Forensische Coldbackup Software
Hallo zusammen,
ich bin aktuell mit der Thematik Erstellung von Forensischen Snapshots im Falle eines Virenfunds beschäftigt. Dies erledigte ich über Sophos Central. Hier habe ich die Option, direkt einen Forensischen Snapshot des Clients zu erstellen.
Außerdem möchte ich zusätzlich dazu ein vollständiges Backup der Festplatte erstellen. Dieses soll dann auf einer externen Festplatte für eventuelle spätere Zwecke wie zum Beispiel Forensik oder Wiederherstellung einzelner Daten gespeichert werden.
Hierbei ist mir wichtig, dass ich ein Coldbackup erstellen kann, sodass ich den infizierten Client nicht mehr starten muss. Die Software sollte dann von einem Bootstick starten und das Backup als Datei erstellen.
Nun suche ich nach einer Software, welche diese Anforderungen erfüllen kann. Habt ihr bereits ähnliche Anwendungsfälle? Wie stellt Ihr genügend forensisches Material sicher, bevor Ihr den Client neu aufsetzt.
Kostenpflichtig oder kostenfrei ist erstmal egal, Hauptsache die Anforderungen werden zuversichtlich erfüllt.
Das Klonen mit Clonezilla kommt nicht infrage, da wir hier für jeden Klon eine eigene Festplatte opfern müssen, welche keine anderen Daten aufnehmen kann.
Ich freue mich auf eure Erfahrungen und Tipps!
ich bin aktuell mit der Thematik Erstellung von Forensischen Snapshots im Falle eines Virenfunds beschäftigt. Dies erledigte ich über Sophos Central. Hier habe ich die Option, direkt einen Forensischen Snapshot des Clients zu erstellen.
Außerdem möchte ich zusätzlich dazu ein vollständiges Backup der Festplatte erstellen. Dieses soll dann auf einer externen Festplatte für eventuelle spätere Zwecke wie zum Beispiel Forensik oder Wiederherstellung einzelner Daten gespeichert werden.
Hierbei ist mir wichtig, dass ich ein Coldbackup erstellen kann, sodass ich den infizierten Client nicht mehr starten muss. Die Software sollte dann von einem Bootstick starten und das Backup als Datei erstellen.
Nun suche ich nach einer Software, welche diese Anforderungen erfüllen kann. Habt ihr bereits ähnliche Anwendungsfälle? Wie stellt Ihr genügend forensisches Material sicher, bevor Ihr den Client neu aufsetzt.
Kostenpflichtig oder kostenfrei ist erstmal egal, Hauptsache die Anforderungen werden zuversichtlich erfüllt.
Das Klonen mit Clonezilla kommt nicht infrage, da wir hier für jeden Klon eine eigene Festplatte opfern müssen, welche keine anderen Daten aufnehmen kann.
Ich freue mich auf eure Erfahrungen und Tipps!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 23301026217
Url: https://administrator.de/contentid/23301026217
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
5 Kommentare
Neuester Kommentar
also wenn du forensich clonen willst
kauf die ne Dockingstation wo du 2 SATA Festplatten reinhängen kannst...
(oder SSDs oder mit SATA Adapter m2 ssd chips)
Dann kaufst ne neue SSD in der selben grösse und clonst mit der station.
Oder noch besser Original SSD ausbauen und eine neue SSD auf vorat halten und umbauen und damit den client neu installieren, dann hast das ORIGINAL forensisch griffbereit. Und vor allem den Client maximal schnell wieder funktionierend.
Und wenn dus anschauen willst, vorher mit der oben beschriebenen Dock ne kopie vom original machen und nur mit der kopie hantieren.
Somit ist das Original Original
Und kann jederzeit vor GEricht als Beweis gebracht werden.
So ne Dock kostet 60,- rum
nen adapter für M2 SSDs so 20-30 rum
und neue SSDs halt....
Ein Image ist keine forensischer beweis, der beweis ist nur das Original.
EDITH: ja doch es ist ein Beweis aber nur wenn du dafür spezial Hardware und Software zulegst und entsprechende spezial Images erstellst, aber das sprengt alle kosten... letztes mal wo ich mir sowas mal angeschaut hab vor paar Jahren kommt man auf ca. 3000,- für so ein System oder mehr...
Und Büro PC SSDs kosten 30,- rum 256 GB SSD sollte einem Wert sein wenn man es forensisch 100% original haben will
ich mein cloud backup?
angenommen da liegen 200GB daten drauf.... na viel spass beim hochladen... und dann nach 5 Tagen kannst den PC wieder neu installieren, mit was ? mit nem verseuchten USB Stick.
Weil jeder USB Stick den du dran hängst ist als konterminiert anzusehen.
Einzigstes was akzeptabel ist, wäre dann ein USB CD/DVD ROM.
Daher ausbauen der SSD und neue rein, User arbeitet nach 2 stunden wieder... und dann kannst in ruhe Offline entscheiden was du mit der verseuchten SSD machen willst.
kauf die ne Dockingstation wo du 2 SATA Festplatten reinhängen kannst...
(oder SSDs oder mit SATA Adapter m2 ssd chips)
Dann kaufst ne neue SSD in der selben grösse und clonst mit der station.
Oder noch besser Original SSD ausbauen und eine neue SSD auf vorat halten und umbauen und damit den client neu installieren, dann hast das ORIGINAL forensisch griffbereit. Und vor allem den Client maximal schnell wieder funktionierend.
Und wenn dus anschauen willst, vorher mit der oben beschriebenen Dock ne kopie vom original machen und nur mit der kopie hantieren.
Somit ist das Original Original
Und kann jederzeit vor GEricht als Beweis gebracht werden.
So ne Dock kostet 60,- rum
nen adapter für M2 SSDs so 20-30 rum
und neue SSDs halt....
Ein Image ist keine forensischer beweis, der beweis ist nur das Original.
EDITH: ja doch es ist ein Beweis aber nur wenn du dafür spezial Hardware und Software zulegst und entsprechende spezial Images erstellst, aber das sprengt alle kosten... letztes mal wo ich mir sowas mal angeschaut hab vor paar Jahren kommt man auf ca. 3000,- für so ein System oder mehr...
Und Büro PC SSDs kosten 30,- rum 256 GB SSD sollte einem Wert sein wenn man es forensisch 100% original haben will
ich mein cloud backup?
angenommen da liegen 200GB daten drauf.... na viel spass beim hochladen... und dann nach 5 Tagen kannst den PC wieder neu installieren, mit was ? mit nem verseuchten USB Stick.
Weil jeder USB Stick den du dran hängst ist als konterminiert anzusehen.
Einzigstes was akzeptabel ist, wäre dann ein USB CD/DVD ROM.
Daher ausbauen der SSD und neue rein, User arbeitet nach 2 stunden wieder... und dann kannst in ruhe Offline entscheiden was du mit der verseuchten SSD machen willst.
Moin,
Das ist wohl ein Widerspruch in sich. Wenn Du ein vollständiges Backup erstellst, dann ist das eine 1:1 Kopie. Und forenisch, also für alle denkbaren Nachforschungen geeignet, ist es nur bei 1:1 Kopie. Imageprogramme, die nur die belegten Bereiche clonen, nehmen eben gerade nicht freigegebene Sektoren mit, in denen dann ggf. etwas Interessantes gewesen wäre. Ob Du nun Clonezilla oder eines der vielen anderen Image-Programme nimmst (die, vom Stick gebootet, alle Cold Clone machen), ist egal, Du wirst an dem Prinzip nicht vorbeikommen. Du benötigst also immer genau so viel (oder mehr) Speicher, wie der Ursprungsdatenträger.
Was natürlich alternativ geht, ist, z.B. eine 512 GB SSD als 1:1 Image auf eine 8 TB HDD zu sichern, dann passen auf die eine HDD 16 Imagedateien dieser Größe.
Gruß
DivideByZero
Außerdem möchte ich zusätzlich dazu ein vollständiges Backup der Festplatte erstellen.
Das Klonen mit Clonezilla kommt nicht infrage, da wir hier für jeden Klon eine eigene Festplatte opfern müssen, welche keine anderen Daten aufnehmen kann.
Das Klonen mit Clonezilla kommt nicht infrage, da wir hier für jeden Klon eine eigene Festplatte opfern müssen, welche keine anderen Daten aufnehmen kann.
Das ist wohl ein Widerspruch in sich. Wenn Du ein vollständiges Backup erstellst, dann ist das eine 1:1 Kopie. Und forenisch, also für alle denkbaren Nachforschungen geeignet, ist es nur bei 1:1 Kopie. Imageprogramme, die nur die belegten Bereiche clonen, nehmen eben gerade nicht freigegebene Sektoren mit, in denen dann ggf. etwas Interessantes gewesen wäre. Ob Du nun Clonezilla oder eines der vielen anderen Image-Programme nimmst (die, vom Stick gebootet, alle Cold Clone machen), ist egal, Du wirst an dem Prinzip nicht vorbeikommen. Du benötigst also immer genau so viel (oder mehr) Speicher, wie der Ursprungsdatenträger.
Was natürlich alternativ geht, ist, z.B. eine 512 GB SSD als 1:1 Image auf eine 8 TB HDD zu sichern, dann passen auf die eine HDD 16 Imagedateien dieser Größe.
Gruß
DivideByZero
wäre nicht die erste Frage was wirklich gewollt ist? Will man die Daten revisionssicher kopieren (zB. Mails) ist das ja ein anderer Ansatz ans wenn ich es wirklich forensich machen will (dann müsste man ne bitweise kopie als Image erstellen). Letzteres dürfte aber vermutlich eher nur in Ausnahmefällen nötig sein - weil sich natürlich jeder darüber kaputtlachen wird sofern das nicht durch einen ext. Dienstleister mit Zertifikat erstellt wurde. Wer sagt denn das der Admin nicht eben genau VOR dieser Kopie noch schnell Daten "angepasst" hat? Wenns also "In-House" ist wäre das vermutlich in den meisten Fällen ziemlich sinnlos... Und wenn wäre hier eben wirklich ne ext. Klon-Station am sinnvollsten weil ne eingebaute Festplatte ja bei Windows gerne mal auch geschrieben wird (und sei es nur der Recycled Ordner) was dann eben streng genommen nicht mehr dem Original-Zustand entspricht....
Hallo,
für die beschriebene Nische fällt mir nur OSFClone ein. Du tauschst damit Plattform-Kompatibilität gegen dokumentierte Eigenschaften des Boot-Mediums. Da letztere forensisch in keinem Fall ideal sein können, ist der Vorteil im Hausgebrauch gegenüber dd auf "normalen" Live-Umgebungen (sachgerechte Handhabung vorausgesetzt) meines Erachtens nicht allzu groß. Aber es ist ja auch kostenlos.
Die gängigen Imager basieren meist auf Windows und sind nicht fertig bootfähig (es gab/gibt Anleitungen für "forensische" WinRE- und WindowsToGo-Umgebungen, finde ich aber sehr mühsam und kein etabliertes Vorgehen). Der Bedarf in der Praxis ist die Kopie offline am Write-Blocker oder live mit geringem Footprint, eher nicht offline auf derselben Hardware. Da der Write-Blocker direkt an einem Auswerterechner hängen kann, ist ein dedizierter Imager in erster Linie für die Live-Kopie erforderlich, danach richten sich die verfügbaren Produkte.
Für die Live-Kopie unter Windows und, unter den genannten Vorbehalten, auch für ein anderes Vorgehen bevorzuge ich X-Ways Imager.
Grüße
Richard
für die beschriebene Nische fällt mir nur OSFClone ein. Du tauschst damit Plattform-Kompatibilität gegen dokumentierte Eigenschaften des Boot-Mediums. Da letztere forensisch in keinem Fall ideal sein können, ist der Vorteil im Hausgebrauch gegenüber dd auf "normalen" Live-Umgebungen (sachgerechte Handhabung vorausgesetzt) meines Erachtens nicht allzu groß. Aber es ist ja auch kostenlos.
Die gängigen Imager basieren meist auf Windows und sind nicht fertig bootfähig (es gab/gibt Anleitungen für "forensische" WinRE- und WindowsToGo-Umgebungen, finde ich aber sehr mühsam und kein etabliertes Vorgehen). Der Bedarf in der Praxis ist die Kopie offline am Write-Blocker oder live mit geringem Footprint, eher nicht offline auf derselben Hardware. Da der Write-Blocker direkt an einem Auswerterechner hängen kann, ist ein dedizierter Imager in erster Linie für die Live-Kopie erforderlich, danach richten sich die verfügbaren Produkte.
Für die Live-Kopie unter Windows und, unter den genannten Vorbehalten, auch für ein anderes Vorgehen bevorzuge ich X-Ways Imager.
Grüße
Richard