Disk-Forensik/ Sicherstellung/ Zustand des Computers sichern

Es ist wichtig, ein laufendes Computersystem nicht neu starten, da dadurch wichtige temporäre Dateien unwiderruflich verloren gehen können. Daher ist es wichtig, den aktuellen, laufenden Zustand des Computers festzuhalten, ohne dessen Zustand zu verändern (bzw. so wenig wie möglich zu verändern). Dazu sollte keine graphischen Tools verwendet werden, da diese zu fehleranfällig sind. Weiters ist es zu empfehlen, nicht die im System vorhanden Tools für die Aufzeichnung der Systemzustands zu verwenden, sondern dazu eine spezielle CD zu verwenden, welche die entsprechenden Tools enthält. Eine falsche Vorgehenweise kann hier wichtige Daten unwiderruflich vernichten. Das betreffende System darf unter keinen Umständen neu gestartet werden. Ein Betriebssystem verändert beim Systemstart zumindest die Zeitstempel von 1000 Dateien, teilweise auch deren Inhalt. Eine allgemeine Liste mit zu sicherenden Informationen und Vorgehensweisen findet sich weiter oben, in diesem Kapitel wird nur auf die speziell zu verwendenten Befehle unter Windows und Linux eingegangen. Eine sehr gute Möglichkeit für die Gewinnung dieser Informationen stellt die F.I.R.E. CD (Forensic and Incident Response Environment Bootable CD; https://www.dmzs.com/tools/) dar. Auf der CD befinden sich im Ordner statbins sowohl für Linux als auch für Windows statisch gelinkte Binaries der wichtigsten Systemdateien, die zum Sammeln der Informationen verwendet werden. Eine andere Möglichkeit wäre z.b. die Verwendung von cygwin (http://www.cygwin.com) bzw. der UnixUtils (http://unxutils.sourceforge.net) unter Windows sowie eine beliebige Live-CD unter Linux zu verwenden.

Flüchtige Daten unter Linux sichern

Bearbeiten
Befehle unter Linux
./date Sicherung der aktuellen Zeit
./arp -an Sicherung des aktuellen ARP-Caches
./route -Cn Kernel-IP-Routingcache
./netstat -rn Kernel-IP-Routingtabelle
./lsof -i Auflistung offener (Netzwerk-)Sockets
./netstat -anp Auflistung offener (Netzwerk-)Sockets
./hostname aktueller Hostname
./cat /etc/resolv.conf DNS-Konfiguration
./cat /etc/hosts statische Host-Konfiguration
./ifconfig -a Auflistung der Netzwerkkarten
./dd < /proc/kcore Sicherung des RAM-Inhalts
./cat /proc/meminfo Informationen über den RAM
./ps -efl Snapshot laufender Prozesse
./lsof Auflistung aller durch Prozesse geöffneten Dateien
./pcat [PPID] Sichern des Speicherinhalts eines Prozesses
./w Angemeldete Benutzer
./last Liste in der Vergangenheit angemeldeter Benutzer
./cat /etc/passwd Anzeigen der Passwort-Datei
./cat /etc/shadow Anzeigen der Shadow-Datei
./cat /etc/group Anzeigen der Gruppen-Datei
./cat /proc/cpuinfo Anzeigen der Informationen über den Prozessor
./df -h Anzeige des belegten und freien Speichers auf den gemounteten Datenträgern
./fdisk -l [Datenträger] Anzeige der Partitionstabelle eines Datenträgers
./cat /proc/modules Informationen über die geladenen Kernel-Module
./cat /proc/version Informationen über die verwendete Kernelversion
./cat /proc/cmdline Informationen über die aktuellen Kernel-Boot-Parameter
./cat /prcc/swap Informationen über die verwendeten Swap-Partitionen
./cat /proc/mounts Informationen über alle gemounteten Dateisysteme
./cat /etc/fstab Konfiguration über die automatisch gemounteten Dateisysteme
./cat /proc/uptime Anzeige des Zeitraums seit dem letzten Start des Systems und der Load-Average
./date Sicherung der aktuellen Zeit

Flüchtige Daten unter Windows sichern

Bearbeiten
Befehle unter Windows
hostname liefert den Namen des Systems
net accounts liefert Passwortrichtlinien
net file über das Netzwerk geöffnete Dateien
net session aktive Netzwerksitzungen
net share listet die Netzwerkfreigaben auf
net start aktuell laufende Dienste
net use hinzugefügte Netzwerklaufwerke
net user lokale Benutzer
net view Informationen vorhandener NBTSitzungen
arp –a zeigt die ARP-Tabelle
netstat –an offene Netzwerkports
netstat –n Netzwerkverbindungen
netstat –r Routing Informationen
nbtstat –c zeigt Inhalt des Cache von Remotenamen an


Befehle durch Pstools:
psinfo wesentliche Systeminformationen
psloggedon aktive Sitzungen
pslist –x Prozessinformationen
listdlls geöffnete DLLs eines Prozesses
fport /p geöffnet haben