Artikel mit Tag datenrettung

Digitale Forensik - DEFT 8.1 und DART 2 2014 veröffentlicht

Im Zuge der Defcon 2014 wurde eine aktualisierte Version des Digital Evidence & Forensic Toolkit, kurz DEFT veröffentlicht. Das kleine Update auf Version 8.1 der forensischen Lubuntu live DVD enthält die aktualisierte Variante der Tool Sammlung Dart 2 (Digital Advanced Response Toolkit).

Leider ist immer noch keine VMware Version der Distribution verfügbar. 

deft-8.1

Weiter zeigt der File Manager des Livesystem nun an, in welcher Form Festplatten gemountet wurden. Außerdem wird Bitlocker nun voll unterstützt.

Folgende Tools und Funktionen wurden ebenfalls aktualisiert oder sind neu dabei:

  • The Sleuthkit 4.1.3
  • Digital Forensics Framework 1.3
  • Full support for Android and iOS 7.1 logical acquisitions (libmobiledevice & adb)
  • JD GUI 
  • Skype Extractor 0.1.8.8
  • Maltego 3.4 Tungsten
  • Neue Version des OSINT Browser

Download DEFT 8.1

Übersicht IT Forensik System I

Übersicht IT Forensik Systeme II 

[Update]

DEFT 8.1 ist nun auch als virtuelle Maschine für VMware verfügbar. Download

Linux Tools zur IT Forensik - 3 neue Distributionen, sowie Updates für Kali Linux und DEFT

Im März hatte ich ausführlich über diverse Linux Distributionen für die IT Forensik berichtet (siehe Artikel). Aufbauend dazu möchte ich euch über Änderungen bei einigen Forensiktools informieren.

Kali Linux 1.0.4

Aus Tradition haben die Jungs rund um Kali Linux (ehemals BackTrack) bereits während des Hackertreffens "Black Hat" und "DEF CON" ihr Baby aktualisiert. Mit der neuen Version 1.0.4 wurden auf Wunsch der Community einige Hackertools neu aufgenommen: Pass the Hash Toolkit, enum4linux, RegRipper, Unicornscan, jSQL, JD-GUI, Ghost Phisher, Uniscan, Arachni und Bully.

Die Funktion der einzelnen Tools möchte ich hier nicht näher erklären. Für ein Update benötigt ihr nicht unbedingt ein neues Image, es reicht ein "apt-get update" und "apt-get dist-upgrade" auf der Konsole. Neben neuen Programmen wurde der ARM Support weiter ausgebaut und um BeagleBone Black, CuBox und Efika MX erweitert. Mit dieser breiten Palette ist Kali Linux bisher allein auf weiter Flur. Download Kali Linux 1.0.4

DEFT 8

Auch am Digital Evidence & Forensic Toolkit wird ständig gearbeitet. So haben unsere italienischen Freunde eine neue Version 8 veröffentlicht, welche die zweite Version von DART (Digital Advanced Response Toolkit) enthält.

Zu den Neuerungen zählt eine App Suchmaschine im Stil von Spotlight, eine neue Audit Report Engine und die Möglichkeit Anwendungen als Administrator zu starten. Die nahezu 250 enthaltenen Tools entnehmt ihr besser der offiziellen Liste.

Die Distribution selbst hat ebenfalls einiges an Änderungen erfahren. So gibt es mit dem neuen 64bit Kernel keine Beschränkung mehr auf 4GB RAM, weitere neue Programme sind The Sleuthkit 4.1, Autopsy 2 – Ready for Autopsy 3, Digital Forensics Framework 1.3, Guymager 0.7.1, Cyclone 0.2,  Esximager, Recoll 1.19.5, Bulk extractor Dumpy 0.2 (parsing tool für dumps), Skype extractor und Fastboot (re-flash Android partition tool), usw. Download DEFT 8

deft8

Paladin 4.0

Scheint aus unerfindlichen Gründen offline zu sein.

BackBox Linux 3.05

Als Alternative würde sich zum Beispiel BackBox anbieten. Die Distribution basiert auf Ubuntu und XFce. Das Projekt stammt aus Italien und ist seit 2010 am expandieren. Großer Vorteil von BlackBox ist das eigene Repository, welches den Anwender stetig mit Updates versorgt. Ca. 70 Programme sorgen für die richtige Analyse von Wlan, Netzwerk oder VoIP. Daneben gibt es weitere Tools für Reverse Engineering oder Eploitation. Eine komplette Liste der Tools ist hier zu finden. Download BackBox

BackBox_Linux

NetSecL OS 4.0

Diese Sammlung für Penetration Testing kommt aus Bulgarien und basiert, anders als die meisten Forensik-Distros, auf Open Suse 64bit und ist zusätzlich installierbar. Das System ist von Haus aus mit Grsecurity gehärtet und verwaltet seine Pakete im RPM Format. Hier eine Auswahl der ca. 50 Tools auf der DVD: Aircrack-ng, APG(Automated Password Generator) Arping, ArpON (ARP handler inspection), arp-scan, arptables, Arpwatch, Chkrootkit, Clam AntiVirus,coWPAtty, Chntpw, EtherApe, etherdump, Ethtool, FPing, Firewall Builder, icmpinfo, IPTraf-ng, Iputils, Kismet, Mausezahn, Mtr, NDisc6, Nmap, OpenVas, Ostinato, P0f, Pyrit, Wireshark. Download NetSecL 4.0

NetSecL

Matriux 2.49

Eine weitere Sammlung an Penetrations Tools und forensischen Programmen bietet Matriux. Die indische Distribution basiert auf Debian und siedelt sich bei Pentrations-Testing, sowie Forensische Untersuchungen an. Matriux lässt sich installieren und somit als eigenständiges System nutzen. Die neueste Version 2.49b besitzt zwar noch einen Beta-Status, ist jedoch schon einsatzfähig. Die Liste an verfügbaren Programmen kann sich sehen lassen, über 300 Tools aus den Bereichen Auskundschaften, Scannen, Attackierende Tools, Frameworks, VoIP, digitale Forensik, Debugger und Tracer stehen zur Verfügung. Da sollte für jeden etwas dabei sein. Download Matriux

Matriux

Zusammenfassung

Wie schon beim ersten Artikel habe ich einen Überblick erstellt, damit ihr noch einmal alle Distributionen im Überblick habt.

IT_Forensik-Ueberblick

7 IT-Forensik Linux Distributionen zur Datenrettung, Analyse, Beweissicherung oder für Penetrationstests

Die IT-Forensik wird ein immer wichtigeres Mittel, um Hackerangriffe oder sonstige Arten von Datendiebstählen aufzudecken und zurück zu verfolgen. Für so eine Beweismittelsicherung dienen meist Linux Distributionen für forensische Zwecke. Davon gibt es inzwischen einige freie Lösungen, welche sich nicht nur der Beweissicherung verschrieben haben, sondern ebenfalls Tools zu Systemanalyse, Datenrettung oder Penetrationstests mitbringen.

Ich möchte euch heute eine kleine Zusammenstellung der mir bekannten Forensik-Distributionen geben. Alle Distributionen können von CD/DVD/VMware gebootet werden (Live-Linux) und enthalten hunderte Tools zu den oben erwähnten Themengebieten. Welches Programme für welchen Zweck am Besten geeignet sind, unterscheidet sich von Fall zu Fall und kann hier nicht näher behandelt werden.

7 forensische Linux Distributionen

BackTrack

Zählt zu den bekanntesten Linux-Live-Distributionen und ist über die Jahre sehr gewachsen. Offensive Security hat der Toolsammlung mit Kali Linux nun einen freien Nachfolger beschert.

Download BackTrack - Network Security Suite

backtrack

Caine 4.0

Die Forensic-Distribution Caine aus Italien, genauer von der italienischen Universität von Modena und Reggio Emilia, kann in der neuen Version 4.0 mit einer Reportingfunktion punkten. Zusätzlich wurden Tools wie LibreOffice 4.0.1, Sqliteman, Sdparm oder Remote Filesystem Mounter integriert. Auf der Homepage befindet sich eine komplette Liste der enthaltenen Tools.

Download Caine 4.0 - Computer Aided INvestigative Environment

caine

DEFT 7.2

DEFT ist die Abkürzung für "Digital Evidence & Forensic Toolkit". Die Live CD hat ihren Ursprung in Italien und bringt in der neuen Version Autopsy 3 (Beta 5) mit (welches 1GB RAM voraussetzt). Weitere Pakete sind unter anderem Digital Forensic Framework 1.2, Log2timeline, Iphone Analyzer, Guymager und eine Sammlung an Tools für Windows Systeme namens DART (Digital Advanced Response Toolkit), welche unter der Windowsemulation Wine betrieben werden. Hier findet der geübte Windowsnutzer z.B. die gesamte Nirsoft Softwarepalette. Die komplette Liste an Windows Programmen kann hier eingesehen werden.
Die Live CD zur IT-Beweissicherung wird in einem 90 seitigen Handbuch ausführlich beschrieben und dürfte zunächst keine Fragen offen lassen.

Download DEFT 7.2

deft

 

Kali Linux 1.0

Im Stillen wurde der Nachfolger von BackTrack entwickelt, dabei fiel die Wahl des Systems auf Debian, welches mit eigenen Repositories unterstützt wird. Dank des neuen Unterbaus, kann sich der Nutzer die Oberfläche nun selbst aussuchen, zur Wahl stehen bekannte Kandidaten wie KDE, GNOME, XFCE, LXDE, E17 oder MATE.
Kali Linux unterstützt 32bit und 64bit, sowie ARM Systeme. Ob eine GUI verwendet werden soll oder nicht, bleibt jedem selbst überlassen.

Eine ausführliche Deutsche Dokumentation führt an die sachgerechte Verwendung der Penetrationstests und Sicherheits-Auditings heran. Die Bedienung ist im Vergleich zum Vorgänger durchaus einfacher und übersichtlicher geworden, dafür wurde die Auswahl an Tools etwas angepasst.

Download Kali Linux 1.0 - Freie Forensik Suite.

kali-linux

Paladin 4.0

Mit Paladin 4.0 bietet Surumi ebenfalls eine freie Forensik Suite an. Die DVD beinhaltet neben einer Sammlung der bekanntesten Forensiktools im "Forensic Tool Chest" auch die Möglichkeit iOS und iPhones zu analysieren. Leider muss man sich vor dem Download registrieren.

Download Paladin 4.0 - Freie Forensik Suite.

paladin

Ronin

Auch wenn der Name "Ronin" im IT Bereich wirklich oft zur Verwendung kommt, wird mit RONIN Linux - Security Distribution eine weitere Open Source Distribution angeboten. Mit 160 verschiedenen Programmen zur Analyse, muss sich die Live CD vor keinen anderen verstecken. Die Tool Liste gibt Einblick in den vollen Funktionsumfang.

ronin

 

SANS  (SIFT) 2.14

Das Investigate Forensic Toolkit des SANS Institutes schlägt in eine ähnliche Richtung wie Caine oder Paladin. Es kann, nach einer Registrierung, als VMware Image heruntergeladen werden und danach zur Untersuchung eines Windows PC verwendet werden. (Login: "sansforensics" Password: "forensics"für das PTK ist es admin/forensics).
Neben Tools wie The Sleuth Kit mit GUI (File system Analysis Tools), log2timeline (Timeline GenerationTool),ssdeep, md5deep (HashingTools), Foremost/Scalpel (File Carving), WireShark (Network Forensics), Vinetto (thumbs.db examination), Pasco (IE Web History examination), Rifiuti (Recycle Bin examination),Volatility Framework (Memory Analysis), PyFLAG (GUI Log/Disk Examination) und DFF (Digital Forensic Framework) bietet das Image eine Beweissicherung in den Formaten Expert Witness (E01), RAW (dd) und  Advanced Forensic Format (AFF) an.

Neu in Version 2.14 sind Tools für Firefox, iPhone, Blackberry und Android.

sans-sift

 

Zusammenfassung

Jede Linux Distribution bietet seine Vor- und Nachteile. Am besten verschafft man sich selbst einen Überblick und lädt verschiedene Distros in VMware/Virtualbox, um sich zum einen mit der Bedienung vertraut zu machen und zum anderen die mitgelieferten Forensiktools zu testen.

Es ist jedoch Vorsicht geboten, da sich einige Werkzeuge am Rande der Legalität bewegen (Stichwort Hackerparagraf).

Diese Tabelle soll noch einmal einen kleinen Überblick zur Toolauswahl jeder einzelnen Distribution geben.

Ueberblick-IT-Forensik