Digitale Forensik mit Autopsy unter Linux – Teil 3: Dateisystem- und Metadaten-Analyse

von

Stefan
in , ,

Im zweiten Teil haben wir ein erstes Image mit Autopsy analysiert, Partitionen untersucht und gelöschte Dateien gefunden. Jetzt gehen wir einen Schritt tiefer: Wir schauen uns an, wie Autopsy mit Dateisystemen umgeht, warum MAC-Times so wichtig sind, wie man gelöschte Daten rekonstruiert und was Metadaten über Dateien verraten können.

Warum Dateisystem-Forensik so wichtig ist

Dateisysteme wie FAT, NTFS oder ext4 speichern nicht nur die Dateien selbst, sondern auch eine Fülle an Metadaten: Zeitstempel, Berechtigungen, Speicherorte. Diese Informationen sind oft genauso wertvoll wie der eigentliche Inhalt.

👉 Beispiel: Eine Datei wurde gelöscht – aber der Zeitstempel im Dateisystem verrät, wann und vielleicht durch wen das passiert ist.

Digitale Forensik bedeutet deshalb nicht nur: „Finde die Datei“, sondern auch: „Rekonstruiere die Geschichte der Datei“.

MAC-Times: Die drei wichtigsten Zeitstempel

In der Forensik sind die sogenannten MAC-Times zentral:

  • M – Modified: Wann wurde der Inhalt zuletzt geändert?
  • A – Accessed: Wann wurde die Datei zuletzt geöffnet oder gelesen?
  • C – Changed (oder Metadata Changed): Wann wurde der Dateieintrag (Metadaten) geändert?
  • (Birth/Created: Manche Dateisysteme speichern auch das Erstellungsdatum.)

Beispiel in Autopsy

Autopsy zeigt für jede Datei eine Tabelle mit diesen Zeitstempeln. Damit kann man Ereignisse präzise nachvollziehen.

Beispielanalyse:

  • Datei vertrag.docx
    • Modified: 12.09.2025 – Inhalt geändert
    • Accessed: 13.09.2025 – Datei geöffnet
    • Changed: 14.09.2025 – Metadaten angepasst (z. B. Berechtigungen geändert)

👉 Schon allein aus diesen drei Angaben lässt sich eine kleine Geschichte rekonstruieren.

Gelöschte Dateien rekonstruieren

Einer der größten „Aha-Momente“ in der Forensik ist das Wiederherstellen gelöschter Dateien.

So funktioniert es:

  1. Wird eine Datei gelöscht, entfernt das Dateisystem meistens nur den Verweis im Inhaltsverzeichnis.
  2. Die eigentlichen Datenblöcke bleiben erhalten, bis sie überschrieben werden.
  3. Autopsy (über Sleuth Kit) scannt den „unallocated space“ und versucht, diese Fragmente zu rekonstruieren.

In der Praxis bedeutet das:

  • Manche Dateien tauchen fast vollständig wieder auf.
  • Andere erscheinen nur fragmentiert oder beschädigt.

👉 Beispiel:
Du findest eine Datei geheim.pdf (deleted). Autopsy zeigt sie mit rotem X. Ein Klick offenbart: Das Dokument ist noch vollständig lesbar.

Fragmentierung und Teilwiederherstellung

Nicht immer ist es so einfach. Besonders bei großen Dateien kann Fragmentierung auftreten:

  • Teile der Datei wurden schon überschrieben.
  • Das Ergebnis ist unvollständig oder enthält „Datenmüll“.

Autopsy markiert solche Funde entsprechend. Für die Forensik ist auch ein teilweise wiederhergestelltes Dokument wertvoll – z. B. wenn Textfragmente Beweise enthalten.

Metadaten: Mehr als nur Dateiinhalte

Eine Datei verrät oft mehr, als man denkt. Neben den MAC-Times gibt es zahlreiche weitere Metadaten.

1. Dateisystem-Metadaten

  • Eigentümer & Berechtigungen
  • Größe
  • Speicherort (Inode, Cluster)

2. Anwendungs-Metadaten

Viele Dateiformate speichern zusätzliche Infos:

  • Bilder (JPEG, PNG): EXIF-Daten mit Kamera, Uhrzeit, GPS
  • Office-Dokumente (DOCX, PDF): Autor, Software, Änderungsverlauf
  • Videos: Codec-Infos, Aufnahmegerät, Schnittsoftware

Praxisbeispiel: EXIF in Autopsy

Du untersuchst foto.jpg. Autopsy zeigt in den Details:

  • Kamera: iPhone 14
  • Aufnahmezeit: 18.09.2025, 14:32 Uhr
  • GPS: 52.5200°N, 13.4050°E (Berlin)

👉 Mit einem einzigen Bild weißt du also nicht nur, wann es gemacht wurde, sondern auch wo und mit welchem Gerät.

Timeline-Analyse mit Metadaten

Ein starkes Feature von Autopsy ist die Timeline-Ansicht. Dort werden alle MAC-Times und Metadaten zusammengeführt.

Beispiel:

  • 09:45 Uhr – USB-Stick eingesteckt
  • 09:47 Uhr – Datei vertrag.docx geöffnet
  • 09:50 Uhr – Datei geändert (Modified)
  • 09:55 Uhr – Datei gelöscht (Inode entfernt)

👉 Mit dieser Visualisierung kannst du genau nachzeichnen, was in welcher Reihenfolge passiert ist.

Fallbeispiel: Gelöschtes Dokument rekonstruieren

Stell dir vor, ein Mitarbeiter wird verdächtigt, sensible Daten gelöscht zu haben. Du erhältst ein Image seines USB-Sticks.

Autopsy-Analyse zeigt:

  • Datei geheim.xlsx → gelöscht
  • Modified: 12.09.
  • Accessed: 13.09.
  • Changed: 14.09.

Du stellst fest: Das Dokument wurde am 13.09. geöffnet, am 14.09. gelöscht – aber die Inhalte sind noch im unallocated space vorhanden.

👉 Damit hast du einen klaren Hinweis auf die Handlungskette.

Grenzen der Metadaten-Forensik

So mächtig Metadaten sind – man sollte ihre Grenzen kennen:

  • Zeitstempel können manipuliert werden („Timestomping“).
  • Nicht alle Dateisysteme speichern alle Attribute (z. B. FAT32 hat kein „Created“-Datum).
  • Manche Programme entfernen Metadaten bewusst (z. B. „Bild anonymisieren“ in Messenger-Apps).

Für Ermittlungen gilt deshalb: Metadaten sind starke Indizien, aber oft muss man sie mit weiteren Spuren kombinieren.

Praktische Tipps für Dateisystem-Analyse in Autopsy

  1. Timeline intensiv nutzen
    – Sie zeigt Muster, die man sonst übersieht.
  2. Keywords + MAC-Times kombinieren
    – Suche nach Schlagworten und prüfe die Zeitstempel.
  3. Nicht nur Dateien prüfen
    – Logs, Browser-Verläufe, Registry (bei Windows-Images) liefern oft die fehlenden Puzzlestücke.
  4. Hash-Sets einsetzen
    – Bekannte Dateien (z. B. Systemdateien) automatisch ausschließen, um Fokus auf Unbekanntes zu legen.
  5. Quellen vergleichen
    – Stimmen MAC-Times mit anderen Daten (Browser, Chat-Logs) überein?

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert