Open Source im professionellen Einsatz
Linux-Magazin 03/2011
© Ed Phillips, 123RF.com

© Ed Phillips, 123RF.com

Automatisiertes Wiederherstellen von Dateien mit Sleuthkit 3.2

Wider das Vergessen

,

Das Forensik-Toolkit Sleuthkit hilft Admins beim Retten versehentlich gelöschter Dateien. Forensiker kommen damit Verdächtigen auf die Schliche. Die neue Version 3.2 automatisiert jetzt ehemals komplizierte Abläufe, unterstützt zahlreiche Dateisysteme und läuft auch auf Mac OS und BSD.

424

Als Coroner bezeichnet der englische Sprachraum den Rechtsmediziner oder einen Untersuchungsrichter, der forensische Analysen durchführt. In der Welt der freien Software ist das Coroner's Toolkit von Brian Carrier jedem Datenforensiker ein Begriff, wenn auch eher unter seinem heutigen Namen. Als Sleuthkit [1] hilft der Werkzeugkasten Admins beim Wiederherstellen gelöschter Files, auch auf Dateisystemen, die eigentlich keine Undelete-Funktion vorsehen.

Die Expertise des Entwicklers kann sich sehen lassen: In seinem Buch "File System Forensic Analysis" [2] beschreibt er detailliert heutige Dateisysteme. Dort zerlegt er auch Microsofts proprietäres NTFS und macht seine Analyse publik, was nicht zuletzt diversen Open-Source-Projekten hilft.

Ende 2010 veröffentlichte Carrier die neueste Version 3.2 (auf der DELUG-DVD), die auch dem nicht forensisch veranlagten Admin einige Gründe liefert, sie genauer unter die Lupe zu nehmen. Zwar hat sich das Spürhundkit ("sleuth" steht auch fürs Schnüffeln) zum De-facto-Standard für Open-Source-Forensiker entwickelt, enthalten sind aber auch zahlreiche Kommandozeilen-Programme, die die posthume Rekonstruktion von Dateien und Abläufen auf einem Rechner erlauben.

Wer die Kommandozeile nicht mag, dem bietet die Community grafische Aufsätze für Sleuthkit. Der bekannteste davon ist Autopsy [3], ebenfalls aus der Schmiede von Brian Carrier. Es liegt aber nur in der betagten Version 2.24 vom März 2010 vor, ein Update wird sehnlichst erwartet. Auf Anfrage des Linux-Magazins teilten die Entwickler immerhin mit, dass die Modernisierung von Autopsy derzeit volle Priorität habe.

Sich einen Spürhund zulegen

Das Backend von Sleuthkit dagegen ist brandneu und bringt einige nützliche Konsolentools mit. Alle aktuellen Distributionen installieren derzeit noch Version 3.1.x. Um die 3.2 zu nutzen, sind also Sourcen zu kompilieren.

Die Autoren des Linux-Magazins testeten dies auf Debian Squeeze, Ubuntu 10.04 und Maverick, Free BSD sowie Mac OS X und erlebten eine kleine Überraschung. Aus Erfahrung begannen sie mit Debian und Ubuntu, die beiden Nicht-Linuxe sollten später folgen. Doch ließen sich weder mit Debian Squeeze noch mit Ubuntu Binärdateien erzeugen, während Free BSD und Mac OS X ohne zu murren mitspielten.

Hilfe von Lenny

Nach einer Recherche in Foren und Mailinglisten erwies sich das Problem als durchaus gängig. Ausführbare Binaries brachte erst die Idee, ein veraltetes Debian Lenny zum Paketbau zu nutzen. Weil das nicht jeder bei der Hand hat, liegen die so generierten ».deb«-Pakete für 32 und 64 Bit der DELUG-DVD bei. Sie sind unter Squeeze oder einem aktuellen Ubuntu problemlos übers Paketmanagement installierbar. Wer sich auch das sparen will, findet auf der DVD eine Live-CD, die ebenfalls Sleuthkit 3.2 enthält, das erste Versuche ermöglicht, zum Beispiel am eigenen Rechner.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Raid wiederherstellen

    Der Artikel zeigt, wie sich ein System mit Hardware-Raid in ein virtuelles System überführen lässt, wobei die Admins – gewissermaßen on the Fly – auch noch das Dateisystem verändern. Dafür kommen Bordmittel sowie Virtualisierungs- und Forensiktools zum Einsatz.

  • GPT

    GPT – die GUID-Partitionstabelle – löst bei großen Festplatten den gewohnten Master Boot Record zwangsweise ab. Die normalen Linux-Fdisk-Programme kommen aber noch nicht klar mit dem neuen Partitionierungsschema. Mit den richtigen Tools ist der korrekte Dreh aber schnell gefunden.

  • Bitparade

    Im Zeitalter der Mausschubser löscht ein falscher Klick schnell wichtige Daten oder gar komplette Partitionen. Ist dann auch noch das Backup-Tool außer Betrieb, kann nur noch ein Rettungstrupp helfen. Verschiedene Helferlein versprechen Dateien und Partitionen aus dem Nirwana zurückzuholen.

  • Von wegen affig!

    Filesysteme und Imageformate gibt es viele, aber nur wenige können bei der Datensuche der unkomplizierten der Afflib Konkurrenz machen. Und die Images sind die kleinsten Ihrer Art.

  • Android-Backup

    Full Backup ohne Festplatte? Was bei Computern relativ leicht zu erledigen ist, das gehört zu den kniffligsten Aufgaben bei mobilen Geräten. Dann aber lassen sich sogar Chatprotokolle auslesen.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.