Problemfall Dateisystem
Fast alle in Sleuthkit enthaltenen Kommandozeilen-Werkzeuge besitzen Schalter, um die unterstützten Dateisysteme und Imageformate aufzulisten. Auch das Programm Fls, das eigentlich dazu dient, Files und Verzeichnisse in einem Image anzuzeigen, gibt mit der Option »-f list« alle unterstützten Filesysteme aus (siehe Abbildung 1).
Abbildung 1: Sleuthkit unterstützt mittlerweile eine längliche Liste von Dateisystemen, auch auf Mac OS X. Prominente Vertreter wie ZFS, XFS oder Reiser fehlen zwar noch, aber auch die teure proprietäre Konkurrenz kann das nicht besser.
Leider fehlen noch wichtige Dateisysteme wie XFS, Reiser oder Btrfs. Ein schwacher Trost ist, dass auch jene Forensiker mit solchen Einschränkungen leben müssen, die mit teurer proprietärer Software arbeiten. Der Markt bietet dafür derzeit keine zufriedenstellende Lösung. Den Nutzern von Open-Source-Produkten steht immerhin der logische Zugriff mit Linux-Bordmitteln offen. Anwendern proprietärer Programme unter Windows bleibt nur der Griff zu aufwändigem File Carving [4]. Debian-basierte Systeme bringen zusätzlich noch XFS-Werkzeuge wie Xfsdump oder Xfsprogs.
Auch beim Shootingstar ZFS sieht es mit Sleuthkit schlecht aus. Dem Admin, der Suns Filesystem im Einsatz hat, bleibt nur die logische Auswertung, etwa mit den in der vorigen Ausgabe des Linux-Magazins beschriebenen Tools [5].
Undelete
"Alle reden von Backup, aber jeder will eigentlich Restore", so lautet ein häufig von Consultants postulierter Spruch. Das Wiederherstellen versehentlich gelöschter Dateien ist nicht nur für den Forensiker, sondern auch für Administratoren keine triviale Aufgabe. Gut dran ist zweifelsfrei derjenige, der Dateien auf einem NTFS-Dateisystem sucht. Im Bordmittel-Paket der Linux-Distributionen befindet sich das Programm Ntfsundelete, Debianer erhalten es durch die Installation der Ntfsprogs. Der im Linux-Magazin-Artikel [6] beschriebene rekursive Ansatz stellt mit einer Bash-Schleife so die meisten gelöschten Dateien einer NTFS-Partition wieder her. Probleme bereiten Dateien, deren Blöcke das Betriebssystem bereits ganz oder auch nur teilweise wieder überschrieben hat.
Diesen Artikel als PDF kaufen
Express-Kauf als PDF
Umfang: 4 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Als digitales Abo
Weitere Produkte im Medialinx Shop »
Versandartikel
Onlineartikel
Alle Rezensionen aus dem Linux-Magazin
- Buecher/07 Bücher über 3-D-Programmierung sowie die Sprache Dart
- Buecher/06 Bücher über Map-Reduce und über die Sprache Erlang
- Buecher/05 Bücher über Scala und über Suchmaschinen-Optimierung
- Buecher/04 Bücher über Metasploit sowie über Erlang/OTP
- Buecher/03 Bücher über die LPI-Level-2-Zertifizierung
- Buecher/02 Bücher über Node.js und über nebenläufige Programmierung
- Buecher/01 Bücher über Linux-HA sowie über PHP-Webprogrammierung
- Buecher/12 Bücher über HTML-5-Apps sowie Computer Vision mit Python
- Buecher/11 Bücher über Statistik sowie über C++-Metaprogrammierung
- Buecher/10 Bücher zu PHP-Webbots sowie zur Emacs-Programmierung
Insecurity Bulletin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...