qemu, kvm, xen & libvirtHauptseite | Über | Hilfe | FAQ | Spezialseiten | Anmelden

Druckversion | Impressum | Datenschutz

IT-Forensik, Computer-Forensik, Forensische Datenrettung, Advanced Forensic Format (AFF), Expert Witness Format (EWF), afflib, aimage, xmount

(Link zu dieser Seite als [[QEMU-KVM-Buch/ Speichermedien/ Forensik-Tools]])

<<<|###| >>> | English


[bearbeiten] Tools für die IT-Forensik

Bei der IT-Forensik werden digitale Spuren in Computersystemen zur Ermittlung von Tatbeständen analysiert. Zur Beweismittelsicherung werden Kopien der Speichermedien angelegt. Die Arbeitsschritte zum Kopieren der Festplatten sind im Abschnitt Physical-to-Virtual beschrieben (siehe http://qemu-buch.de/d/Speichermedien/_Physical-to-Virtual). Diese Images werden mit speziellen Programmen untersucht.

[bearbeiten] afflib

Website: http://www.afflib.org

Das Paket afflib enthält Werkzeuge zur Verwendung des Advanced Forensic Format (AFF). Die Installation unter Ubuntu ist mit einer Befehlszeile erledigt.

Host ~$ sudo apt-get install afflib

Um ein Datenträger als Image im Format AFF zu importieren dient der Befehl aimage. In diesem Beispiel wird /dev/sda eingelesen und als Image mit dem Namen Platte.aff geschrieben.

Host ~$ sudo aimage /dev/sda Platte.aff

Es lassen sich mit einem Befehl mehrere Datenträger importieren.

Host ~$ sudo aimage /dev/sda Platte1.aff /dev/sdb Platte2.aff

Zum Verifizieren eines AFF-Images ist der Befehl afinfo mit der Option -v anzuwenden.

Host ~$ afinfo -v Platte.aff

Zur Konvertierung eines Images im Advanced Forensic Format in ein Image im RAW-Format wird der Befehl afcat verwendet.

Host ~$ afcat Platte.aff > Platte-raw.img

Zur Überprüfung von Konvertierungen dient der Befehl afcompare.

Host ~$ afcompare Platte.aff Platte-raw.img
Platte.aff and Platte-raw.img: files compare okay

[bearbeiten] xmount

Download: https://www.pinguin.lu/index.php

In der Computer-Forensik werden Images meist im Advanced Forensic Format (AFF) oder Expert Witness Format (EWF) gespeichert. Zur Konvertierung dieser Formate dient das Linux-Tool xmount. Dieses Tool legt virtuelle Images in Mount-Points an. Diese virtuellen Images können von QEMU oder anderen Emulatoren beziehungsweise Virtualisierungslösungen verwendet werden. xmount nutzt dazu das Filesystem in Userspace (FUSE). xmount steht als Debian-/Ubuntu-Paket zur Verfügung. Weiterhin kann dieses Tool aus den Quellen kompiliert werden. Zur Kompilation sind folgende Pakete notwendig (Beispiel Ubuntu):

Host ~$ sudo apt-get install libfuse-dev libfuse2 fuse-utils 
Host ~$ sudo apt-get install libecryptfs-dev 

Die Quellen werden heruntergeladen, entpackt und kompiliert.

Host ~$ mkdir xmount
Host ~$ cd xmount
Host ~$ wget --no-check-certificate  \
        https://files.pinguin.lu/projects/xmount-0.4.0-src.tar.gz
Host ~$ tar xzvf xmount-0.4.0-src.tar.gz
Host ~$ cd xmount-0.4.0
Host ~$ ./configure && make
Host ~$ sudo make install

Die Optionen von xmount listet -h auf.

Host ~$ xmount -h 

xmount kann Images in den Formaten raw (dd), Advanced Forensic Format (aff) und Expert Witness Format (ewf) einlesen. Zur Angabe des Eingabe-Formates dient die Option --in. Mit der Option --out können virtuelle Images in den Formate RAW (dd), VirtualBox (vdi) und VMware (vmdk) generiert werden. Zur Verdeutlichung der Arbeitsweise wird ein Image im Format qcow2 als ein Image im Format raw (dd) abgebildet.

Host ~$ qemu-img info Platte-qcow2.img
file format: qcow2

Da xmount das Format qcow2 nicht lesen kann, ist dieses Image mit qemu-img umzuwandeln.

Host ~$ qemu-img convert -O raw Platte-qcow2.img Platte-raw.img

Es ist ein Verzeichnis als Mount-Point für das Filesystem in Userspace (FUSE) anzulegen.

Host ~$ mkdir fusemp

xmount wird mit den Optionen --in und --out zur Angabe der Formate aufgerufen. Anschließend ist der Name des zu lesenden Images und der Mount-Point anzugeben. Mit der Option --cache wird eine Overlay-Datei vorgegeben. Dadurch wird das ursprüngliche Image nicht verändert. Alle Änderungen werden in die angegebene Overlay-Datei geschrieben.

Host ~$ xmount --cache Platte.ovl --in dd --out dd Platte.img fusemp

Im Mount-Point steht nun das virtuelle Image zur Verfügung.

Host ~$ qemu-img info fusemp/Platte.dd
image: fusemp/Platte.dd
file format: raw
virtual size: 230M (241172480 bytes)
disk size: 0

Mit QEMU lässt sich das Betriebssystem auf diesem virtuellen Image booten.

Host ~$ qemu-system-x86_64 fusemp/Platte.dd

Das virtuelle Image lässt sich konvertieren.

Host ~$ qemu-img convert -O qcow2 fusemp/Platte.dd Platte-qcow2.img

Mit qemu-img und dem Parameter check kann man Images im Format qcow2 überprüfen.

Host ~$ qemu-img check Platte-qcow2.img
No errors were found on the image.

Wird das virtuelle Image nicht mehr benötigt, ist der FUSE-Mount auszuhängen.

Host ~$ sudo umount fusemp

Ein Image im Advanced Forensic Format (AFF) wird mit der Option --in aff als virtuelles Image abgebildet.

Host ~$ xmount --in aff --out dd Platte.aff fusemp/

Um ein aus mehreren Dateien bestehendes Image im Expert Witness Format (EWF) als virtuelles Image im Format raw abzubilden, ist die Option --in ewf anzuwenden. Die Namen der EWF-Dateien werden mit den Wildcards *.E?? adressiert. xmount erkennt die Dateien automatisch.

Host ~$ xmount --cache Platte.ovl --in ewf --out dd *.E?? fusemp

<<<|###|>>> http://www.qemu-buch.de

Von „http://qemu-buch.de/de/index.php?title=QEMU-KVM-Buch/_Speichermedien/_Forensik-Tools

Diese Seite wurde bisher 31.546 mal abgerufen. Diese Seite wurde zuletzt am 23. November 2011 um 18:20 Uhr geändert. Inhalt ist verfügbar unter der GNU Free Documentation License 1.2.


Finden

Blättern

News

Deutsch
Weitersagen
Tipps für Autoren
Autoren
Impressum


English
Recommendation
The Authors
Contact



Letzte Änderungen


Ändern
Seite bearbeiten
Bearbeitungshilfe
Seitenoptionen
Diskussion
Kommentar hinzufügen
Druckversion
Seitendaten
Versionen
Links auf diese Seite
Änderungen an verlinkten Seiten
Meine Seiten
Anmelden
Spezialseiten
Neue Seiten
Dateiliste
Statistik
Kontakt
Mehr …