Forensische Analyse mit Autopsy

Eine wichtige Aufgabe nach einem Cybervorfall in Unternehmen ist, neben der unverzüglichen Bereitstellung alternativer Systeme zur Sicherung des Geschäftsbetriebs, die Aufarbeitung des Vorfalls und die Analyse betroffener Systeme. Neben unzähligen kostenpflichtigen Werkzeugen für die Analyse und Rekonstruktion von Logs und Daten gibt es auch sehr gute, frei verfügbare und quelloffene Werkzeuge wie die Tools der Sleuthkit-Sammlung und die zugehörige grafische Benutzeroberfläche Autopsy [1].

Nur mit Abbildern arbeiten

Bevor Sie sich an die Analyse der Festplatteninhalte machen, sollten Sie zunächst ein komplettes Abbild der Festplatte anlegen. Zwar können Sie mit Autopsy grundsätzlich auch direkt im laufenden System arbeiten oder nur einzelne Ordner analysieren, um aber auf Nummer sicher zu gehen und nicht durch versehentliche Schreibzugriffe auf die Festplatte wichtige Daten zu zerstören, schließen Sie die Festplatte zunächst an ein weiteres System an und erstellen etwa unter Linux mit dd ein entsprechendes Abbild.

Ob Sie anschließend mit der Festplatte oder dem Abbild weiterarbeiten, hängt auch ein wenig von den Umständen ab. Autopsy selbst macht da keine Unterschiede und unterstützt neben klassischen dd-Images auch solche im "Expert Witness Compression Format" (EWF), einem proprietären Format der EnCase-Software [2] des Softwareherstellers Opentext, oder Abbilder von virtuellen Maschinen in den Dateiformaten VMDK und VHD.

Installieren Sie nun Autopsy. Wenn Sie unter Windows arbeiten, können Sie die aktuelle Version mit allen Abhängigkeiten direkt von der Sleuthkit-Webseite herunterladen und mit dem enthaltenen Wizard installieren. Unter Linux installieren Sie zunächst Sleuthkit mit dem Paketmanager der von Ihnen eingesetzten Distribution. Anschließend wählen Sie auf der Webseite den Download der Autopsy-ZIP-Datei. Nach dem Entpacken starten Sie im

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.