Digitale Forensik mit Autopsy unter Linux – Teil 2: Erste Schritte mit der Datenträger-Analyse

von

Stefan
in , ,

Im ersten Teil dieser Serie haben wir Autopsy vorgestellt, installiert und die Benutzeroberfläche erkundet. Jetzt wird es spannend: Wir legen unseren ersten echten „Case“ an und analysieren ein Datenträger-Image. Dabei lernst du, wie Autopsy mit Festplattenabbildern arbeitet, wie Partitionen erkannt werden und wie man erste Spuren findet – inklusive gelöschter Dateien.

Was ist ein forensisches Image?

In der digitalen Forensik arbeitet man niemals direkt am Original-Datenträger. Stattdessen erstellt man ein forensisches Image – also eine 1:1-Kopie einer Festplatte, SSD, eines USB-Sticks oder einer SD-Karte.

Formate:

  • RAW (.dd) – Standardabbild mit dd oder dcfldd erstellt
  • EWF (.E01) – spezielles EnCase-Format mit Metadaten
  • VMDK / VHD – virtuelle Festplatten

Beispielbefehl, um mit dd ein Abbild zu ziehen:

sudo dd if=/dev/sdb of=usbstick.dd bs=4M status=progress

👉 if= ist die Eingabequelle (hier der USB-Stick /dev/sdb), of= ist das Ziel (Image-Datei).

Dieses Image kannst du nun gefahrlos in Autopsy untersuchen.

Einen neuen Fall in Autopsy anlegen

Starte Autopsy wie im ersten Teil beschrieben (./bin/autopsy) und folge diesen Schritten:

  1. Neuen Case erstellen
    • Menü: Create New Case
    • Vergib einen Namen, z. B. USB-Analyse-Case.
    • Optional: Case-Number oder Examiner-Name eintragen.
  2. Beweismittel hinzufügen
    • Wähle „Add Data Source“.
    • Möglichkeit: „Disk Image or VM File“ → hier wählst du dein usbstick.dd aus.
  3. Ingest Modules auswählen
    • Häkchen setzen bei:
      • File Type Identification
      • Hash Lookup (falls Hash-Datenbank vorhanden)
      • Keyword Search
      • Extract EXIF Metadata
      • Recent Activity (für Browser, Chat etc.)

👉 Jetzt arbeitet Autopsy im Hintergrund und analysiert das Image. Je nach Größe kann das einige Minuten dauern.

Überblick: Partitionen und Dateisysteme

Nach der Analyse siehst du links im Tree View die gefundenen Partitionen. Typische Szenarien:

  • MBR- oder GPT-Partitionstabellen → Autopsy listet jede Partition einzeln.
  • Dateisysteme → FAT, NTFS, ext4, HFS+ werden unterstützt.
  • Unallocated Space → Bereiche ohne aktives Dateisystem, oft interessant für gelöschte Dateien.

Beispiel:

  • Partition 1: FAT32 (z. B. USB-Stick)
  • Partition 2: ext4 (z. B. Linux-Partition)

Mit einem Klick auf eine Partition kannst du deren Verzeichnisstruktur erkunden.

Dateien durchsuchen und Metadaten prüfen

Öffne einen Ordner in der Partition:

  • Autopsy zeigt Dateiname, Größe, Hashwerte, Zeitstempel.
  • Zeitstempel umfassen MAC-Times:
    • Modified – letzte Änderung des Inhalts
    • Accessed – letzter Zugriff
    • Created – Erstellungszeitpunkt
    • Entry Modified – Metadaten-Änderung

Diese Zeitangaben sind oft entscheidend, wenn es darum geht, Abläufe zu rekonstruieren.

👉 Beispiel: Eine Datei wurde am 12.09. erstellt, am 14.09. bearbeitet, aber zuletzt am 16.09. geöffnet – das verrät viel über Nutzeraktivitäten.

Gelöschte Dateien wiederfinden

Einer der spannendsten Punkte: gelöschte Dateien.

  • Autopsy durchsucht ungenutzte Speicherbereiche („unallocated space“).
  • Gelöschte Dateien erscheinen mit einem roten X oder als „Deleted“.
  • Oft sind sie noch vollständig rekonstruierbar, solange sie nicht überschrieben wurden.

Beispiel: Du findest eine Datei geheim.txt (deleted) – öffnest sie und sie enthält noch Klartext-Daten.

Das zeigt eindrucksvoll: Dateien verschwinden nicht sofort, wenn man sie löscht.

Keyword-Suche

Autopsy bringt eine integrierte Suchmaschine mit.
Du kannst entweder eigene Schlüsselwörter definieren oder automatische Module aktivieren.

Beispiele:

  • Such nach „Passwort“, „confidential“, „secret“
  • Suche nach E-Mail-Adressen oder Telefonnummern
  • Reguläre Ausdrücke (z. B. Kreditkartennummern-Muster)

Autopsy zeigt dir Treffer sofort mit Kontext – perfekt, um schnell relevante Daten zu finden.

EXIF-Metadaten in Bildern

Besonders bei Fotos können Metadaten Gold wert sein:

  • Kamera-Modell
  • Aufnahmedatum
  • GPS-Koordinaten

Autopsy extrahiert diese Daten automatisch.

Praxisbeispiel: Ein Foto urlaub.jpg enthält GPS-Koordinaten → man erkennt, dass es in Berlin aufgenommen wurde, am 15.09. um 13:45 Uhr.

Timeline-Ansicht

Ein mächtiges Feature ist die Timeline-Analyse.

  • Autopsy sammelt alle Zeitstempel (Dateien, Logs, Browser, Registry).
  • In einer grafischen Ansicht kannst du Abläufe nachvollziehen.

Beispiel:

  • 10:15 Uhr: USB-Stick eingesteckt
  • 10:20 Uhr: Datei „vertrag.docx“ geöffnet
  • 10:22 Uhr: Datei gelöscht
  • 10:25 Uhr: Browser geöffnet

👉 Damit lassen sich Benutzeraktivitäten sekundengenau rekonstruieren.

Reporting – die Ergebnisse sichern

Am Ende solltest du deine Ergebnisse dokumentieren:

  • Menü: Generate Report
  • Formate: HTML, CSV, XML, PDF
  • Inhalte: Alle gefundenen Dateien, Hashwerte, Zeitstempel, Screenshots

So entsteht ein forensischer Bericht, der später auch in juristischen Kontexten verwendet werden kann.

Praktische Tipps

  1. Kleine Images üben
    – Fang mit einem USB-Stick oder ISO-Image an, bevor du eine 500-GB-Festplatte analysierst.
  2. Filter setzen
    – Nutze Such- und Filterfunktionen, sonst verlierst du dich in den Daten.
  3. Zeit sparen
    – Aktivier nur die Module, die du wirklich brauchst.
  4. Hash-Datenbanken
    – Lade bekannte Hashsets (z. B. NSRL), um Standard-Dateien von verdächtigen Dateien zu trennen.
  5. Vertraue nicht nur der GUI
    – Nutze auch CLI-Tools wie fls, icat oder tsk_recover, wenn du tiefer gehen willst.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert