COMPUTER FORENSIK HACKS - download.e- ?· COMPUTER-FORENSIK HACKS Lorenz Kuhlee Victor Völzow Beijing…

  • Published on
    23-Jul-2018

  • View
    214

  • Download
    1

Embed Size (px)

Transcript

  • COMPUTERFORENSIKHACKS

    TM

    Lorenz Kuhlee & Victor Vlzow

  • Forensik.book Seite II Freitag, 27. April 2012 2:17 14

  • COMPUTER-FORENSIK

    HACKS

    Lorenz KuhleeVictor Vlzow

    Beijing Cambridge Farnham Kln Sebastopol Tokyo

    TM

    Forensik.book Seite III Freitag, 27. April 2012 2:17 14

  • Die Informationen in diesem Buch wurden mit grter Sorgfalt erarbeitet. Dennoch knnen Fehler nicht vollstndig ausgeschlossen werden. Verlag, Autoren und bersetzer bernehmen keine juristische Verantwortung oder irgendeine Haftung fr eventuell verbliebene Fehler und deren Folgen.Alle Warennamen werden ohne Gewhrleistung der freien Verwendbarkeit benutzt und sind mglicherweise eingetragene Warenzeichen. Der Verlag richtet sich im Wesentlichen nach den Schreibweisen der Hersteller. Das Werk einschlielich aller seiner Teile ist urheberrechtlich geschtzt. Alle Rechte vorbehalten einschlielich der Vervielfltigung, bersetzung,Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.

    Kommentare und Fragen knnen Sie gerne an uns richten:OReilly VerlagBalthasarstr. 8150670 KlnE-Mail: kommentar@oreilly.de

    Copyright der deutschen Ausgabe: 2012 by OReilly Verlag GmbH & Co. KG1. Auflage 2012

    Die Darstellung eines Mikroskops im Zusammenhang mit dem Thema Computer-Forensik ist ein Warenzeichen von OReilly Media, Inc.

    Bibliografische Information Der Deutschen NationalbibliothekDie Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet ber http://dnb.d-nb.de abrufbar.

    Lektorat: Volker Bombien, KlnFachliche Begutachtung: Prof. Dr. Felix FreilingKorrektorat: Eike Nitz, KlnSatz: III-satz, Husby, www.drei-satz.deUmschlaggestaltung: Michael Oreal, KlnProduktion: Andrea Mi, KlnBelichtung, Druck und buchbinderische Verarbeitung: Druckerei Ksel, Krugzell; www.koeselbuch.de

    ISBN 978-3-86899-121-5

    Dieses Buch ist auf 100% chlorfrei gebleichtem Papier gedruckt.

    Forensik.book Seite IV Freitag, 27. April 2012 2:17 14

  • | V

    Vorwort und Danksagungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IX

    Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIII

    Kapitel 1. Datensicherung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11. Woran Sie denken sollten 2

    2. So subern Sie Ihre Backup-Datentrger 5

    3. Bevor es zu spt ist RAM sichern 7

    4. RAM sichern trotz Passwortsicherung 9

    5. Wenn nichts mehr hilft: Cold Boot 11

    6. Weitere flchtige Daten richtig sichern 16

    7. Automatisieren Sie Live-Sicherungen mit Skripten 18

    8. So sichern Sie Daten auf der Kommandozeile 21

    9. Wenn Sie doch eine GUI bevorzugen 22

    10. Vertrauen ist gut, Kontrolle ist besser 25

    11. Boot DVDs fr die Datensicherung 27

    12. Aus der Ferne sichern 29

    13. Aus der Ferne sicher sichern 33

    14. Wenn Ihnen das Format nicht passt 35

    Kapitel 2. Dateisysteme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3915. Analysieren Sie den Master Boot Record 40

    16. Identifizieren Sie verschiedene FAT-Dateisysteme 43

    17. Das Prinzip gelschter Dateien unter NTFS 45

    18. Wie Sie Zeitstempel einer Datei validieren 46

    Inhalt

    Forensik.book Seite V Freitag, 27. April 2012 2:17 14

  • VI | Inhalt

    19. So identifizieren Sie unter NTFS die Eigenschaften einer gelschten Datei 49

    20. Wie ein Puzzle: Setzen Sie trotz Fragmentierung gelschte Dateien wieder zusammen 51

    21. Wenn Dateien keine Dateien sind 55

    22. Der Slack-Bereich 58

    23. Welche Daten Sie sonst noch in der MFT finden knnen 60

    24. Schreiben Sie Ihren eigenen MFT-Eintragsparser 62

    25. Der Unterschied zwischen Hard- und Soft-Link 70

    Kapitel 3. Analyse und Wiederherstellung von Daten . . . . . . . . . . . . . . . 7326. Zugriff auf Images mit grafischen Helfern 74

    27. Binden Sie Images in Ihr System ein 79

    28. Finden Sie alte Bekannte 81

    29. Retten Sie in wenigen Minuten Dateien mit Freeware unter Windows 83

    30. Ausflug in die Welt der Zahlen 89

    31. Decodieren Sie Rot13 und Base64 91

    32. Entdecken Sie das wahre Gesicht einer Datei 94

    33. Erst auspacken, dann suchen 97

    34. Wenn Sie doch einmal manuell Carven mssen 99

    35. Wenn nichts mehr hilft: Block Hashing 102

    36. Keywordsuche mit regulren Ausdrcken 105

    37. Volltreffer 108

    38. Listen fr Forensiklaien generieren 113

    39. Kopieren nach Dateinamenerweiterung 115

    40. Jede Platte hat ihre Geschichte 118

    41. Visualisieren Sie Ihre Zeitleiste 123

    42. Logfile-Auswertung, Teil 1 128

    43. Logfile-Auswertung, Teil 2 132

    44. Automatisierte Auswertung von Logfiles 134

    45. Analyse der gesicherten RAM-Dumps 136

    Kapitel 4. Digitale Spuren in Windows . . . . . . . . . . . . . . . . . . . . . . . . . . 14146. Wichtige Verzeichnisse in Windows XP / Vista / 7 142

    47. Die Registry-Top-10 144

    48. Ihre Goldgrube MRU-Listen fr alle Zwecke 146

    49. Welche Programme wurden gestartet? 148

    50. So werten Sie Ereignisprotokolle aus 150

    Forensik.book Seite VI Freitag, 27. April 2012 2:17 14

  • Inhalt | VII

    51. Reisen Sie in die Vergangenheit 155

    52. Finden Sie Spuren in Vorschaudatenbanken 159

    53. Sehen Sie, was gedruckt wurde 162

    54. Stbern Sie im Mll 164

    55. Passwort vergessen? Kein Problem! 167

    Kapitel 5. Digitale Spuren in Linux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17356. Finden Sie heraus, welches Linux-Derivat vorliegt 174

    57. Verschaffen Sie sich einen Partitionsberblick (Sys V) 176

    58. Verschaffen Sie sich einen Partitionsberblick (BSD) 181

    59. Ermitteln Sie installierte Software 182

    60. Finden Sie Hinweise auf gelaufene Netzwerkdienste 184

    61. Stellen Sie die Netzwerkkonfiguration fest 189

    62. Spren Sie Anomalien bei den Usern auf 190

    63. Auf den Spuren des Users 192

    64. Stellen Sie Beziehungen grafisch dar 193

    65. Analysieren eines LAMP(P)-Servers 196

    66. So rekonstruieren Sie eine dynamische Webseite 201

    Kapitel 6. Internetartefakte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20967. So untersuchen Sie SQLite Datenbanken 210

    68. Analysieren der Firefox-History 213

    69. Sonstige Spuren des Browsers Firefox 216

    70. Analysieren der Internet-Explorer-History 220

    71. Sonstige Spuren des Browsers Internet Explorer 224

    72. Analysieren der Chrome-History 228

    73. Sonstige Spuren des Browsers Chrome 230

    74. So werten Sie den ICQ-Messenger aus 233

    75. Untersuchen Sie den Windows Live Messenger 238

    76. Finden Sie Spuren des Skype Messenger 243

    77. Analysieren Sie E-Mails von Microsoft Outlook 248

    78. Bereiten Sie E-Mails von Windows Live Mail auf 252

    79. Analysieren Sie E-Mails im Format mbox 254

    80. Der E-Mail auf der Spur 255

    81. Finden Sie Spuren im HTML-Quelltext 259

    Kapitel 7. Hacking & Co. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26382. Top-10-Hinweise auf einen Angriff 264

    83. So funktioniert WLAN-Hacking 266

    Forensik.book Seite VII Freitag, 27. April 2012 2:17 14

  • VIII | Inhalt

    84. Typische Suchmuster fr Angriffe auf Datenbanken 268

    85. Lassen Sie sich Netzwerkverbindungen anzeigen 271

    86. Stellen Sie fest, ob ein Webserver leicht angreifbar war 273

    87. Der Kammerjger: Stellen Sie fest, ob sich Malware eingenistet hat 274

    88. berprfen Sie Ihren Netzwerkverkehr 279

    89. PDF Malware-Analyse 282

    90. Machen Sie sich die Erfahrung der Profis zunutze 283

    Kapitel 8. Virtualisierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28791. Nutzen Sie QEMU fr die Virtualisierung 289

    92. So virtualisieren Sie Ihr forensisches Image 292

    93. Richten Sie ein virtuelles Netzwerk ein 293

    94. Konvertieren zwischen virtuellen Festplatten 295

    95. Blue Screen ade mit OpenGates 297

    96. Penetrationstest fr Passwrter eines (virtualisierten) Windows-Betriebssystems 299

    97. Penetrationstest fr Passwrter eines (virtualisierten) Linux-Betriebssystems 303

    98. Passwortpenetration mit John the Ripper 306

    99. Booten eines Mac OS X-Image 308

    100. Eine VM, viele Gesichter 312

    Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315

    Forensik.book Seite VIII Freitag, 27. April 2012 2:17 14

  • | IX

    0

    Vorwort und Danksagungen

    Wir mchten uns ganz herzlich bei allen Personen bedanken, die bei der Ent-stehung dieses Buches mitgewirkt haben, uns untersttzt haben und uns durchIhre Fragestellungen und Vorschlge inspiriert haben.

    Lorenz KuhleeWenn mir vor gar nicht langer Zeit jemand gesagt htte, dass ich ein Buchschreibe, htte ich ihn belchelt. Doch nun habe ich genau das getan. Dies hatvor allem Volker Bombien vom OReilly Verlag mglich gemacht und dafrund das damit in mich gesetzte Vertrauen mchte ich ihm danken. Auerdemauch Herrn Prof. Dr. Freiling fr die Fachaufsicht.

    Besonders hervorheben mchte ich, dass dieses Buch nur durch die berausgute und kreative Zusammenarbeit zwischen Victor Vlzow und mirzustande gekommen ist. Der Bereich Computer-Forensik ist mir im Laufe derJahre vor allem auch wegen der guten Zusammenarbeit und dem Austauschinnerhalb der Computer-Forensik-Gemeinschaft sehr ans Herz gewachsen.Daher danke ich allen Forensikern, die ich whrend meiner Ttigkeit alsFachlehrer kennen und schtzen lernen durfte. Gerne wrde ich jeden einzel-nen hier erwhnen, die Liste wre jedoch zu lang. Dennoch mchte ich einembesonders danken, da er mich immer wieder inspiriert hat. Danke Jrn!

    Ich hoffe, dass dieses Buch bei seinen Lesern Anklang findet und eine hilfrei-che Sttze fr die Forensik-Community wird.

    Zuletzt mchte ich meiner Lebensgefhrtin Anja danken, die mich immerwieder ermutigt hat, das Projekt zu Ende zu fhren und obwohl wir vielgemeinsame Zeit entbehren mussten, immer Verstndnis hatte. Das ist nichtselbstverstndlich. Danke, mein Stern.

    Forensik.book Seite IX Freitag, 27. April 2012 2:17 14

  • X | Vorwort und Danksagungen

    Victor VlzowVielen Dank, dass Sie unser Buch zur Hand genommen haben. Es gibt mittler-weile eine ganze Menge guter Forensik-Bcher auf dem Markt, daher ehrt unsdie Tatsache, dass Sie sich fr unseres entschieden haben, ungemein. AlsLorenz mir letztes Jahr von seiner Idee fr dieses Buch erzhlte, war ichschnell begeistert, weil mir die Idee gefiel, ein Forensik-Buch zu schreiben,das einen vllig anderen Ansatz verfolgt. 100 Hacks mit 100 konkreten Auf-gabenstellungen und zielgerichteten Lsungen das war neu in der digitalenForensik.

    Unzhlige arbeitsintensive Abende und Wochenenden sind seit dem erstenKontakt zum OReilly Verlag vergangen, in denen wir Stck fr Stck die 100Hacks mit Leben fllen konnten. Diese Zeit der Zusammenarbeit mit Lorenzempfand ich als auerordentlich angenehm und persnlich wie auch fachlichbereichernd. Zu dem positiven Entstehungsprozess beigetragen hat auchVolker Bombien, der uns hervorragend betreute und ein feines Gefhl dafrbewies, wie viel Freiraum einerseits und wie viel Druck andererseits er unszumuten konnte. Vielen Dank dafr!

    Ohne die unzhligen Forensiker-Kollegen, mit denen ich in meiner Ttigkeitals Computer-Forensiker und Fachlehrer zusammenarbeiten durfte, wre die-ses Buch nie zustande gekommen. Ihre Problemstellungen, Erklrungen,Ideen, Tipps und Tricks, ihre Fragen und ihr Feedback sind die Triebfedervon Computer-Forensik Hacks. Es sind schlichtweg zu viele Kollegen, Freundeund Kommilitonen, denen ich viel zu verdanken habe. Sie hier alle auf-zuzhlen, wrde den Rahmen des Buches sprengen. Ihnen allen gilt meinDank! Stellvertretend fr sie mchte ich gern speziell Andreas Schoppe unddem ZK 50 danken.

    Ein Projekt wie dieses Buch ist nicht mglich, wenn nicht auch das sozialeUmfeld viel Verstndnis und die ntige Begeisterungsfhigkeit dafr aufbrin-gen. Ein groer Dank geht daher an meine Familie und meine Freunde. Ganzbesonders mchte ich meiner Frau Anna danken fr Ihr Verstndnis und IhrEinfhlungsvermgen, wenn das ersehnte Abendprogramm einer Vielzahlvon Tastaturanschlgen weichen musste. Vielen Dank fr Deine unerschpf-liche Geduld und unendliche Liebe!

    Zu guter Letzt mchte ich Felix Freiling fr die zwar leider zu seltenen, aberdafr umso interessanteren Gedankenaustausche danken. Vielen herzlichenDank auch dafr, dass Du Dich bereit erklrt hast, die Fachaufsicht fr diesesBuch zu bernehmen.

    Forensik.book Seite X Freitag, 27. April 2012 2:17 14

  • Gruwort von Prof. Dr. Felix Freiling | XI

    Gruwort von Prof. Dr. Felix FreilingComputer-Forensik Hacks: Erscheint der Titel nicht als Widerspruch in sich?Schlielich ist Hacking ein eher negativ besetzter Begriff, der hufig mit denStrafttern, also den Bsen, assoziiert wird. Und mit Computer-Forensikwird doch eher mit der Polizei, also den Guten, verbunden. Vermittelt die-ses Buch also den Guten bse Dinge? Wie passt das zusammen?

    Fr mich stellt sich diese Frage nicht: Hacking, also der innovative und hufigauch offensive Umgang mit Computertechnik, bildet die Grundlage jeder ver-nnftigen IT-Sicherheitskompetenz. Wer Hacking versteht, kann reale Gefah-ren besser einschtzen und Angreiferverhalten besser antizipieren. DieseEinsicht, die durch wissenschaftliche Studien gesttzt wird, setzt sich auch inder Praxis immer mehr durch.

    Wir brauchen also eher mehr Hacking als weniger. Vor allem brauchen wirmehr Hacking fr die Guten, um mit der Gegenseite Schritt zu halten.Nicht nur deshalb ist das vorliegende Buch von Victor Vlzow und LorenzKuhlee so wertvoll. Die Autoren haben es geschafft, aktuelle Techniken derdigitalen Forensik przise und unterhaltsam darzustellen. Ein lesenswertesBuch, das Spa macht und die Praxis positiv beeinflussen wird. Mge die Lek-tre dieses Buches mehr Vlzows und Kuhlees hervorbringen, sodass derTitel Computer-Forensik Hacks in Krze keinen Widerspruch mehr hervor-ruft.

    Prof. Dr. Felix Freiling ist Inhaber des Lehrstuhls fr IT-Sicherheitsinfrastruk-turen an der Friedrich-Alexander-Universitt Erlangen-Nrnberg. Sein For-schungsschwerpunkt liegt im Bereich der offensiven IT-Sicherheit und derdigitalen Forensik.

    Forensik.book Seite XI Freitag, 27. April 2012 2:17 14

  • Forensik.book Seite XII Freitag, 27. April 2012 2:17 14

  • | XIII

    0

    Einleitung

    Gerade mal ein Jahrzehnt ist es her, dass sich in einzelnen Bros von System-administratoren und Strafverfolgungsbehrden intensiver mit der Auswert-barkeit digitaler Daten fr Verfahrenszwecke beschftigt wurde. Das bis datowenig erforschte Feld der Computer-Forensik erregte zunehmendes Interesse,wurden schlielich immer mehr Daten auf Computersystemen vorgehalten.Zwar beschftigten sich bereits in den 80er Jahren schon die ersten Pionieremit der Frage, wohin welche Software welche Daten schreibt und wiegelschte Daten wiederhergestellt werden knnen, doch wurde ihren erstenErkenntnissen noch wenig Beachtung geschenkt. Erst mit der nahezu flchen-deckenden Verbreitung von IT-Systemen in Privathaushalten, Unternehmen,Behrden und bei Betreibern kritischer Infrastrukturen wurde der hohe Stel-lenwert von qualifizierten, digitalforensischen Untersuchungen erkannt.Schlielich wurden beispielsweise Verste gegen Unternehmensrichtlinienund Vorflle gegen den Schutz geistigen Eigentums mehr und mehr mit Hilfevon Computern begangen. Auch Straftter begannen, s...