7
Aufbau einer IT-Forensik-Station
Nabend Leute.
Ich bin zur Zeit Azubi im 2. Lehrjahr und habe den Auftrag erhalten, zu prüfen, ob man in unserer Firma eine IT-Forensik-Station aufbauen und betreiben kann.
Dazu soll ich sowohl die finanziellen als auch die technischen (Hardware und Software) Aspekte beachten und meinen Entscheidungsprozess dokumentieren.
Bisher habe ich mich bisschen in die Thematik eingelesen und muss sagen, dass es echt interessant ist. Jedoch muss ich auch zugeben, dass mir (noch) IT-Kenntnisse fehlen, die mich vor allem bei den Hardwareaspekte in Schwierigkeiten bringen.
Das weiß ich bisher:
1) Man braucht einen/unterschiedliche Hardware-Writeblocker.
2) Man braucht Software, die zum einen ein forensisches Image erstellt. Zum anderen muss die Software diverse Analysemöglichkeiten bringen.
3) Man braucht reichlich Datenträger, um physische Abbilder erstellen zu können.
4) Man muss sich mit Hashfunktionen/Zahlensystemen auskennen.
5) Drive Slack und RAM Slack (grob).
Hierzu habe ich Fragen:
zu 1) Der Writeblocker unterbindet ja Schreibvorgänge auf das zu duplizierende Medium. Die Frage ist jetzt, was hardwareseitig und auf Seiten des Betriebssystems eigentlich passiert, wenn man den Datenträger direkt an die Arbeitsstation schließt (Ohne Writeblocker)? Greift das Betriebssystem im Hintergrund irgendwie auf den Datenträger zu, wenn er gemountet ist, auch wenn ich völlig bewusst nicht auf ihn schreibe?
Muss ich nach dem Writeblocker direkt den Datenträger anschließen oder kann man bedenkenlos Adapter zwischenschalten?
zu 2) Was kann eigentlich alles analysiert werden? Bisher habe ich testweise nur ein Image erstellt und dort bisschen "rumgeschaut". Hab da zB. File-Slack-Dateien gefunden, die ich mit mit dem Hex-Editor "lesen" konnte. Ich denke aber, dass das längst noch nicht alles ist. Und ich denke, dass das wahrscheinlich abhängig von der benutzten Software ist
zu 3) Kann ich Image auch auf externe Datenträger schreiben, ohne die Kopie zu verfälschen? Oder sollte eine interne Festplatte für die Imageerstellung benutzt werden?
Das sind so bisher meine Fragen, wo ich grad etwas auf dem Schlauch stehe.
Wenn du bis hier gelesen hast, bedanke ich mich schonmal
Ich bin zur Zeit Azubi im 2. Lehrjahr und habe den Auftrag erhalten, zu prüfen, ob man in unserer Firma eine IT-Forensik-Station aufbauen und betreiben kann.
Dazu soll ich sowohl die finanziellen als auch die technischen (Hardware und Software) Aspekte beachten und meinen Entscheidungsprozess dokumentieren.
Bisher habe ich mich bisschen in die Thematik eingelesen und muss sagen, dass es echt interessant ist. Jedoch muss ich auch zugeben, dass mir (noch) IT-Kenntnisse fehlen, die mich vor allem bei den Hardwareaspekte in Schwierigkeiten bringen.
Das weiß ich bisher:
1) Man braucht einen/unterschiedliche Hardware-Writeblocker.
2) Man braucht Software, die zum einen ein forensisches Image erstellt. Zum anderen muss die Software diverse Analysemöglichkeiten bringen.
3) Man braucht reichlich Datenträger, um physische Abbilder erstellen zu können.
4) Man muss sich mit Hashfunktionen/Zahlensystemen auskennen.
5) Drive Slack und RAM Slack (grob).
Hierzu habe ich Fragen:
zu 1) Der Writeblocker unterbindet ja Schreibvorgänge auf das zu duplizierende Medium. Die Frage ist jetzt, was hardwareseitig und auf Seiten des Betriebssystems eigentlich passiert, wenn man den Datenträger direkt an die Arbeitsstation schließt (Ohne Writeblocker)? Greift das Betriebssystem im Hintergrund irgendwie auf den Datenträger zu, wenn er gemountet ist, auch wenn ich völlig bewusst nicht auf ihn schreibe?
Muss ich nach dem Writeblocker direkt den Datenträger anschließen oder kann man bedenkenlos Adapter zwischenschalten?
zu 2) Was kann eigentlich alles analysiert werden? Bisher habe ich testweise nur ein Image erstellt und dort bisschen "rumgeschaut". Hab da zB. File-Slack-Dateien gefunden, die ich mit mit dem Hex-Editor "lesen" konnte. Ich denke aber, dass das längst noch nicht alles ist. Und ich denke, dass das wahrscheinlich abhängig von der benutzten Software ist
zu 3) Kann ich Image auch auf externe Datenträger schreiben, ohne die Kopie zu verfälschen? Oder sollte eine interne Festplatte für die Imageerstellung benutzt werden?
Das sind so bisher meine Fragen, wo ich grad etwas auf dem Schlauch stehe.
Wenn du bis hier gelesen hast, bedanke ich mich schonmal
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 346196
Url: https://administrator.de/contentid/346196
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
1. Je nach dem sollte er das tun, drücken wir es so aus. (Ich kann mich da noch an div. RAM Experimente erinnern - wird heute aber wohl nicht mehr so einfach klappen.)
Ja, das OS greift auf jeden Datenträger zu, der nicht nur ro gemountet ist (und je nach deinen Kenntnissen ist er das seltenst)
2. nunja, je nach dem, was es da gibt alles/nichts
3. "es kommt drauf an". Wenn du alles in das passende Image format packst verfälscht du nichts - aber hier ist wieder Punkt 2, definiere "alles".
Interne Datenträger würde ich aber nie manipulieren, denn dann wars das mit der Forensik - außer natürlich, du willst dem Kollegen mit bisschen KiPo "bisschen" eins auswischen.
Gibt dazu aber sehr interessante Literatur, schau dich mal im üblichen Buchshop um
VG
1. Je nach dem sollte er das tun, drücken wir es so aus. (Ich kann mich da noch an div. RAM Experimente erinnern - wird heute aber wohl nicht mehr so einfach klappen.)
Ja, das OS greift auf jeden Datenträger zu, der nicht nur ro gemountet ist (und je nach deinen Kenntnissen ist er das seltenst)
2. nunja, je nach dem, was es da gibt alles/nichts
3. "es kommt drauf an". Wenn du alles in das passende Image format packst verfälscht du nichts - aber hier ist wieder Punkt 2, definiere "alles".
Interne Datenträger würde ich aber nie manipulieren, denn dann wars das mit der Forensik - außer natürlich, du willst dem Kollegen mit bisschen KiPo "bisschen" eins auswischen.
Gibt dazu aber sehr interessante Literatur, schau dich mal im üblichen Buchshop um
VG
1
Halloele,
Das Dingens kennst Du? -> https://de.wikipedia.org/wiki/IT-Forensik
zu 1)
Unterscheide zwischen Hardware-R(ead)O(nly) und Software-R(ead)O(nly).
Kennst Du die Truppe? -> https://www.digitalintelligence.com/forensichardware.php
zu 2)
Alles. Schau Dir mal zum Spielen Autopsy an. Die haben auch ne nette Dokumentation. Und ja, zu Not findet man auch geloeschte Dateien wieder.
zu 3)
Das Image kannst Du schreiben wo Du lustig bist. Du musst nur sicherstellen dass jederzeit nachgewiesen ist, das es nicht nachtraeglich verfaelscht wurde.
BFF
Das Dingens kennst Du? -> https://de.wikipedia.org/wiki/IT-Forensik
Hierzu habe ich Fragen:
zu 1)
Unterscheide zwischen Hardware-R(ead)O(nly) und Software-R(ead)O(nly).
Kennst Du die Truppe? -> https://www.digitalintelligence.com/forensichardware.php
zu 2)
Alles. Schau Dir mal zum Spielen Autopsy an. Die haben auch ne nette Dokumentation. Und ja, zu Not findet man auch geloeschte Dateien wieder.
zu 3)
Das Image kannst Du schreiben wo Du lustig bist. Du musst nur sicherstellen dass jederzeit nachgewiesen ist, das es nicht nachtraeglich verfaelscht wurde.
BFF
2
Hallo,
Du brauchst ein RAID, weil die Datenträgerkapazitäten im Umlauf schnell über deine Einzelfestplatten hinauswachsen und für Suchvorgänge/Indizierung schnelle Lesegeschwindigkeiten nötig sind. Backup und Archiv für ausreichend viele Fälle nicht vergessen!
Mit freier Software wirst du nicht weit kommen, außer vielleicht im RAM-Bereich mit Volatility (es geht alles mit freier Software, raubt aber Zeit und Nerven). Die drei kommerziellen Produkte, aus denen du Auswahl hast, sind alle leistungshungrig. Aufgrund von Preis-Leistungsverhältnis und Ressourcenbedarf wirst du bei X-Ways landen. Trotzdem wären ca. 64 GB RAM und mindestens ein Xeon gut. ECC ist nötig wegen der großen Speichermenge, und weil einzelne Vorgänge über viele Stunden laufen können.
Write-Blocker: Kommt drauf an. Bei der Frage dürften da kaum gerichtsfeste Beweise gesammelt werden (hoffe ich). Ein Write-Blocker fällt preislich beim nötigen Budget um die 10k einerseits nicht ins Gewicht. Wenn andererseits das Resultat ist, dass ihr mit Autopsy auf einem besseren Gaming-PC arbeitet, dann spart auch das Geld für den Write-Blocker und steckt eine Festplatte mehr rein. Mit der Halbwegs-Read-Only-Konfiguration eines Betriebssystems kannst Du dann mehr Wissen unter Beweis stellen.
Grüße
Richard
Du brauchst ein RAID, weil die Datenträgerkapazitäten im Umlauf schnell über deine Einzelfestplatten hinauswachsen und für Suchvorgänge/Indizierung schnelle Lesegeschwindigkeiten nötig sind. Backup und Archiv für ausreichend viele Fälle nicht vergessen!
Mit freier Software wirst du nicht weit kommen, außer vielleicht im RAM-Bereich mit Volatility (es geht alles mit freier Software, raubt aber Zeit und Nerven). Die drei kommerziellen Produkte, aus denen du Auswahl hast, sind alle leistungshungrig. Aufgrund von Preis-Leistungsverhältnis und Ressourcenbedarf wirst du bei X-Ways landen. Trotzdem wären ca. 64 GB RAM und mindestens ein Xeon gut. ECC ist nötig wegen der großen Speichermenge, und weil einzelne Vorgänge über viele Stunden laufen können.
Write-Blocker: Kommt drauf an. Bei der Frage dürften da kaum gerichtsfeste Beweise gesammelt werden (hoffe ich). Ein Write-Blocker fällt preislich beim nötigen Budget um die 10k einerseits nicht ins Gewicht. Wenn andererseits das Resultat ist, dass ihr mit Autopsy auf einem besseren Gaming-PC arbeitet, dann spart auch das Geld für den Write-Blocker und steckt eine Festplatte mehr rein. Mit der Halbwegs-Read-Only-Konfiguration eines Betriebssystems kannst Du dann mehr Wissen unter Beweis stellen.
Grüße
Richard
1
Guten Morgen.
Vielen Dank für eure informativen Antworten Habe jetzt erstmal paar neue Ansätze zum Weiterdenken
Ich werde heute mal in einen Buchladen fahren und mich bisschen umschauen. Ich hoffe es reicht erstmal, sich ein bisschen da einzulesen. Man kann ja auch Seminare dazu machen oder sogar den Master :D
Vielen Dank für eure informativen Antworten
Habe jetzt erstmal paar neue Ansätze zum WeiterdenkenIch werde heute mal in einen Buchladen fahren und mich bisschen umschauen. Ich hoffe es reicht erstmal, sich ein bisschen da einzulesen. Man kann ja auch Seminare dazu machen oder sogar den Master :D
Moin Sheldor,
sorry, aber in einem "normalen" Buchladen wirst du nichts finden. Wenn dann ein Spezialist dafür, eine Uni/Hochschul Bibliothek oder den großen im Web...
sorry, aber in einem "normalen" Buchladen wirst du nichts finden. Wenn dann ein Spezialist dafür, eine Uni/Hochschul Bibliothek oder den großen im Web...
1
Hab mich in der Studienarbeit auch etwas mit IT Forensik beschäftigt.
Wenn du Literatur suchst:
File System Forensic Analysis von Brian Carrier
Ist ein guter Anfang als Grundlage.
Wenn du Literatur suchst:
File System Forensic Analysis von Brian Carrier
Ist ein guter Anfang als Grundlage.
1
Hi
Ich hab mir jetzt auch ein (deutschsprachiges) Buch besorgt. Von Christoph Willer. Scheint sehr informativ zu sein
Ich hab mir jetzt auch ein (deutschsprachiges) Buch besorgt. Von Christoph Willer. Scheint sehr informativ zu sein
