Mit Xmount alle gängigen Imageformate in Virtualisierungen verwenden

Es ist ein Kreuz mit Liveview [1]. Zwar gehört das Open-Source-Werkzeug zum Standardequipment jedes Forensikers und verrichtet tadellos seinen Dienst. Dennoch hat das Programm trotz Java einen entscheidenden Nachteil: Vollen Umfang gibt es nur auf Windows, den Linux-Admins bleibt nur eingeschränkte Funktionalität.

Marktführer Liveview

Weil aber Liveview als einziges Tool fast alle Imageformate beherrschte, wichen viele Ermittler auf Windows XP aus und verzichteten auf die Annehmlichkeiten moderner Linux-Systeme wie die höhere Rechengeschwindigkeit dank 64-Bit-Support oder mehr als 4 GByte RAM. Das wirkt sich gerade bei der alltäglichen, rechenintensiven Arbeit auf Auswertesystemen deutlich aus: Es sind in der Regel Virtualisierungsserver, auf denen Anwender die zu untersuchenden virtuelle Festplatenimages laden.

Trotzdem ist aufgrund der Inkompatibilitäten zwischen Liveview und Linux der Standard unter Forensikern weiterhin die Kombination aus VMware, Liveview und XP. Dank eines Entwicklers der luxemburgischen Polizei ändert sich das gerade.

Fuse sei Dank

Gillen Daniel ist Forensiker bei der Abteilung "Neue Technologien" der Kriminalpolizei und erstellte nach dem Vor- bild von Mount-ewf und Affuse ein C-Programm, das das Mounten von EWF- und Raw-Mounten von EWF- und Raw-Dateien über Fuse ermöglicht - Xmount (sprich "Crossmount", [2]).

Weil die neueste Version (exklusiv auf der DELUG-DVD) auch das Advanced Forensik Format (AFF, [3]) beherrscht, steht erstmals für Linux ein Werkzeug zur Verfügung, das alle gängigen Forensikformate on the Fly konvertiert und sich für beliebige Virtualisierungen (zum Beispiel KVM, Qemu, Virtualbox) eignet. Xmount lässt sich intuitiv bedienen und lädt ein aus zahlreichen Dateien bestehendes EWF-Image mit dem Befehl:

 
xmount --in ewf --out dd *.E?? /mnt

Sofort steht das Image als virtuelle Festplatte unter »/mnt« für die Analyse auf Dateisystemebene bereit. EWF-Images liegen meist in gesplitteter, aufsteigend nummerierter Form vor, Xmount findet die Zugehörigkeit automatisch über die Maske »*.E??«.

Wer als Ausgabeformat ein Image für Virtualbox bevorzugt, benutzt die Option »--out vdi«. Beim Mounten sollten diese Nutzer beachten, dass sie den Befehl mit dem Benutzerrecht ausführt, mit dem sie später auch Virtualbox starten. Je nach Installation oder Distribution ist hier auch die Mitgliedschaft in den Gruppen »fuse« und »vboxusers« nötig. Die neuesten Fuse-Implementierungen verlangen sogar eine Änderung in »/etc/fuse.conf«: In der letzten Zeile sollte »user_allow_other« eingetragen sein.

Mit der bisherigen Syntax kann der Admin die Images lediglich auf Dateisystem-Ebene analysieren, aber nicht virtuell booten. Mit Virtualbox, KVM oder Qemu ist dafür noch ein Overlay-File mit Schreibzugriff notwendig. Dazu enthält Xmount die Option »--cache overlaydatei.ovl«. Alle Schreibvorgänge, die ein startendes Betriebssystem durchführen muss, landen in dieser Datei. Das Originalimage wird nicht modifiziert - ein gerade für die kriminologische Beweisführung wichtiger Aspekt.