Automatisiertes Wiederherstellen von Dateien mit Sleuthkit 3.2

Automatik-Tools

Was aber, wenn es sich um ein Linux-Dateisystem oder eine BSD-Variante handelt? Hier waren bisher aufwändige Konstruktionen mit »fls« und »mactime« notwendig, beides Programme aus dem Sleuthkit. Eleganter wäre allerdings ein Pendant zu Ntfsundelete, das alle erfolgreich rekonstruierten Dateien einfach in einen beliebigen Ordner - in der Regel auf einer externen Festplatte - kopiert und auf diese Weise auch die Verzeichnisstrukturen bewahrt.

Genau diese Wünsche bedient die neue Schnüfflerversion. Vier neue Programme stehen zur Verfügung, die alle mit »tsk_« (für "The Sleuth Kit") beginnen: »tsk_comparedir«, »tsk_gettimes«, »tsk_loaddb« und »tsk_recover«. Tsk_recover stellt gelöschte Dateien automatisch wieder her, aber auch nur, wenn andere Dateien sie nicht bereits überschrieben haben. Diese können auf den erwähnten Dateisystemen liegen, auch ein »tsk_recover -f list« bestätigt die Unterstützung.

Partition oder Platte?

Ein Administrator sucht verlorene Dateien meist direkt auf der Partition seiner Festplatte, während dem Forensiker in der Regel EWF- oder AFF-Images [7] vorliegen. Ob das Tool die gewünschten Formate unterstützt, zeigt der Befehl »tsk_recover -i list« (Listing 1). Die Formate »raw« und »split« kennt Sleuthkit immer, »ewf« und »aff« nur dann, wenn der Admin »libewf« und »afflib« vor dem Kompilieren der Sourcen installiert hat.Tsk_recover lässt sich sowohl auf eine Partition als auch auf die gesamte Festplatte anwenden, da es die vorhandenen Partitionen automatisch erkennt. Oft ist es jedoch besser und übersichtlicher, eine Partition nach der anderen durchzugehen. Die ermittelt das Sleuthkit-Tool »mmls« und liefert den Offset der einzelnen Partitionen (Listing 2).

Listing 1: »tsk_recover -i list«
01 Supported image format types: 02 raw (Single raw file (dd)) 03 aff (Advanced Forensic Format) 04 afd (AFF Multiple File) 05 afm (AFF with external metadata) 06 afflib (All AFFLIB image formats (including beta ones)) 07 ewf (Expert Witness format (encase)) 08 split (Split raw files)

Listing 1: »tsk_recover -i
list«

01 Supported image format types:
02  raw (Single raw file (dd))
03  aff (Advanced Forensic Format)
04  afd (AFF Multiple File)
05  afm (AFF with external metadata)
06  afflib (All AFFLIB image formats (including beta ones))
07  ewf (Expert Witness format (encase))
08  split (Split raw files)

Listing 2: »mmls /dev/sda«
01 GUID Partition Table (EFI) 02 Offset Sector: 0 03 Units are in 512-byte sectors 04 05 Slot Start End Length Description 06 00: Meta 0000000000 0000000000 0000000001 Safety Table 07 01: ----- 0000000000 0000002047 0000002048 Unallocated 08 02: Meta 0000000001 0000000001 0000000001 GPT Header 09 03: Meta 0000000002 0000000033 0000000032 Partition Table 10 04: 00 0000002048 0585936895 0585934848 11 05: 01 0585936896 1171873791 0585936896 12 06: 02 1171873792 1175779327 0003905536 13 07: 03 1175779328 1183592447 0007813120 14 08: 04 1183592448 3231592447 2048000000 15 09: 05 3231592448 3805032447 0573440000 16 10: 06 3805032448 3907028991 0101996544 17 11: ----- 3907028992 3907029167 0000000176 Unallocated

Listing 2: »mmls
/dev/sda«

01 GUID Partition Table (EFI)
02 Offset Sector: 0
03 Units are in 512-byte sectors
04 
05      Slot       Start           End             Length          Description
06 00:  Meta       0000000000      0000000000      0000000001      Safety Table
07 01:  -----      0000000000      0000002047      0000002048      Unallocated
08 02:  Meta       0000000001      0000000001      0000000001      GPT Header
09 03:  Meta       0000000002      0000000033      0000000032      Partition Table
10 04:  00         0000002048      0585936895       0585934848
11 05:  01         0585936896      1171873791      0585936896
12 06:  02         1171873792      1175779327      0003905536
13 07:  03         1175779328      1183592447      0007813120
14 08:  04         1183592448      3231592447      2048000000
15 09:  05         3231592448      3805032447      0573440000
16 10:  06         3805032448      3907028991      0101996544
17 11:  -----      3907028992      3907029167      0000000176      Unallocated