Uhrenvergleich

Damit nicht genug, auch die anderen drei Neuheiten in Version 3.2 fördern Interessantes zu Tage:

• »tsk_gettimes« erzeugt die für den Forensiker
  wichtigen Zeitstempelinformationen.
• »tsk_comparedir« vergleicht zwei Verzeichnisse und
  gibt die Unterschiede detailliert aus.
• »tsk_loaddb« erstellt eine indizierte, schnell
  durchsuchbare SQLite-Datenbank mit allen gelöschten
  Files.

Tsk_gettimes und Tsk_comparedir sind weitgehend selbsterklärend, einen besonderen Blick verdient jedoch Tsk_loaddb. Um das ständig steigende Datenaufkommen auch künftig in den Griff zu bekommen, bietet es sich an, die gesammelten forensischen Informationen zu indizieren und in einer Datenbank zu speichern. Sleuthkit bringt dafür erstmals ein Tool mit: »tsk_loaddb -d /tmp/bsd3 freebsd.E01« erstellt eine Datei »freebsd.E01.db« im SQLite-Format. Wer deren Inhalt einsehen will, muss den SQLitebrowser installieren (»aptitude install sqlitebrowser«) und unter »Anwendungen | Software Entwicklung | SQLitebrowser« starten. Abbildung 3 zeigt die Datenbankstruktur im ».db«-File.

Abbildung 3: Tsk_loaddb erstellt eine SQLite-Datenbank mit den gelöschten Dateien einer Partition.

Zusätzliche Information erhält der Anwender, wenn er SQL-Befehle wie »SELECT * FROM tsk_fs_files;« einsetzt (Abbildung 4). Auf den ersten Blick ist die Ausgabe allerdings nicht sehr aussagekräftig, teilweise sind wichtige Informationen gut versteckt.

Abbildung 4: Alle gelöschten und wiederhergestellten Dateien im Überblick. Der SQLitebrowser ist als GUI nicht perfekt, aber ein Anfang. Kommerzielle Hersteller wie Access Data setzen auf Oracle-Datenbanken.

Proprietäre Software wie zum Beispiel das Forensik Toolkit (FTK) von Access Data [9] setzt auf eine Ressourcen-hungrige Oracle-Datenbank. Das Indizieren der Files dauert dabei teilweise erschreckend lange, anschließend wird die Geduld des Anwenders jedoch mit einer schicken Oberfläche belohnt.

Datenbanken - oder was?

In Zeiten schnell wachsender Datenmengen führt der Weg für Auswertungs-Tools wie Sleuthkit über Datenbanken. Auch für Admins, die versehentlich gelöschte Dateien wiederherstellen müssen, bietet sich bereits ab mittleren Partitionsgrößen das flinke SQLite-Backend an.

Aber dessen Vorteil tritt eigentlich nur dann deutlich zu Tage, wenn grafische Oberflächen wie bei Windows-Programmen oder GUIs wie Autopsy im Spiel sind. Deren Arbeit und Abfragegeschwindigkeit lässt sich mit Datenbanken deutlich steigern, während die flinken Linux-Kommandozeilentools weniger profitieren. Die SQL-Statements arbeiten hier nicht so viel schneller als die klassische Befehlszeile.

Mausschubser dagegen, die auf eine Grafikoberfläche nicht verzichten wollen, profitieren deutlich. Und nicht zuletzt deshalb wollen die Entwickler um Brian Carrier in den nächsten Monaten das Web-GUI Autopsy voranbringen und so Sleuthkit einem noch größeren Benutzerkreis nahebringen.

Der Autor
Hans-Peter Merkel ist mit dem Schwerpunkt Datenforensik seit vielen Jahren in der Open- Source-Community aktiv. Er bildet Mitarbeiter von Strafverfolgungsbehörden in Europa, Asien und Afrika aus und engagiert sich als Gründer und Vorsitzender bei Freioss und Linux4afrika.