Umfassender Leitfaden zu FTK Imager

FTK Imager ist eine Open-Source-Software von AccessData, mit der genaue Kopien der Originalbeweise erstellt werden können, ohne sie zu verändern. Das Abbild des Originalbeweises bleibt gleich und ermöglicht es uns, Daten mit einer viel schnelleren Rate zu kopieren, die bald erhalten bleiben und weiter analysiert werden können.

Der FTK Imager bietet Ihnen auch die eingebaute Integritätsprüfungsfunktion, die einen Hash-Bericht erzeugt, der beim Abgleich des Hashes des Beweises vor und nach der Erstellung des Abbildes des Originalbeweises hilft.

Inhaltsverzeichnis

Erstellen eines forensischen Images
Erfassen des Speichers
Analysieren des Image-Dumps
Montieren des Images auf dem Laufwerk
Benutzerdefiniertes Inhaltsimage mit AD Verschlüsselung
AD-Verschlüsselung entschlüsseln
Geschützte Dateien erhalten
EFS-Verschlüsselung erkennen
Dateien exportieren

Beginnen wir mit der Erstellung einer Image-Kopie des Originalbeweises.

Erstellen eines forensischen Images

Forensic Imaging ist einer der wichtigsten Schritte bei der digitalen forensischen Untersuchung. Dabei handelt es sich um die Erstellung einer Archiv- oder Sicherungskopie der gesamten Festplatte. Es handelt sich dabei um eine Speicherdatei, die alle notwendigen Informationen zum Booten des Betriebssystems enthält. Allerdings muss dieser abgebildete Datenträger auf die Festplatte angewendet werden, um zu funktionieren. Man kann eine Festplatte nicht wiederherstellen, indem man die Disk-Image-Dateien auf ihr ablegt, da sie mit einem Imaging-Programm geöffnet und auf der Festplatte installiert werden muss. Auf einer einzigen Festplatte können viele Disk-Images gespeichert werden. Disk-Images können auch auf Flash-Laufwerken mit größerer Kapazität gespeichert werden.

Öffnen Sie FTK Imager von AccessData nach der Installation, und Sie werden das Pop-up-Fenster sehen, das die erste Seite ist, auf der sich dieses Tool öffnet.

Nun, um ein Disk Image zu erstellen. Klicken Sie auf Datei > Disk Image erstellen.

Jetzt können Sie die Quelle basierend auf dem Laufwerk, das Sie haben, auswählen. Es kann ein physisches oder ein logisches Laufwerk sein, je nachdem, was Sie haben.

Ein physisches Laufwerk ist die primäre Speicherhardware oder die Komponente innerhalb eines Geräts, die zum Speichern, Abrufen und Organisieren von Daten verwendet wird.

Ein logisches Laufwerk ist im Allgemeinen ein Laufwerksspeicher, der über einer physischen Festplatte angelegt wird. Ein logisches Laufwerk hat seine eigenen Parameter und Funktionen, da es unabhängig arbeitet.

Wählen Sie nun die Quelle Ihres Laufwerks, von dem Sie eine Image-Kopie erstellen möchten.

Geben Sie den Zielpfad des zu erstellenden Images an. Aus forensischer Sicht sollte es auf eine separate Festplatte kopiert werden, und es sollten mehrere Kopien der Originalbeweise erstellt werden, um den Verlust von Beweisen zu verhindern.

Wählen Sie das Format des zu erstellenden Abbilds. Die verschiedenen Formate zur Erstellung des Images sind:

Raw(dd): Es handelt sich um eine Bit-für-Bit-Kopie des Originaldatensatzes, die ohne Hinzufügungen oder Löschungen erstellt wird. Sie enthalten keine Metadaten.

SMART: Es handelt sich um ein Image-Format, das für Linux verwendet wurde und heute nicht mehr gebräuchlich ist.

E01: Es steht für EnCase Evidence File, ein häufig verwendetes Format für Imaging und ist ähnlich wie

AFF: Es steht für Advanced Forensic Format, das ein Open-Source-Formattyp ist.

Nun fügen Sie die Details des Bildes hinzu, um fortzufahren.

Nun fügen Sie schließlich das Ziel der Bilddatei hinzu, benennen Sie die Bilddatei und klicken Sie dann auf Fertig stellen.

Nachdem Sie den Zielpfad hinzugefügt haben, können Sie nun mit dem Imaging beginnen und auch auf die Verifizierungsoption klicken, um einen Hash zu erzeugen.

Warten wir nun ein paar Minuten, bis das Image erstellt wurde.

Nachdem das Image erstellt wurde, wird ein Hash-Ergebnis generiert, das den MD5-Hash, den SHA1-Hash und das Vorhandensein von fehlerhaften Sektoren verifiziert.

Capturing Memory

Es handelt sich um eine Methode, bei der der Inhalt eines flüchtigen Inhalts erfasst und in ein nichtflüchtiges Speichermedium übertragen wird, um ihn für weitere Untersuchungen zu sichern. Eine Ram-Analyse kann nur dann erfolgreich durchgeführt werden, wenn die Erfassung genau durchgeführt wurde, ohne das Bild des flüchtigen Speichers zu beschädigen. In dieser Phase muss der Prüfer bei seinen Entscheidungen zur Erfassung der flüchtigen Daten vorsichtig sein, da diese nach einem Neustart des Systems nicht mehr vorhanden sein werden.

Beginnen wir nun mit der Erfassung des Speichers.

Um den Speicher zu erfassen, klicken Sie auf Datei > Speicher erfassen.

Wählen Sie den Zielpfad und den Zieldateinamen und klicken Sie auf Speicher erfassen.

Warten wir nun ein paar Minuten, bis der Speicher erfasst wird.

Bilddump analysieren

Nun wollen wir das Dump-RAW-Bild analysieren, nachdem es mit FTK Imager erfasst wurde. Um mit der Analyse zu beginnen, klicken Sie auf File> Add Evidence Item.

Nun wählen Sie die Quelle der Dump-Datei, die Sie bereits erstellt haben, also wählen Sie hier die Option Image File und klicken Sie auf Next.

Wählen Sie den Pfad des Image-Dumps, den Sie erfasst haben, indem Sie auf Durchsuchen klicken.

Wenn der Image-Dump an den Analyseteil angehängt ist, sehen Sie einen Asservatenbaum, der den Inhalt der Dateien des Image-Dumps enthält. Dieser könnte sowohl gelöschte als auch überschriebene Daten enthalten.

Um andere Dinge weiter zu analysieren, werden wir nun dieses Asservat entfernen, indem wir mit der rechten Maustaste auf den Fall klicken und auf Asservat entfernen

Image auf Laufwerk mounten

Um das Image als Laufwerk in Ihrem System zu mounten, klicken Sie auf Datei > Image mounten

Wenn das Fenster Image als Laufwerk mounten erscheint, können Sie den Pfad zu der Image-Datei, die Sie mounten möchten, hinzufügen und auf Mounten klicken.

Sie sehen nun, dass die Imagedatei als Laufwerk gemountet wurde.

Benutzerdefiniertes Inhalts-Image mit AD-Verschlüsselung

FTK-Imager verfügt über eine Funktion, die es ermöglicht, Dateien eines bestimmten Typs entsprechend den Anforderungen des Prüfers zu verschlüsseln. Klicken Sie auf die Dateien, die Sie dem benutzerdefinierten Inhalts-Image mit AD-Verschlüsselung hinzufügen möchten.

Alle ausgewählten Dateien werden in einem neuen Fenster angezeigt, und klicken Sie dann auf Image erstellen, um fortzufahren.

Füllen Sie die erforderlichen Details für den zu erstellenden Nachweis aus.

Fügen Sie nun den Zielort der zu erstellenden Abbilddatei hinzu, benennen Sie die Abbilddatei und aktivieren Sie das Kontrollkästchen mit AD-Verschlüsselung, und klicken Sie dann auf Fertig stellen.

Ein neues Fenster erscheint, um das Image zu verschlüsseln, geben Sie nun das Passwort ein, das Sie für Ihr Image hinzufügen möchten.

Um nun die verschlüsselten Dateien zu sehen, klicken Sie auf Datei> Beweismaterial hinzufügen…

Das Fenster zum Entschlüsseln der verschlüsselten Dateien erscheint, sobald Sie die Dateiquelle hinzufügen. Geben Sie das Passwort ein und klicken Sie auf OK.

Sie sehen nun die beiden verschlüsselten Dateien nach Eingabe der gültigen Passwörter.

Ad1-Bild entschlüsseln

Um das benutzerdefinierte Inhaltsbild zu entschlüsseln, klicken Sie auf Datei>Ad1-Bild entschlüsseln.

Nun müssen Sie das Passwort für die verschlüsselte Bilddatei eingeben und auf Ok klicken.

Warten Sie nun einige Minuten, bis das entschlüsselte Bild erstellt wurde.

Um das entschlüsselte benutzerdefinierte Inhaltsbild zu sehen, fügen Sie den Pfad der entschlüsselten Datei hinzu und klicken Sie auf Fertig stellen.

Sie können nun die verschlüsselten Dateien sehen, indem Sie das richtige Passwort zur Entschlüsselung verwenden.

Geschützte Dateien erhalten

Bestimmte Dateien sind bei der Wiederherstellung geschützt, um diese Dateien zu erhalten, klicken Sie auf Datei> Geschützte Dateien erhalten

Ein neues Fenster öffnet sich und klicken Sie auf Durchsuchen, um den Zielort der geschützten Datei hinzuzufügen und klicken Sie auf die Option, die besagt, dass Passwortwiederherstellung und alle Registrierungsdateien und klicken Sie auf OK.