werkzeuge werden hierbei aus dem in der strategischen Vorbereitung erstellten

Katalog ausgewählt. Auch wird die Erstellung eines forensischen Duplikats des

betroffenen Speichers erstellt.30 Danach folgt die Untersuchung. Aus den

gesammelten Datenquellen werden die interessanten Daten extrahiert. Dies

geschieht mit den zuvor ausgewählten IT-forensischen Werkzeugen. Nach der

Untersuchung ist in den meisten Fällen noch eine Analyse der

Untersuchungsergebnisse notwendig. Üblicherweise werden in dieser Phase mehrere

Datenquellen zueinander ins Verhältnis gesetzt.

Während allen Phasen ist eine lückenlose Dokumentation unumgänglich. Jeder

Ablauf, Zugriff auf Daten oder ähnliches muss schriftlich festgehalten werden. Eine

sauber durchgeführte Dokumentation während der einzelnen Phasen ist essentiell für

den Abschluss der IT-forensischen Analyse. Denn nach der eigentlichen

Untersuchung wird ein Ergebnisprotokoll erstellt, in welchem die gewonnenen Daten

interpretiert und anschließend dem Adressatenkreis vorgelegt werden. In dem

Protokoll sind sämtliche getroffenen Maßnahmen und deren Ergebnisse ersichtlich.

28 Vgl. ebd. S. 87 29 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1 (2011), S. 87 - 88 30 Vgl. ebd. S. 88 - 89

2.4. Zusammenfassung In diesem Kapitel wurden wichtige Begriffe wie IT-Forensik, NAS-Server sowie RAID-

Systeme erläutert und für den Leser verständlich gemacht. In einem nächsten Schritt

wurde das IT-Forensik Werkzeug Sleuthkit vorgestellt, welches für die Beantwortung

der Problemstellung eingesetzt wird. Hierbei wurden auch wichtige Befehle im

Zusammenhang mit Sleuthkit vorgestellt. Anschließend wurde die bei einer IT-

forensischen Untersuchung vorgeschlagene Vorgehensweise aufgezeigt. Hierbei

wurden alle fünf Phasen kurz aufgezeigt. Für die vorliegende Arbeit sind allerdings

nur die Phasen Datensammlung und Datenanalyse wichtig. Die

“Dokumentationsphase” ist in diesem Fall mit der vorliegenden Arbeit gegeben.

3. IT-Forensische Analyse Im folgenden Kapitel soll die Problemstellung dieser Arbeit beantwortet werden. Der

physische NAS-Server wurde sichergestellt und liegt zur Auswertung vor. Die

Festplatten bilden hierbei einen RAID-1-Verbund.

Um die Problemstellung beantworten zu können, wird die in Kapitel 2.3 vorgegebene

Vorgehensweise befolgt. Da im Vorfeld bereits das Werkzeug “Sleuthkit” festgelegt

wurde, steigt diese Arbeit nach der strategischen und operationalen Phase ein und

beginnt somit mit der Datensammlung.

Es wird eine Post-mortem-Analyse durchgeführt. Zuerst wird die Image-Erstellung

beschrieben, die für die eigentliche Analyse von großer Wichtigkeit ist, da Analyse

ausschließlich auf dem neu gewonnenen Image erfolgt. Darauf folgt die Auswertung

des Images sowie die Zusammenfassung der Erkenntnisse.

3.1. Image-Erstellung Im folgenden Abschnitt wird auf die Image-Erstellung näher eingegangen. Dabei

werden die einzelnen Schritte, welche zur Erstellung eines auswertbaren Images

bearbeitet werden müssen, kurz vorgestellt. Hierbei wird kurz auf die Erstellung eines

Live-Boot-Stick eingegangen und danach die Erstellung des ewf-Images umfassend

erläutert. Anschließend wird das Resultat aufgezeigt. 3.1.1. Erstellung eines Live-Boot-Stick Vom NAS-Server, der als Beweismittel sichergestellt worden ist, muss ein Image

erstellt werden. Zuerst wird eine Live-System-Variante (CLI) mit den nötigen Tools

vorbereitet, um anschließend einen Live-Boot-Stick erstellen zu können.

Ein Live-System steht für ein Betriebssystem, dass „ohne Installation gestartet werden

kann”.31 Dazu wird das gesamte Betriebssystem auf ein entsprechendes, bootfähiges

Speichermedium installiert. Mit diesem Speichermedium ist ein Rechnerstart ohne

31 Wikipedia, Live-System, 2018

vorinstalliertes Betriebssystem möglich. Nach Entfernung des Mediums und einem

darauffolgenden Neustart des Rechners wird der Ursprungszustand

wiederhergestellt, denn das ursprüngliche Betriebssystem auf der Festplatte vom

Live-System/-Rechner wird nicht verändert. Folglich sind alle Daten des Live-Systems

wieder verschwunden, da diese nur in den Hauptspeicher geschrieben wurden.32

Herkömmliche Live-Boot-CDs booten in eine grafische Umgebung. Dort werden

immer die vorhandenen Partitionen automatisch gemountet. Für forensische

Auswertungen sollen nur die Partitionen gemountet werden, welche der Spezialist

benötigt. Dabei gibt es verschieden Live-System-Varianten, sogenannte CLIs

(Command Line Interface), wie zum Beispiel: Sift, Grml, Caine, HPM. 33 Der

Schwerpunkt dieser CLI-Varianten liegt in der Image-Erstellung von Windows-

Rechnern. Für die Image-Erstellung des NAS-Servers wird das Live-System “HPM”

verwendet. Dazu wird zuerst ein USB-Stick bootbar gemacht, damit anschließend das

Live-Boot-System "HPM" auf diesen USB-Stick geklont werden kann. Die einzelnen,

notwendigen Schritte werden im Folgenden näher erläutert.

▪ Der USB-Stick wird an einem freien USB-Port eingesteckt.

▪ Die Windows-Eingabeaufforderung “CMD” wird als Administrator geöffnet.

▪ Das Programm "Diskpart", welches zur Festplattenpartitionierung dient, wird

gestartet. Mit dem nachfolgenden Befehl werden alle von Windows gefundenen

Partitionen aufgelistet: diskpart

▪ Um die vorhandenen Datenträger aufzulisten, wird nachfolgender Befehl

abgesetzt: list disk

▪ Der Datenträger (USB-Stick) wird anschließend ausgewählt: select disk

(Bezeichnung des USB-Sticks) ▪ Der Datenträger wird mit folgendem Befehl bereinigt: clean

▪ Eine primäre Partition muss erstellt und die erstellte Partition ausgewählt werden:

create partition primary

select partition=1

32 Vgl. Wikipedia, Live-System, 2018 33 Vgl. Dipl. Ing. Merkel, Linux-Magazin Online, 2019

▪ Die erstellte Partition muss mit nachfolgendem Befehl als aktiv gesetzt werden:

active

▪ Die Partition wird mit folgendem Befehl formatiert. Es wird hierzu das Dateisystem

fat32 verwendet: format fs=fat32

▪ Ein Laufwerksbuchstabe wird mit folgendem Befehl der Partition zugewiesen:

assign

Der USB-Stick ist nun bootbar und das Programm Diskpart kann geschlossen werden. 34 Nachdem ein bootbarer USB-Stick erstellt worden ist, kann nun das Live-System auf

den USB-Stick kopiert werden. Im vorliegenden Fall handelt es sich bei dem Live-

System um ein Ubuntu 17.04 mit den notwendigen Tools. Nachfolgend soll

beschrieben werden, welche Schritte für die Kopie des Live-Systems auf den

bootfähigen USB-Stick abgearbeitet werden müssen.

- Das Live-Boot-System “HPM”, welches als .iso-Datei zur Verfügung steht, wird in

Windows gemountet. Dazu reicht ein Doppelklick mit der linken Maustaste auf die

Datei.

- Der Befehl xcopy ist eine Eingabeaufforderung, mit der eine oder mehrere Dateien

und / oder Ordner von einem Speicherort an einen anderen Speicherort kopiert

werden können.35 Die optionalen Parameter /S /E dienen dazu alle Dateien,

Verzeichnisse und Unterverzeichnisse (auch leere) zu kopieren

xcopy [Quellmedium]:\*.* [USB-Stick]:\*.* /S /E36

Der vorbereitete USB-Stick wird am NAS-Server eingesteckt und danach das Live-

System von diesem aus gestartet. Zuerst erfolgt die Suche nach der Originalplatte,

welche geklont werden soll, mit dem Befehl fdisk -l (siehe Abbildung 4). Fdisk (für

fixed disk) ist ein Kommandozeilen-Programm zur Partitionierung von Datenträgern37.

34 Vgl. Wikihow.com, Einen USB-Stick bootfähig machen, 2019 35 Vgl. Microsoft, xcopy, 2019 36 Vgl. Dipl. Ing. Merkel, Linux-Magazin Online, 2019 37 Vgl. Ubuntuusers.de, fdisk, 2019

Der Befehl kann zwar auf physikalische Speichermedien und RAW-Images zugreifen,

nicht aber auf forensische Image-Formate wie das Expert Witness Format (EWF). 38

Abbildung 4 Ergebnis nach Befehl: fdisk -l Quelle: Eigenes Bild

Das Ergebnis zeigt, dass das System zwei Disks aufweist:

1. /dev/sda -> physikalische Disk mit einer Grösse von 931.5 GiB

2. /dev/sdb -> physikalische Disk mit einer Grösse von 931.5 GiB

Zusätzliche werden folgende Ergebnisse geliefert:

▪ /dev/sda1,sdb1: Dies ist eine Linux Swap Partition mit der Größe 30MB

38 Vgl. Dipl. Ing. Merkel, Linux-Magazin Online, 2019

▪ /dev/sda2,sdb2: Dies ist eine Linux RAID autodetect Partition mit der Größe 9.3

GiB

▪ /dev/md127 : Hierbei handelt es sich um eine Disk mit einer Größe von 9.3 GiB

Die Bezeichnung “md” lässt darauf schließen, dass es sich um eine virtuelle Disk

handelt, die aus unabhängigen untergeordneten Devices besteht.

Das Ergebnis zeigt, dass es sich hierbei höchstwahrscheinlich um ein Linux-System

handelt mit RAID-Funktionalität. Dies ist anhand der Partitionen /dev/sda1,sdb1 und

/dev/sda2,sdb2 ersichtlich.

Das RAID-System wird im Folgenden weiter untersucht. Dazu wird der Befehl mdadm

-D /dev/md127 angewendet. Das Linux-Hilfsprogramm mdadm (multiple disk

administration) dient zur Verwaltung eines Software RAIDs. Mit dem Programm

können Konfigurationen an RAID-Verbünden durchgeführt werden. Mit dem

Zusatzparameter -D werden zusätzliche Details zu den md-Devices angezeigt und mit

dem Zusatzparameter -Q wird das Ergebnis lesbarer dargestellt (siehe Abbildung 5).39

39 Vgl. Die.net, mdadm(8) – linux man page, 2017

Abbildung 5 Ergebnis nach Befehl: mdadm -D /dev/md127 Quelle: Eigenes Bild

Dieser Befehl liefert die Erkenntnis, dass es sich um ein RAID1-System ohne Spare-

Platte handelt. Zudem weist es zwei Partitionen auf. Die Angabe State: Clean zeigt,

dass das System ohne Fehler läuft.

Das RAID-System wird noch weiter mit dem Befehl cat /proc/mdstat untersucht. Dabei

wird mit dem Linux-Befehl cat der Inhalt der Datei mdstat ausgegeben. Die Datei

mdstat zeigt eine Momentaufnahme des RAID / md-Status des Kernels. Das Ergebnis

(siehe Abbildung 6) zeigt, dass beide Disks aktiv sind (active / UU).

Abbildung 6 Ergebnis nach Befehl:cat /proc/mdstat Quelle: Eigenes Bild

Für IT-Forensiker sind physikalische Zugriffe (Allocated- und Unallocated-Speicher)

für Image-Auswertungen erstrebenswert. Der Allocated-Speicher enthält

normalerweise alle vom System und vom Benutzer generierten Daten. Dies können

Daten sein wie zum Beispiel E-Mail-Nachrichten, Dokumente, Fotos, Protokolldateien,

Datenbankdateien. Der Unallocated-Speicher hingegen ist der Ort, an dem sich

gelöschte Dokumente, Dateisystem-Informationen und andere elektronische

Artefakte auf der Festplatte befinden, die häufig durch forensische Untersuchungen

wiederhergestellt und analysiert werden können. Anders als der Allocated-

Speicherplatz auf der Festplatte kann der elektronische Nachweis im Unallocated-

Speicherplatz mit neuen Daten überschrieben werden und somit vollständig verloren

gehen, wenn der Computer weiterhin verwendet wird.40

Um den Allocated- und den Unallocated-Speicher zu erhalten, wird nachfolgend ein

Image von den physikalischen Platten sda und sdb sowie als Absicherung und für

eine spätere dezidierte Analyse ein Image der logischen Partitionen sda1, sda2, sdb2

mittels des Programms ewfaquire erstellt. Dieses liest Daten aus einer Datei oder

einem Gerät aus und schreibt sie in das EW-Format um. Ewfacquire ist Teil des libewf-

Pakets, welches wiederum eine Bibliothek ist, die das Expert Witness Compression

Format (EWF) unterstützt. 41

Da das Live-System im RAM läuft, kann die Festplatte nicht in ein Verzeichnis auf

dem Live-Linux kopiert werden, sondern muss auf eine externe Festplatte oder über

das Netzwerk kopiert werden, da nach einem Neustart alle Daten verloren gehen

würden. Auf der externen Festplatte muss zumindest ein Dateisystem vorhanden sein,

da die Platte gemountet werden muss.

Nun werden die einzelnen Schritte aufgeführt, die zeigen, wie das EWF-Image erstellt

wird. Dabei wird nur die Erstellung des EWF-Images für die physikalische Disk

40 Vgl. Dipl. Ing. Merkel, Linux-Magazin Online, 2019 41 Vgl. Die.net, ewfacquire(1) – linux man page, 2017

/dev/sda dokumentiert, da der Vorgang für beide Disks (/dev/sda und /dev/sdb)

identisch ist.

Die externe Festplatte wird eingesteckt und mit nachfolgendem Befehl aufgelistet. fdisk -lu

Abbildung 7 Ergebnis nach fdisk -lu Befehl Quelle: Eigenes Bild

Das Ergebnis zeigt die externe Festplatte mit der Bezeichnung /dev/sdd. Sie hat eine

Größe von 1.8 TB. Die externe Festplatte muss anschließend mit dem Linux-Befehl

mount in das System eingebunden werden. Mit dem Zusatzparameter -t wird der Typ

des einzuhängenden Dateisystems definiert. Als Name des Mountpoints wurde die

Bezeichnung “CaseNAS” gewählt. mount -t ntfs-3g /dev/sdd /tmp/CaseNAS/

Das FUSE-Modul "NTFS-3G" ist ein Linux-Kernel-Modul, dass es ermöglicht, den

Dateisystem-Treiber aus dem Kernel-Modus in den User-Modus zu verlagern. Der

ntfs-3g-Treiber ermöglicht es auf einem Linux-System eine NTFS-Partition zu

beschreiben. Dieses wird standardmäßig in der Praxis verwendet, um Images zu

erstellen. Es wird im User-Space geschrieben, was bedeutet, dass langsamer

geschrieben wird als im Kernel-Space. Ist das Erstellen eines Images also zeitkritisch,

sollte das Dateiformat ext4 verwendet werden. Dies ist zeitsparender, da der Kernel

schreibt. Hier gilt es zu beachten, dass dieses Image unter Linux ausgewertet oder

für Windows-Systeme in NTFS konvertiert werden muss.42

Mit folgendem Befehl wird das Dienstprogramm ewfacquire ausgeführt und die

physikalische Disk /dev/sda auf die externe Festplatte im EWF-Format gespeichert.

ewfacquire /dev/sda /tmp/CaseNAS/disk_sda

Abbildung 8 Start des Dienstprogramms ewfacquire Quelle: Eigenes Bild

Um ein forensisch wertvolles EWF-Image zu erhalten, werden verschiedene Angaben

durch das Dienstprogramm ewfacquire abgefragt.

42 Vgl. Dipl. Ing. Merkel, Linux-Magazin Online, 2019

Abbildung 9 Beschreibung des EWF-Images Quelle: Eigenes Bild

Anschließend wird der Erstellungsprozess gestartet.

Abbildung 10 Erstellung des EWF-Images Quelle: Eigenes Bild

Bei der Image-Erzeugung wurde die Erkenntnis gewonnen, dass das NAS-System

nur USB2 unterstützt und somit die Erstellung des EWF-Images viel Zeit in Anspruch

nimmt. Bei großen Systemen wäre die Image-Erstellung mittels ewfaquire daher nicht

die optimale Lösung.

Nachdem die Erstellung der EWF-Images der beiden physikalischen Disks /dev/sda

und /dev/sdb abgeschlossen ist, wird bei genauer Betrachtung der Partitionen

ersichtlich, dass die beiden EWF-Images unterschiedliche Größen aufweisen.

Disk_sda -> 359 gesplittete Dateien à 1.6 GiB, Gesamtgrösse 563.6 GiB (nicht komprimiert)

Disk_sdb -> 334 gesplittete Dateien à 1.6 GiB Gesamtgrösse 524.4 GiB (nicht komprimiert) Auf Nachfrage beim Forensik-Spezialisten Hans-Peter Merkel ist dies darauf

zurückzuführen, dass die Disk /dev/sda im Gegensatz zur Disk /dev/sdb eine Swap-

Partition aufweist. Da diese wie ein Unallocated-Speicher behandelt wird, ist das

Image dieser Partition größer.

Gemäß ewfaquire wurde das Image erfolgreich erstellt und mit der Meldung

“SUCCESS” beendet. Damit das EWF-Image nahezu eindeutig identifiziert werden

kann und vor nachträglichen Veränderungen geschützt ist, wurde zudem ein MD5-

Hashwert der Daten erzeugt (siehe Abbildung 10). Der Hashwert ist ein

alphanumerischer Wert einer bestimmten Größe, der durch eine Hashfunktion

gebildet wird. Mithilfe der Hashfunktion wird eine beliebig lange Zeichenform auf einen

Wert fester Größe abgebildet. Dabei liefert die Funktion auf gleiche Daten immer die

gleichen Werte. Somit kann auf diese Weise unter anderem die Integrität überprüft

werden. Beispielsweise werden bei der Übertragung über ein unsicheres Netz mittels

Integritätsprüfung die Daten auf ihre Beständigkeit hin überprüft.43 So kann

sichergestellt werden, dass die Daten bei der Übertragung nicht verfälscht wurden.

43 E-teaching.org, Hashwert ,2018

3.2. Image-Auswertung Mit der Image-Auswertung folgt die Untersuchungsphase. Hierbei werden die

gesammelten Daten, im vorliegenden Fall das erstellte Image, ausgewertet. Dabei

wird im ersten Teil nur die Auswertung des EWF-Images für die physikalische Disk

/dev/sda dokumentiert, da der Vorgang für beide Disks (/dev/sda und /dev/sdb)

identisch ist.

Die externe Festplatte mit dem auszuwertenden Image wird an einen Linux-Computer

zur Weiterverarbeitung angeschlossen und gemountet. Anschließend können

entsprechende Informationen gesammelt und Auswertungen vorgenommen werden.

Als erstes werden mit dem nachfolgenden Linux-Befehl die gewonnen Files zur

Analyse aufgelistet (siehe Ergebnis in Abbildung 11): ls

Abbildung 11 Auflistung der gewonnen EWF-Image-Files Quelle: Eigenes Bild

Danach werden mittels des nachfolgenden Sleuthkit-Befehls die einzelnen EWF-

Image-Files automatisch zusammengefügt und die jeweiligen Partitionstabellen

angezeigt. Somit kann bestimmt werden, wo jede Partition beginnt. Der Beginn einer

Partition wird mit dem Offset angegeben. Das Offset wird benötigt, um eine Partition

weiter untersuchen zu können. Der Parameter -B fügt eine Spalte mit den

Partitionsgrößen in Bit ein. mmls -B disk_sda.E*

Abbildung 12 Partitionstabelle mit den jeweiligen Offsets, welche den Anfang der Partition bezeichnen Quelle: Eigenes Bild

Die Informationen, welche durch Sleuthkit mittels mmls-Befehl gesammelt wurden,

bestätigen, dass es sich um ein Linux-RAID-System handelt, da die Beschreibung der

Partitionstyp-GUID als Linux RAID (0xfd) bezeichnet wird (Abbildung 12). Die Partition

mit dem Offset 63488 beinhalten wahrscheinlich die System- und Userdaten und wird

demzufolge nachstehend weiter untersucht.

Mit dem folgenden Sleuthkit-Befehl wird versucht, einen physikalischen Zugriff auf das

Dateisystem zu erlangen: fls -o 63488 disk_sda.E* Mit dem Parameter “-o” wird der

entsprechende Offset festgelegt.

Abbildung 13 Rückmeldung nach fls-Befehl Quelle: Eigenes Bild

Es ist ersichtlich, dass das Dateisystem nicht physikalisch auswertbar ist, weil die

Partitionstabelle mit den Informationen über die Partitionen nicht erkannt wurde. In

einem RAID-System wird der MBR (Master Boot Record) nicht an der üblichen

Position gespeichert. Deshalb wird ein weiterer Ansatz gewählt und ein logischer

Zugriff angestrebt.

Um einen logischen Zugriff zu erhalten, müssen die EWF-Image-Files konvertiert und

anschließend gemountet werden. Mit dem Sleuthkit-Befehl xmount können die EWF-

Image-Files zusammengefügt und in das RAW-Format gebracht werden. Der

Parameter “--in” verlangt als Argument das Eingabeformat (hier ewf, da es sich um

EWF-Image-Files handelt). Mit dem Parameter “--out” wird das Ausgabeformat (hier

raw) bestimmt. Als Erstes wird die Disk /dev/sda mit dem xmount-Befehl konvertiert.

xmount --in ewf disk_sda.E* --cache /tmp/disk_sda.ovl --out raw /ewf

Daraufhin wird die Disk /dev/sdb konvertiert.

xmount --in ewf disk_sdb.E* --cache /tmp/disk_sdb.ovl --out raw /ewf2

Nachdem die Konvertierung abgeschlossen ist, wird in das Verzeichnis "ewf"

gewechselt, worin das konvertierte Image der Disk /dev/sda liegt: cd /ewf

Mit dem Befehl mmls werden die jeweiligen Partitionstabellen angezeigt (siehe

Abbildung 14): mmls -B disk_sda.dd

Abbildung 14 Informationen zu den Partitionstabellen der Disk /dev/sda Quelle: Eigenes Bild

Auch im Verzeichnis “ewf2” wird mit dem mmls-Befehl die Partitionstabellen der Disk

/dev/sdb angezeigt: mmls -B disk_sdb.dd

Abbildung 15 Informationen zu den Partitionstabellen der Disk /dev/sdb Quelle: Eigenes Bild

Da Festplatten mit mehreren Partitionen nicht gemountet werden können, wird ein

Loop-Device erstellt, welches es ermöglicht, logischen Zugriff auf das Image zu

erhalten.44 Ein Loop-Device ist hierbei ein Pseudo-Gerät (eigentlich nur eine Datei),

das als blockbasiertes Gerät fungiert.45 Mittels des nachfolgenden Kommandos wird

ein Loop-Device vom konvertierten Image “disk_sda.dd” im Pfad “/dev/loop1” erstellt.

Der Parameter “-o” wird wiederum verwendet, um den Zugriff auf die gewünschte

44 Vgl. Dipl. Ing. Merkel, Linux-Magazin Online, 2019 45 Vgl. Unix & Linux, What is a „loop device” when mounting?, 2018

Partition zu erhalten. Um den Versatz zu erhalten, an dem der Mount erfolgen soll,

muss der Startsektor mit der Sektorengröße (hier 512) multipliziert werden (Abbildung

14): losetup -o $((63488*512)) /dev/loop1 /ewf/disk_sda.dd

Anschließend wird noch das Loop Device vom konvertierten Image “disk_sdb.dd” im

Pfad “/dev/loop2” erstellt: losetup -o $((63488*512)) /dev/loop2 /ewf2/disk_sdb.dd

Um den Status aller Loop Devices abfragen zu können, wird folgender Befehl

abgesetzt: losetup -a

Abbildung 16 Informationen zu allen Loopdevices Quelle: Eigenes Bild

Es ist ersichtlich, dass die Loop Devices erfolgreich erstellt wurden. Darauffolgend soll

versucht werden, die Partition disk_sda.dd ins Verzeichnis /mnt zu mounten, um

Zugriff darauf zu erhalten.

Abbildung 17 Informationsmeldung nach Mount-Versuch der Partition Quelle: Eigenes Bild

Es zeigt sich, dass das Loop Device nicht gemountet werden kann, da das

Dateisystem nicht erkannt wurde (Abbildung 17). Da es sich um ein RAID-System

handelt, kann eine Partition nicht ohne weiteres gemountet werden. Dazu muss zuerst

das RAID-Array zusammengestellt werden. Nachfolgend soll daher aufgezeigt

werden, wie dazu die Disk /dev/sda und die Disk /dev/sdb aufbereitet werden.

Als erstes wird der RAID-Status von der Disk /dev/sda ausgelesen. Im Verzeichnis

/dev/loop1 wird folgender Befehl ausgeführt: cat /proc/mdstat

Abbildung 18 RAID-Status /dev/sda Quelle: Eigenes Bild

Als nächstes wird das RAID von der Disk /dev/sda mit dem Linux-Hilfsprogramm

mdadm gestoppt: mdadm --stop /dev/md127

Abbildung 19 Meldung nach stoppen des RAIDs Quelle: Eigenes Bild

Es wird wieder der RAID-Status von der Disk /dev/sda ausgelesen, um zu überprüfen

ob das RAID gestoppt wurde: cat /proc/mdstat

Abbildung 20 RAID-Status von Disk /dev/sda nach stoppen des RAIDs Quelle: Eigenes Bild

Nach derselben Arbeitsweise wird mit der Disk /dev/sdb verfahren. Als Erstes wird der

RAID-Status von Disk /dev/sdb ausgelesen. Im Verzeichnis “/dev/loop2” wird

folgender Befehl ausgeführt: cat /proc/mdstat

Abbildung 21 RAID-Status /dev/sdb Quelle: Eigenes Bild

Als nächstes wird das RAID von der Disk /dev/sdb mit dem Linux-Hilfsprogramm

mdadm gestoppt: mdadm --stop /dev/md127

Abbildung 22 Meldung nach stoppen des RAIDs Quelle: Eigenes Bild

Es wird wieder der RAID-Status von der Disk /dev/sdb ausgelesen, um zu überprüfen,

ob das RAID gestoppt wurde: cat /proc/mdstat

Abbildung 23 RAID-Status von Disk /dev/sdb nach stoppen des RAIDs Quelle: Eigenes Bild

Mit dem anschließenden Befehl werden die beiden Images zusammengesetzt und der

RAID-Verbund gestartet. Mit den Parametern --assemble und --scan werden alle

angeschlossenen Festplatten/Partitionen nach Superblöcken durchsucht und die

gefundenen Arrays gestartet. Der Parameter --scan gibt im Allgemeinen mdadm die

Berechtigung, fehlende Informationen wie Komponenten-Geräte, Array-Geräte und

Array-Identitäten aus der Konfigurationsdatei abzurufen46: mdadm --assemble -scan

46 Vgl. Man2html, Maintenance Commands (8)– MDADM, 2019

Abbildung 24 RAID-Verbund wurde gestartet Quelle: Eigenes Bild

In Abbildung 27 ist ersichtlich, dass mdadm den RAID-Verbund erfolgreich starten

konnte. Anschließend werden mit dem Kommandozeilen-Programm „fdisk“ die Disks

überprüft. Mit der Angabe “-lu” werden Informationen zu MBR-Partitionen mit

Einheitsanzeigen als Sektoren aufgelistet: fdisk -lu

Abbildung 25 Überprüfung der Disks Quelle: Eigenes Bild

Die Partition /dev/md127 wird als physikalische Partition angezeigt. Mit dem Linux-

Tool „blkid“ lassen sich weitere wichtige Informationen wie Identifikationsnummer,

Name und Dateisystem anzeigen. Um weitere Informationen zu erhalten, wird

nachfolgender Befehl abgesetzt: blkid /dev/md127

Abbildung 26 Partitionsinformationen erlangen Quelle: Eigenes Bild

Damit erhält man die wichtige Information, dass es sich hierbei um ein ext4-

Dateisystem handelt. Somit kann nun versucht werden, die RAID-Partition zu

mounten. Dazu wird zuerst ein Ordner erstellt, in welchem der Mountpoint liegen wird:

mkdir /md127

Anschließend kann die RAID-Partition gemountet werden: mount /dev/md127 /md127

Mit dem Befehl ls -lah wird der Inhalt der RAID-Partition aufgelistet. Die Parameter -

lah dienen dazu, das Ergebnis von ls als Liste aufzuführen, auch versteckte Dateien

anzuzeigen und die Größe der Files “Human readable” anzugeben. ls -lah

Abbildung 27 Inhalt des RAID-Verbundes Quelle: Eigenes Bild

Der RAID-Verbund konnte erfolgreich gemountet werden und ein Zugriff darauf ist

möglich. Nun kann damit begonnen werden, nach Beweismitteln zu suchen. Dazu gibt

es viele unterschiedliche IT-forensische Ansätze. Da ein verhärteter Verdacht besteht,

dass sich illegale pornographische Inhalte auf dem NAS-Server befinden, wird als

erstes nach Bildern im RAID-Verbund /dev/md127 gesucht. Der anschließende Befehl

find sucht in allen Ordnern nach Dateien, die mit .jpg, .jpeg, .JPG und .JPEG enden.

Diese von find generierte Liste wird an das Kommando xargs übergeben, das

daraufhin für jeden Eintrag das Kommando md5sum ausführt, sprich für jede Datei

einen Hashwert erstellt und diesen in die Textdatei “Bilder.txt” speichert.

find . -name '*.jpg' -o -name '*.jpeg' -o -name '*.JPG' -o -name '*.JPEG' | xargs

md5sum >/tmp/Bilder.txt

Anschließend wird der Inhalt der Textdatei “Bilder.txt” mit dem Befehl cat angezeigt:

cat /tmp/Bilder.txt

Abbildung 28 Inhalt der Textdatei Bilder.txt Quelle: Eigenes Bild

Es werden mehrere Bilder aufgelistet. Um nun die relevanten von den irrelevanten

Bilddateien unterscheiden zu können, setzen IT-Forensiker gewöhnlich spezielle

Programme ein, die aus der Farbverteilung eines Bildes dessen Hashwert berechnen.

Wie bereits erläutert, fungiert ein Hashwert als eindeutiges Identifikationsmerkmal.

Damit lassen sich Bilder miteinander vergleichen. Nicht nur

Strafverfolgungsbehörden, sondern auch private Unternehmen, wie Microsoft oder

Google, besitzen Datenbanken mit berechneten Hashwerten von bereits bekannten

pornographischen Bilddateien. Folglich ist ein Abgleich der gefundenen Bilder auf

dem NAS-Server mit denen in einer solchen Datenbank gespeicherten Hashwerten

nur logisch. Damit kann die Anzahl der relevanten Treffer bei einer großen

Datenmenge eingegrenzt werden. 47

Aufgrund dessen, dass unsere exemplarisch ausgewählten Bilder keinem illegalen

pornographischen Inhalt entsprechen und den Verfassern dieser Arbeit eine solche

Datenbank nicht zugänglich ist, kann ein Hashwert-Abgleich praktisch nicht realisiert

werden. Daher wurden die vorliegenden Bilddateien einzeln überprüft. Darunter

befanden sich zwei Bilder mit illegalem, pornographischem Inhalt (siehe Abbildung

32).48

Abbildung 29 Bilder mit illegalem, pornographischem Inhalt Quelle: Eigenes Bild Abbildung 30 Bilder mit illegalem, pornographischem Inhalt Quelle: Eigenes Bild

Diese werden gesichert und die IT-forensische Arbeit im Rahmen dieser Arbeit und

der zu beantworteten Problemstellung beendet.

Im Anschluss an die Analyse würde die Dokumentation erstellt werden, welche in

diesem Fall in Form dieser Arbeit vorliegt. In einem forensischen Arbeitsumfeld würde

die Dokumentation, welche bereits während der verschiedenen Phasen stattgefunden

hat, nochmals auf Lücken hin überprüft und auch das Ergebnis genauestens

dokumentiert werden, sodass ein möglichst objektives Bild entsteht. Diese

47 Zeit.de, Google und Microsoft fahnden nach Kinderpornografie, 2013 48 Anmerkung: Die zwei Bilddateien wurden im Vorfeld ausgewählt und als illegale pornografische Bilddateien festgelegt.

Dokumentation kann in der Form unterschiedlich sein und richtet sich nach der

jeweiligen Adressatengruppe.49

3.3. Zusammenfassung In diesem Kapitel wurde die Problemstellung bearbeitet und die einzelnen Schritte

erläutert. Als Erstes wurde ein Image erstellt. Die Datengröße der Speichermedien

kann hierbei eine Schwierigkeit darstellen. Anders als das behandelte NAS-System

haben handelsübliche Home NAS-Systeme heutzutage mehrere Terabytes an

Diskspeicher. Dementsprechend benötigt eine komplette Extrahierung aller Daten

nicht nur eine große Menge an Speicherplatz, sondern auch eine enorme Zeitspanne

für die Datensicherung. Ebenso lässt sich sagen, dass die Image-Auswertung von

RAID-Systemen aufwendiger ist, als man es von herkömmlichen Speichermedien

gewohnt ist, da erst das RAID-Array zusammengestellt werden muss, bevor die

Partitionen gemountet werden können. Bei der anschließenden Suche nach Bildern

mit pornographischem Inhalt konnten zwei Bilder sichergestellt werden. Hierbei

unterscheidet sich die Suche kaum von der Vorgehensweise bei konventionellen

Datenträgern. Die in der vorliegenden Arbeit angewendeten Befehle können daher

auch bei solchen Datenträgern angewendet werden. Die Suche nach den Bildern

wurde im Rahmen dieser Arbeit exemplarisch durchgeführt. Um weitere Hinweise auf

illegale Aktivitäten im pornographischen Umfeld zu erhalten, empfiehlt es sich auch

nach Benutzernamen, Passwörtern und Accounts auf den Speichermedien zu

suchen. Zudem könnten der Emailverkehr, die Browser- sowie Chatverläufe, falls

vorhanden, durchsucht werden. Hierdurch könnten sich Anhaltspunkte auf eventuelle

Mittäter oder illegale Foren o. Ä. ergeben. Neben den zuvor erwähnten alternativen

Suchansätzen sollte nach der Analyse des Allocated- auch der Unallocated-Speicher

ausgewertet werden, da sich auch hier noch relevante Informationen wie gelöschte

Dokumente, Dateisystem-Informationen und andere elektronische Artefakte auf der

Festplatte finden lassen. Diese Arbeitsschritte wurden im Rahmen dieser Arbeit nicht

realisiert, da diese den Umfang überschreiten würden.

49 Vgl. Bundesamt für Sicherheit in der Informationstechnik, Leitfaden “IT-Forensik”, Version 1.0.1 (2011), S. 253

4. Schlussfolgerungen und Empfehlung Die Problemstellung “IT-Forensische Analyse und Auswertung eines NAS-Server

Webservers unter Verwendung von Sleuthkit” konnte beantwortet werden. Die

vorliegende Arbeit hat beschrieben, wie vom NAS-Server ein Image erstellt werden

kann und hat die anschließende notwendige Vorgehensweise, um illegale

pornographische Bilder auffinden zu können. Bei der Bearbeitung der

Problemstellung wurde erkannt, dass die Schwierigkeit in der Image-Auswertung von

NAS-Servern in einem RAID-Verbund vor allem bei der vorhergehenden Image-

Erstellung liegt. Diese gestaltet sich um einiges aufwendiger als die Image-Erstellung

von herkömmlichen Speichermedien, da vor dem Mounten der Partitionen zuerst ein

RAID-Array zusammengestellt werden muss. Bei der Suche nach Bildern mit

pornographischem Inhalt in dieser Arbeit, konnten zwei Bilder sichergestellt werden.

Hierbei unterscheidet sich die Suche kaum von der Vorgehensweise bei

konventionellen Datenträgern. Die in der vorliegenden Arbeit angewendeten Befehle

können daher auch bei solchen Datenträgern angewendet werden. IT-Forensiker

setzen für gewöhnlich spezielle Programme ein, um die relevanten Bilder von den

irrelevanten Bilddateien unterscheiden zu können. Diese Programme können wie im

vorherigen Kapitel bereits beschrieben aus der Farbverteilung eines Bildes dessen

Hashwert berechnen. Damit lassen sich die Hashwerte der aufgefundenen Bilder mit

denen in einer bereits existierenden Datenbank berechneten Hashwerten abgleichen.

Dieses Vorgehen wurde in der vorliegenden Arbeit aufgrund der als illegal

pornografisch definierten Bilder, welche keinen hohen Anteil an hautfarbenen Pixeln

aufweisen, nicht realisiert. In einem weiteren Schritt könnte noch der Unallocated

Speicher ausgewertet werden, dieser Schritt war im Rahmen der Arbeit nicht

notwendig, da die Bilder bereits im Allocated Speicher aufgefunden wurden.

Die vorliegende Arbeit bietet viel Raum für weiterführende Themen. Zum Beispiel

könnte mittels log2timeline.py eine sogenannte Supertimeline erstellt werden, welche

Auskunft zu den Dateien auf einem Datenträger bezüglich MAC(b)50-Zeiten geben

kann. Log2timeline bindet dabei zusätzlich auch Informationen über den

Browserverlauf, EXIF-Informationen oder Registry-Informationen in eine einzige

Timeline ein. Weiterhin könnten auch Exif-Metainformationen51 ausgelesen, ein ewf

in eine virtuelle Festplatte52 umgewandelt oder auch eine Image-Auswertung mittels

Autopsy53 erstellt werden. Es gibt noch unzählige weitere Möglichkeiten, die auf dem

Grundstein dieser Arbeit aufgebaut werden könnten. Da immer neue Technologien

für das Auffinden von Informationen aber auch für das Verschwindenlassen solcher

kreiert werden, müssen sich die IT-Forensiker stets auf dem aktuellen Wissensstand

halten.

50 Anmerkung: MAC(b) -Zeiten werden von Dateisystem-Metadaten (Modified, Accessed, Changed, Birth (Erstellung der Datei)) abgeleitet. Das (b) steht in Klammern, da nicht alle Dateisysteme das Erstellungsdatum aufzeichnen. Vgl. ForensicsWiki, MAC Times, 2015 51 Anmerkung: z.B. Geo-Koordinaten oder auch Kameratyp. Vgl. Wikipedia, Exchangeable Image File Format, 2019 52 Anmerkung: Hilfreich, um Snapshots zu erstellen, die in einen gerichtsverwertbaren Bericht eingefügt werden könnten. Vgl. Dipl. Ing. Merkel, Hans-Peter, Linux-Magazin Online, Mit Xmount alle gängigen Imageformate in Virtualisierungen verwenden, 2009 53 Anmerkung: Autopsy ist eine Computersoftware mit einer grafischen Oberfläche, mit der sich viele Sleuth-Kit Befehls-Ergebnisse grafisch anzeigen lassen. Vgl. Carrier, Sleuthkit, 2009

Abbildungsverzeichnis

Abbildung 1 Aufbau Quelle: https://www.elektronik-kompendium.de/sites/com/1312061.htm 13

Abbildung 2 unterstützte Image-Formate Quelle. eigenes Bild 15

Abbildung 3 unterstützte Dateisysteme 1 Quelle: Eigenes Bild 15

Abbildung 4 Ergebnis nach Befehl: fdisk -l Quelle: Eigenes Bild 26

Abbildung 5 Ergebnis nach Befehl: mdadm -D /dev/md127 Quelle: Eigenes Bild 28

Abbildung 6 Ergebnis nach Befehl:cat /proc/mdstat Quelle: Eigenes Bild 28

Abbildung 7 Ergebnis nach fdisk -lu Befehl Quelle: Eigenes Bild 30

Abbildung 8 Start des Dienstprogramms ewfacquire Quelle: Eigenes Bild 31

Abbildung 9 Beschreibung des EWF-Images Quelle: Eigenes Bild 32

Abbildung 10 Erstellung des EWF-Images Quelle: Eigenes Bild 32

Abbildung 11 Auflistung der gewonnen EWF-Image-Files Quelle: Eigenes Bild 34

Abbildung 12 Partitionstabelle mit den jeweiligen Offsets, welche den Anfang der Partition

bezeichnen Quelle: Eigenes Bild 35

Abbildung 13 Rückmeldung nach fls-Befehl Quelle: Eigenes Bild 35

Abbildung 14 Informationen zu den Partitionstabellen der Disk /dev/sda Quelle: Eigenes Bild 36

Abbildung 15 Informationen zu den Partitionstabellen der Disk /dev/sdb Quelle: Eigenes Bild 37

Abbildung 16 Informationen zu allen Loopdevices Quelle: Eigenes Bild 37

Abbildung 17 Informationsmeldung nach Mount-Versuch der Partition Quelle: Eigenes Bild 38

Abbildung 18 RAID-Status /dev/sda Quelle: Eigenes Bild 38

Abbildung 19 Meldung nach stoppen des RAIDs Quelle: Eigenes Bild 38

Abbildung 20 RAID-Status von Disk /dev/sda nach stoppen des RAIDs Quelle: Eigenes Bild 38

Abbildung 21 RAID-Status /dev/sdb Quelle: Eigenes Bild 39

Abbildung 22 Meldung nach stoppen des RAIDs Quelle: Eigenes Bild 39

Abbildung 23 RAID-Status von Disk /dev/sdb nach stoppen des RAIDs Quelle: Eigenes Bild 39

Abbildung 24 RAID-Verbund wurde gestartet Quelle: Eigenes Bild 40

Abbildung 25 Überprüfung der Disks Quelle: Eigenes Bild 40

Abbildung 26 Partitionsinformationen erlangen Quelle: Eigenes Bild 41

Abbildung 27 Inhalt des RAID-Verbundes Quelle: Eigenes Bild 42

Abbildung 28 Inhalt der Textdatei Bilder.txt Quelle: Eigenes Bild 43

Abbildung 29 Bilder mit illegalen pronografischen Inhalt Quelle: Eigenes Bild 44

Abbildung 30 Bilder mit illegalen pronografischen Inhalt Quelle: Eigenes Bild 44

Literaturverzeichnis

Bundesamt für Sicherheit in der Informationstechnik(2011), Leitfaden „IT-Forensik“, Version

1.0.1.,https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-

Sicherheit/Themen/Leitfaden_IT-Forensik.pdf?__blob=publicationFile&v=2, letzter Zugriff 10.07.2019

Bundeskriminalamt (2019), Polizeiliche Kriminalstatistik 2018,

https://www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/PolizeilicheKriminalstatistik/PKS2

018/pks2018_node.html;jsessionid=B4DF471450BC25632DA0BB9BCABCB83A.live0611), letzter

Zugriff 13.07.2019

Böhme, Rainer; Freiling, Felix C.; Gloe, Thomas; Kirchner, Matthias: Multimedia-Forensik als

Teildisziplin der digitalen Forensik. In: Informatik 2009: Im Focus das Leben, Beiträge der 39.

Jahrestagung der Gesellschaft für Informatik e.V. (GI), Bonn: Gesellschaft für Informatik e.V. (GI),

2009, S. 1537–1551

Carrier, Brian (2019), Sleuthkit, https://www.sleuthkit.org/, letzter Zugriff 13.07.2019

Casey, Eoghan: Digital Evidence and Computer Crime: Forensic Science, Computers, and the

Internet., In: Academic Press, London: Elsevier inc., 2011

Dewald, Andreas: Formalisierung digitaler Spuren und ihre Einbettung in die Forensische Informatik.

Erlangen/Nürnberg, Friedrich-Alexander-Universität, IT-Sicherheitsinfrastrukturen, Dissertation, 2012

Dewald, Andreas; Freiling, Felix: Forensische Informatik. 2. Auflage, o. Erlangen: Books on Demand,

2011, ISBN 978-3-84237-947-3

Die.net (2017), mdadm(8) – linux man page, https://linux.die.net/man/8/mdadm, letzter Zugriff

13.07.2019

Die.net (2017), ewfacquire(1) – linux man page, https://linux.die.net/man/1/ewfacquire, letzter Zugriff

13.07.2019

Dipl. Ing. Merkel, Hans-Peter (2009), Linux-Magazin Online, https://www.linux-

magazin.de/ausgaben/2009/10/kreuz-und-quer/, letzter Zugriff 17.07.2019

Dipl. Ing. Merkel, Hans-Peter (2009), Linux-Magazin Online,

https://www.linux-magazin.de/ausgaben/2014/11/xmount-0-7/, letzter Zugriff 17.07.2019

E-teaching.org (2018), Hashwert https://www.e-teaching.org/materialien/glossar/hashwert, letzter

Zugriff 15.07.2019

ForensicsWiki (2015), MAC times, https://forensicswiki.org/wiki/MAC_times, letzter Zugriff 17.07.2019

Freiling, Felix C.; Heckmann, Dirk; Polcák, Radim; Posegga, Joachim: Forensic Computing.

(Dagstuhl Seminar 11401). In: Dagstuhl Reports, Dagstuhl: Schloss Dagstuhl – Leibniz-Zentrum für

Informatik, 2011, S. 1

Gesellschaft für Informatik e. V. (2011), Faszination Informatik,

https://gi.de/meldung/faszination-informatik-und-ueberall-steckt-der-computer-drin, letzter Zugriff

13.07.2019

Geschonneck, Alexander: Computer-Forensik – Computerstraftaten erkennen, ermitteln, aufklären. 6.

Auflage, Heidelberg: dpunkt.verlag, 2014, ISBN 978-3-86490-133-1

Lubkowitz, Mark: Alles über NAS-Server. In: Online PC (Juni 2011 Nr.6), S. 30 – 33

Man2html (2019), Maintenance Commands (8) – MDADM, http://derpi.tuwien.ac.at/cgi-

bin/man/man2html?8+mdadm, letzter Zugriff 14.07.2019

Microsoft (2019), xcopy, https://docs.microsoft.com/en-us/windows-server/administration/windows-

commands/xcopy. Letzter Zugriff 13.07.2019

Nasserver-Test.de (2018), NAS Server: Einrichtung eines RAIDs,

https://nasserver-test.de/einrichtung-eines-RAIDs/, letzter Zugriff 13.07.2019

Nasserver-Test.de (2019), Was ist ein NAS Server,

https://nasserver-test.de/was-ist-ein-nas-server/, letzter Zugriff 13.07.2019

Palmer, Gary: A Road Map for Digital Forensic Research: Report From the First Digital Forensic

Research Workshop (DFRWS). In: DFRWS Technical Report (06.011.2001), New York: The Mitre

Corporation

Wikihow.com (2019), Einen USB-Stick bootfähig machen, https://de.wikihow.com/Einen-USB-Stick-

bootf%C3%A4hig-machen, Letzter Zugriff 13.07.2019

Wikipedia (2019), Exchangeable Image File Format,

https://de.wikipedia.org/wiki/Exchangeable_Image_File_Format, letzter Zugriff 17.07.2019

Wikipedia (2018), Live-System,

https://de.wikipedia.org/wiki/Live-System, letzter Zugriff 13.07.2019

Wikipedia (2019), Network Attached Storage,

https://de.m.wikipedia.org/wiki/Network_Attached_Storage, letzter Zugriff 13.07.2019

Ubuntuusers.de (2019), fdsik, https://wiki.ubuntuusers.de/fdisk/, letzter Zugriff 13.07.2019

Unix & Linux (2018), What is a „loop device” when mounting?,

https://unix.stackexchange.com/questions/4535/what-is-a-loop-device-when-mounting, letzter Zugriff

13.07.2019

Zeit.de (2013), Google und Microsoft fahnden nach Kinderpornografie,

https://www.zeit.de/digital/internet/2013-12/google-microsoft-filter-kinderpornografie, letzter Zugriff

15.07.2019