FTK Imager ist eine Open-Source-Software von AccessData, mit der genaue Kopien der Originalbeweise erstellt werden können, ohne sie zu verändern. Das Abbild des Originalbeweises bleibt gleich und ermöglicht es uns, Daten mit einer viel schnelleren Geschwindigkeit zu kopieren, die bald erhalten bleiben und weiter analysiert werden können.
Der FTK Imager bietet Ihnen auch die eingebaute Integritätsprüfungsfunktion, die einen Hash-Bericht erzeugt, der beim Abgleich des Hashes des Beweises vor und nach der Erstellung des Abbildes des Originalbeweises hilft.
Inhaltsverzeichnis
- Erstellen eines forensischen Images
- Erfassen des Speichers
- Analysieren des Image-Dumps
- Abbild auf Laufwerk mounten
- Benutzerdefiniertes Inhaltsimage mit AD Verschlüsselung
- AD-Verschlüsselung entschlüsseln
- Geschützte Dateien erhalten
- EFS-Verschlüsselung erkennen
- Dateien exportieren
Beginnen wir mit der Erstellung einer Image-Kopie des Originalbeweises.
Erstellen eines forensischen Images
Das forensische Imaging ist einer der wichtigsten Schritte bei der digitalen forensischen Untersuchung. Es handelt sich dabei um die Erstellung einer Archiv- oder Sicherungskopie der gesamten Festplatte. Es handelt sich dabei um eine Speicherdatei, die alle notwendigen Informationen zum Booten des Betriebssystems enthält. Allerdings muss dieses Abbild auf die Festplatte übertragen werden, damit es funktioniert. Man kann eine Festplatte nicht wiederherstellen, indem man die Disk-Image-Dateien auf ihr ablegt, da sie mit einem Imaging-Programm geöffnet und auf der Festplatte installiert werden muss. Auf einer einzigen Festplatte können viele Disk-Images gespeichert werden. Disk-Images können auch auf Flash-Laufwerken mit größerer Kapazität gespeichert werden.
Öffnen Sie FTK Imager von AccessData nach der Installation, und Sie werden das Pop-up-Fenster sehen, das die erste Seite ist, auf der sich dieses Tool öffnet.
Nun, um ein Disk Image zu erstellen. Klicken Sie auf Datei > Disk Image erstellen.
Jetzt können Sie die Quelle auf der Grundlage des Laufwerks, das Sie haben, auswählen. Es kann ein physisches oder ein logisches Laufwerk sein, je nachdem, was Sie haben.
Ein physisches Laufwerk ist die primäre Speicherhardware oder die Komponente innerhalb eines Geräts, die zum Speichern, Abrufen und Organisieren von Daten verwendet wird.
Ein logisches Laufwerk ist im Allgemeinen ein Laufwerksspeicher, der über einer physischen Festplatte angelegt wird. Ein logisches Laufwerk hat seine eigenen Parameter und Funktionen, da es unabhängig arbeitet.
Wählen Sie nun die Quelle Ihres Laufwerks, von dem Sie eine Image-Kopie erstellen möchten.
Geben Sie den Zielpfad des zu erstellenden Images an. Aus forensischer Sicht sollte es auf eine separate Festplatte kopiert werden, und es sollten mehrere Kopien der Originalbeweise erstellt werden, um den Verlust von Beweisen zu verhindern.
Wählen Sie das Format des zu erstellenden Abbilds. Die verschiedenen Formate zur Erstellung des Images sind:
Raw(dd): Es handelt sich um eine Bit-für-Bit-Kopie des Originaldatensatzes, die ohne Hinzufügungen oder Löschungen erstellt wird. Sie enthalten keine Metadaten.
SMART: Es handelt sich um ein Image-Format, das für Linux verwendet wurde und heute nicht mehr gebräuchlich ist.
E01: Es steht für EnCase Evidence File, ein häufig verwendetes Format für Imaging und ist ähnlich wie
AFF: Es steht für Advanced Forensic Format, das ein Open-Source-Formattyp ist.
Nun fügen Sie die Details des Bildes hinzu, um fortzufahren.
Nun fügen Sie schließlich das Ziel der Bilddatei hinzu, benennen Sie die Bilddatei und klicken Sie dann auf Fertig stellen.
Nachdem Sie den Zielpfad hinzugefügt haben, können Sie nun mit dem Imaging beginnen und auch auf die Verifizierungsoption klicken, um einen Hash zu erzeugen.
Warten wir nun ein paar Minuten, bis das Image erstellt wurde.
Nachdem das Image erstellt wurde, wird ein Hash-Ergebnis generiert, das den MD5-Hash, den SHA1-Hash und das Vorhandensein von fehlerhaften Sektoren verifiziert.
Capturing Memory
Es handelt sich um eine Methode, bei der der Inhalt eines flüchtigen Inhalts erfasst und in ein nichtflüchtiges Speichergerät übertragen wird, um ihn für weitere Untersuchungen aufzubewahren. Eine Ram-Analyse kann nur dann erfolgreich durchgeführt werden, wenn die Erfassung genau durchgeführt wurde, ohne das Bild des flüchtigen Speichers zu beschädigen. In dieser Phase muss der Ermittler seine Entscheidungen zur Erfassung der flüchtigen Daten sorgfältig treffen, da sie nach einem Neustart des Systems nicht mehr vorhanden sind.
Beginnen wir nun mit der Erfassung des Speichers.
Um den Speicher zu erfassen, klicken Sie auf Datei > Speicher erfassen.
Wählen Sie den Zielpfad und den Zieldateinamen und klicken Sie auf Speicher erfassen.
Warten wir nun ein paar Minuten, bis der Speicher erfasst wird.
Bilddump analysieren
Nun analysieren wir das Dump-RAW-Bild, nachdem es mit FTK Imager erfasst wurde. Um mit der Analyse zu beginnen, klicken Sie auf File> Add Evidence Item.
Wählen Sie nun die Quelle der Dump-Datei aus, die Sie bereits erstellt haben, also wählen Sie hier die Option Image File und klicken Sie auf Next.
Wählen Sie den Pfad des Image-Dumps, den Sie erfasst haben, indem Sie auf Durchsuchen klicken.
Wenn der Image-Dump an den Analyseteil angehängt ist, sehen Sie einen Asservatenbaum, der den Inhalt der Dateien des Image-Dumps enthält. Dieser könnte sowohl gelöschte als auch überschriebene Daten enthalten.
Um andere Dinge weiter zu analysieren, werden wir nun dieses Asservat entfernen, indem wir mit der rechten Maustaste auf den Fall klicken und auf Asservat entfernen
Image auf Laufwerk mounten
Um das Image als Laufwerk in Ihrem System zu mounten, klicken Sie auf Datei > Image mounten
Wenn das Fenster Image als Laufwerk mounten erscheint, können Sie den Pfad zu der Image-Datei, die Sie mounten möchten, hinzufügen und auf Mounten klicken.
Nun können Sie sehen, dass die Image-Datei nun als Laufwerk gemountet wurde.
Benutzerdefiniertes Inhalts-Image mit AD-Verschlüsselung
FTK-Imager verfügt über eine Funktion, die es ermöglicht, Dateien eines bestimmten Typs entsprechend den Anforderungen des Prüfers zu verschlüsseln. Klicken Sie auf die Dateien, die Sie dem benutzerdefinierten Inhalts-Image mit AD-Verschlüsselung hinzufügen möchten.
Alle ausgewählten Dateien werden in einem neuen Fenster angezeigt, und klicken Sie dann auf Image erstellen, um fortzufahren.
Füllen Sie die erforderlichen Details für den zu erstellenden Nachweis aus.
Fügen Sie nun den Zielort der zu erstellenden Abbilddatei hinzu, benennen Sie die Abbilddatei und aktivieren Sie das Kontrollkästchen mit AD-Verschlüsselung, und klicken Sie dann auf Fertig stellen.
Ein neues Fenster zum Verschlüsseln des Bildes erscheint, geben Sie nun das Passwort ein, das Sie für Ihr Bild hinzufügen möchten.
Um die verschlüsselten Dateien zu sehen, klicken Sie nun auf Datei> Beweismittel hinzufügen…
Das Fenster zum Entschlüsseln der verschlüsselten Dateien erscheint, sobald Sie die Dateiquelle hinzufügen. Geben Sie das Passwort ein und klicken Sie auf OK.
Sie sehen nun die beiden verschlüsselten Dateien nach Eingabe der gültigen Passwörter.
Ad1-Bild entschlüsseln
Um das benutzerdefinierte Inhaltsbild zu entschlüsseln, klicken Sie auf Datei>Ad1-Bild entschlüsseln.
Nun müssen Sie das Passwort für die verschlüsselte Bilddatei eingeben und auf Ok klicken.
Warten Sie nun einige Minuten, bis das entschlüsselte Bild erstellt wurde.
Um das entschlüsselte benutzerdefinierte Inhaltsbild anzuzeigen, fügen Sie den Pfad der entschlüsselten Datei hinzu und klicken Sie auf Fertig stellen.
Sie können nun die verschlüsselten Dateien sehen, indem Sie das richtige Passwort zur Entschlüsselung verwenden.
Geschützte Dateien erhalten
Bestimmte Dateien sind bei der Wiederherstellung geschützt, um diese Dateien zu erhalten, klicken Sie auf Datei> Geschützte Dateien erhalten
Ein neues Fenster öffnet sich und klicken Sie auf Durchsuchen, um den Zielort der geschützten Datei hinzuzufügen, und klicken Sie auf die Option „Kennwortwiederherstellung und alle Registrierungsdateien“ und klicken Sie auf OK.
Nun sehen Sie alle geschützten Dateien an einem Ort
EFS-Verschlüsselung erkennen
Wenn ein Ordner oder eine Datei verschlüsselt ist, können wir dies mit dieser Funktion des FTK Imager erkennen.
Eine Datei wird in einem Ordner verschlüsselt, um ihren Inhalt zu schützen.
Um die EFS-Verschlüsselung zu erkennen, klicken Sie auf Datei >EFS-Verschlüsselung erkennen
Sie können sehen, dass die Verschlüsselung erkannt wurde.
Dateien exportieren
Um die Dateien und Ordner aus der gesicherten Datei in Ihren Ordner zu exportieren, können Sie auf Datei > Dateien exportieren klicken.
Sie können nun die Ergebnisse des Exports der Anzahl der Dateien und Ordner sehen, die in das System kopiert wurden.
Autorin: Jeenali Kothari ist eine Enthusiastin der digitalen Forensik und schreibt gerne technische Inhalte. Sie können sie hier
erreichen.