Die Afflib als Ersatz für proprietäre Forensiktools

Träume werden wahr mit der Afflib. Das behaupten zumindest viele Forensiker. Mit dem Advanced Forensics Format ginge alles schneller, kleiner und vor allem in freier Software. Interessanterweise ist die von Simson Garfinkel [1] entwickelte Afflib ([2], [3]) tatsächlich deutlich ausgereifter als es ihr Bekanntheitsgrad vermuten läßt. Ähnlich wie Libewf [4], der Quasi-Standard in der Forensik, arbeitet auch sie mit Komprimierung und unterscheidet sich so vom üblichen DD und artverwandten Programme wie Dc3dd [5], Dcfldd [6], oder Dd_rescue [7].

Schon wieder ein neuer Standard?

Weshalb nun ein neues Forensik-Format, wenn Raw-Images mit DD, komprimierte mit Libewf oder Qcow2 (siehe den Artikel Werkzeuge fürs Image in diesem Heft) doch bereits alles abdecken? Images unter der Libewf erstellt, bedeuten ein proprietäres Format, vom Platzhirsch Encase [4] erstmalig eingeführt. Diese Form von Monokultur hat immer Grenzen.

Patentstreitigkeiten sind vorhersehbar, wie zuletzt im Fall Microsoft gegen TomTom [8]. Mit der Afflib ist dagegen eine komplette Bibliothek verfügbar, die das Beste aus beiden Welten zwischen DD und Libewf vereint und in vielen Bereichen weit übertrifft.

Entwickler Garfinkel bietet auf der Projekt-Homepage diverse Forensikwerkzeuge an. Die beiden wichtigsten Programme sind die Afflib-Bibliothek selbst, sowie das Programm Aimage. Leider hat keines der beiden Softwarepakete Einzug ins Debian-Repository gefunden. Also bleibt nur die altbekannte Kombination: »./configure && make && make install«.

Wer die Programme lediglich zu Testzwecken analysieren möchte, findet auf der Heft-DVD ein passendes Debian-Live-Image. Auf der selbstständig bootenden CD ist eine wertvolle Sammlung forensischer Werkzeuge enthalten, speziell für die Arbeit an Unix-Systemen. Im Rahmen von Ermittlungsverfahren haben Forensiker mit dieser CD in den letzten sechs Monaten Images von über 100 Root-Servern im gesamten Bundesgebiet erfolgreich erzeugt.

CD-Sammlung für unterwegs

Nicht selten stellten sie in den Serverfarmen von ISPs fest, dass die üblichen Live-CDs wie Helix oder GRML den Bootvorgang verweigern, meist wegen fehlerhaften CD-ROM-Laufwerken. Jeder Profi führt aus diesem Grund immer eine ganze Sammlung verschiedener Tools bei sich.

Die CD arbeitet komplett kommandozeilenbasiert - auf eine Grafik haben die Entwickler absichtlich verzichtet. Auch wenn Live Distributionen normalerweise kein Passwort besitzen, ist hier das Root-Password auf »linux« gesetzt, um nach dem Bootvorgang einen einsatzfähigen SSH-Dienst zu erhalten.

Auf Anfrage ist auch ein bootfähiges Debian-Live-Image für USB-Sticks verfügbar. Diese Version enthält eine komplette GUI für "Mausschubser" und hat den Autoren in vielen Fällen so manchen Ärger erspart, in denen keine oder nur defekte CD-Laufwerke vorhanden waren, und so nur der USB-Anschluss in Frage kam.