Fast Vollausstattung

Ein Nachteil ist den Autoren des Linux-Magazins in der Liste der vorhandenen Programme jedoch aufgefallen. Die zunehmende Verbreitung von virtuellen Systemen macht geeignete Programme für den Umgang mit EWF- oder AFF-Images notwendig. Zwar befindet sich »mount-ewf« auf der Live-CD, das wesentlich leistungsstärkere Xmount [8] des zweiten Luxemburger Geeks - Gillen Daniel - ist aber nicht installiert.

Nach der Kontaktaufnahme mit den italienischen Entwicklern sagten die jedoch zu, es in die nächste Version (2.5), deren Erscheinungstermin allerdings noch nicht feststeht, zu integrieren. Dabei wird auch Guymager ein Update auf die Version 0.5.7 erhalten. Admins können dann die forensischen Images direkt im EWF- oder AFF-Format mounten und auf Dateiebene auswerten.

Windows-Betriebssysteme benötigen eventuell noch ein wenig Nachhilfe in Form von Opengates [9], das den bekannten initialen Bluescreen beseitigt. Auf der Webseite von Gillen Daniel hat das Tool jüngst übrigens einen kleinen Bruder bekommen: Ein ISO-Image namens Openjobs leistet Starthilfe für virtualisierte Macs [10].

Die Tools auf der Caine-CD bieten auch Hilfestellungen für typische Probleme normaler Admins. Das Programm Ntfsundelete beispielsweise restauriert gelöschte Dateien. Der Befehl in Listing 1 zeigt einen etwas kryptischen, jedoch sehr effizienten Ansatz, der in einem konkreten Fall einen Kollegen vor dem Verlust von 2000 Dateien bewahrte, nachdem er vielleicht etwas voreilig eine USB-Festplatte vom System getrennt hatte.

01 ntfsundelete /dev/sda1 -p 100 | awk '{print $1}' | egrep "^[[:digit:]]" | while read inode; do ntfsundelete -u -i${inode} -d /tmp/recovered/ /dev/sda1 ; done

Das Kommando rekonstruiert alle Dateien einer Partition »/dev/sda1«, die eine Herstellungswahrscheinlichkeit von 100 Prozent haben. Die reanimierten Dateien befinden sich nach erfolgreicher Arbeit im Verzeichnis »/tmp/recovered«.

Auch verloren geglaubte Files lassen sich mit Caine finden. Sleuthkit bringt dazu das Kommando Fls mit:

fls -r /dev/sda1 > /tmp/lost.log

Oder für gelöschte Dateien:

fls -rd /dev/sda1 > /tmp/deleted.log

Der Spürhund liegt seit Juli in Version 3.1.3 vor, kurz vor Redaktionsschluss dieses Heftes haben die Entwickler eine Beta der Version 3.2 veröffentlicht, die neue Werkzeuge zur automatisierten Arbeit bereitstellt. Gut möglich, dass die stabile Version bis zu Caine 2.5 fertig wird.

Fuse, ZFS, NFTS, Sshfs

Auch Fuse [11] gehört zu den wichtigsten Werkzeugen des Forensikers, wenn er auch meist nur indirekt mit diesen Werkzeugen arbeitet. Dazu zählt auch das angesprochene NTFS-3g. Noch ist unklar, wie Oracles ZFS-Dateisystem Einzug in die Welt der Betriebsysteme halten wird. Kernel-basierte Lösungen gibt es derzeit nur für Free BSD und nicht unter Linux. Der Grund dafür liegt in der GPL. In der Caine-CD ist im Userspace ein Fuse-Treiber für ZFS bereits integriert. So lassen sich auch Solaris- und Free-BSD-Maschinen mit ZFS-Dateisystemen analysieren. Der Performance-Verlust dieser Lösung auf Userspace-Ebene ist in der Forensik meist vernachlässigbar.

Leider fehlt ein wichtiger weiterer Fuse-Treiber: »sshfs«. Er spielt beim Erstellen logischer Sicherungen vielfach eine wichtige Rolle, komplette Root-Server aus Serverfarmen lassen sich mit Befehlen wie »sshfs -p Port IP-Adresse:/ /mnt« per SSH mounten und vorab betrachten.Sshfs ist der handlichste Treiber, der immer dann ins Spiel kommt, wenn "Gefahr im Verzug" und somit Eile geboten ist. Den Caine-Entwicklern zufolge wird Sshfs in der nächsten Version ebenfalls enthalten sein.