Computer-Forensik: Analyse von Angriffen

Interessante Fundstellen

Bei der Analyse eines Datenträgers sind nicht nur die offensichtlich, mit Bordmitteln erreichbaren Daten interessant, sondern auch vom Betriebssystem ungenutzte Bereiche zwischen den Datenspuren und vor allem auch gelöschte Daten. Das viele Betriebssysteme Dateien bei einem Löschvorgang nicht wirklich unwiderruflich löschen, sondern nur den Verwaltungs-Eintrag in der FAT oder MFT entfernen, ist kein Geheimnis.

Hat ein Forensiker die Chance, ein System zu untersuchen, welches nach einem Vorfall nicht neu gestartet worden ist, so ergibt sich manchmal viel versprechende Quelle für das Sammeln von Indizien. Es handelt sich hierbei um so genannte Slack-Bereiche von Datenträgern. Viele gängige Dateisysteme adressieren als Einheit nur einen Cluster. Die Cluster-Größe ist abhängig von der User-Konfiguration oder bei älteren Dateisystemen durch die Größe der Partition und der maximalen Anzahl adressierbarer Zuordnungs-Einheiten pro Partition festgelegt. Ist ein Cluster nicht vollständig durch eine Datei ausgefüllt, so wird der nicht genutzte Bereich mit willkürlich aus dem Hauptspeicher entnommenem Inhalt beschrieben.

Durch Auswerten dieser Slack-Bereiche mit einem Hex-Editor kann man so für die Spurensuche relevante Fragmente aus dem RAM der letzten Sitzung isolieren. Dieser RAM-Slack findet sich jeweils im letzten Sektor einer Datei. Sind zusätzliche Sektoren zum Auffüllen der Blockgröße des letzten Clusters erforderlich, so werden die übrigen Sektoren mit Slack-Daten der Festplatte gefüllt. Dabei handelt es sich um gelöschte oder nicht zugeordnete Speichereinheiten des Datenträgers. Dies bezeichnet man als Drive-Slack.

Ähnliches gilt für die Auslagerungsdateien oder Hibernation -Files, die zur virtuellen Erweiterung des RAMs beziehungsweise zum Einfrieren des aktuellen Speicherinhaltes für einen Standby-Modus genutzt werden. Bei NTFS-Systemen findet man zudem noch den MFT-Slack.