Tool-Tipp: The Sleuth Kit und Autopsy

Forensische Analyse von Datenträgern

| Autor / Redakteur: Thomas Joos / Peter Schmitz

The Sleuth Kit ist ein extrem nützliches Forensik-Tool. Mit dem Webfrontend Autopsy wird das Open-Source-Tool auch für Einsteiger nutzbar.
The Sleuth Kit ist ein extrem nützliches Forensik-Tool. Mit dem Webfrontend Autopsy wird das Open-Source-Tool auch für Einsteiger nutzbar. (© Daniel Berkmann - stock.adobe.com)

Mit dem Open-Source-Forensik-Tool „The Sleuth Kit“ und dem HTML-Frontend „Autopsy“ lassen sich externe und interne Datenträger forensisch analysieren. Das Tool unterstützt die wichtigsten Dateiformate und kann gelöschte Dateien wiederherstellen. Es dient allerdings weniger der Datenrettung, sondern vor allem der forensischen Analyse.

The Sleuth Kit gehört zu den bekanntesten Tools zur forensischen Analyse von Datenträgern. Das Tool unterstützt unter anderem die Dateisysteme NTFS, FAT, Ext2, Ext3, UFS1 und UFS2. Als Webfrontend für The Sleuth Kit wird Autopsy verwendet. Neben der forensischen Analyse lassen sich die gefundenen Dateien natürlich auch wiederherstellen. Zwar ist das Tool vor allem in Linux-Kreisen bekannt, steht aber auch als Windows-Version zur Verfügung.

Wie man mit The Sleuth Kit und Autopsy gelöschte Daten zur forensischen Datensicherung finden und wiederherstellen kann, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

Einstieg in The Sleuth Kit und Autopsy

Neben herkömmlichen Datenträgern können mit The Sleuth Kit auch externe Datenträger und USB-Sticks sowie SD-Karten untersucht werden. Auch gelöschte Dateien auf Smartphones und Tablets lassen sich wiederherstellen, genauso wie Daten von virtuellen Festplatten und virtuellen Computern.

Das Tool steht auch für Windows zur Verfügung. Auf der Internetseite der Entwickler stehen The Sleuth Kith und Autopsy über verschiedene Download-Seiten zur Verfügung. Es handelt sich bei The Sleuth Kit und Autopsy also um zwei verschiedene Programme, die auch gemeinsam eingesetzt werden können. Während Autopsy zur Analyse in der grafischen Oberfläche verwendet wird, besteht The Sleuth Kit vor allem aus Befehlszeilentools.

Um Autopsy zu verwenden, besteht also der erste Schritt zunächst darin, Autopsy herunterzuladen. Der Download hat etwa eine Größe von 483 MB. Um Dateien wiederherzustellen, muss Autopsy installiert werden. Die Installation besteht aber nur im Bestätigen weniger Fenster.

Die Standardeinstellungen reichen in den meisten Fällen aus, um Daten wiederstellen zu können. Die Einstellungen von Autopsy können jederzeit über „Tools\Options“ angepasst werden.

Mit Autopsy Dateien finden

Am einfachsten und schnellsten lassen sich Dateien mit Autopsy wiederherstellen. The Sleuth Kit bietet zwar viele Möglichkeiten, lässt sich aber nur in der Befehlszeile bedienen. Autopsy lässt sich mit einer grafischen Oberfläche auch für Anfänger recht einfach nutzen. Nach dem Start wird zunächst ein neuer Fall (Case) erstellt. Dieser enthält alle notwendigen Einstellungen für eine Untersuchung. Dazu gehört der zu untersuchende Bereich und das Verzeichnis, in dem Autospy die notwendigen Daten zur Wiederherstellung speichert.

Um alle Dateien zu finden, sollte Autopsy möglichst mit Administrator-Rechten gestartet werden. Sicherheitsfunktionen, wie der neue überwachte Ordnerzugriff in Windows 10 Version 1709 muss entweder deaktiviert oder entsprechend angepasst werden, damit Autopsy Zugriff auf die Daten erhält.

Im Rahmen der Erstellung wird das Verzeichnis festgelegt, in dem Autopsy seine Datenbank ablegt und Dateien, die wiederhergestellt werden sollen. Es handelt sich bei diesem Verzeichnis nicht um das Verzeichnis aus dem Daten wiederhergestellt werden sollen. Dieses wird erst danach im Assistenten über „Select Typ of Data Source to Add“ und dann mit „Select Data Source“ ausgewählt.

Anschließend wir die Datenquelle noch genauer spezifiziert. Dazu gehört auch die Auswahl der Module, mit denen Autospy den Datenträger untersuchen soll. Gelöschte E-Mails lassen sich dadurch genauso untersuchen, wie Favoriten und viele andere Daten.

Mit Autopsy Daten wiederherstellen

Sobald alle Daten eingegeben wurden, kann über den Case die Datenquelle durchsucht werden. Anschließend zeigt Autopsy die entsprechenden Daten an Diese werden über die Baumstruktur auf der rechten Seite übersichtlich sortiert. Mit wenigen Mausklicks kann hier also angezeigt werden, welche Dateien auf dem Rechner gelöscht wurden und wiederherstellbar sind.

Mit der Schaltfläche „Timeline“ können der Löschzeitpunkt der Daten sowie weitere Informationen angezeigt werden. Hier kann der untersuchende Anwender genau feststellen wann Daten gelöscht wurden, und wie das Löschen zusammenhängt. Gelöschte Daten lassen sich aber auch ohne „Timeline“ über das Kontextmenü exportieren und wiederherstellen.

Über die Schaltfläche „View Images/Videos“ können die gefundenen Multimediadateien betrachtet und auf Wunsch auch wiederhergestellt werden. Ein umfassender Bericht der Wiederherstellung steht über „Generate Report“ bereit. Der Bericht kann als Excel-Tabelle gespeichert werden, aber auch als HTML-Dokument. Berichte werden, wie alle Daten eines Falls, im Verzeichnis gespeichert, das dem Fall zugeordnet wurde.

Wie man mit The Sleuth Kit und Autopsy gelöschte Daten zur forensischen Datensicherung finden und wiederherstellen kann, zeigen wir im Tool-Tipp-Video und in der Bildergalerie zu diesem Artikel.

* Diesen Beitrag haben wir von unserem Schwesterportal Securtity-Insider übernommen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45305067 / Datenrettung/Forensik)