Basishandbuch für Computeruntersuchungen für Windows

Artikel
03/19/2009

Kapitel 3: Analysieren der Daten

Veröffentlicht: 11. Jan 2007

In diesem Kapitel werden unterschiedliche Ansätze und bewährte und akzeptierte Methoden der Branche erörtert, um die während der Datensammlungsphase einer internen Untersuchung gesammelten Beweise zu analysieren. Verwenden Sie den in der folgenden Abbildung gezeigten dreistufigen Prozess.

Analysephase der Computeruntersuchung

Abbildung 3.1. Analysephase des Computeruntersuchungsmodells

Dd443683.important(de-de,TechNet.10).gif ** Wichtig:**

Oft ist eine Onlineanalyse von Daten erforderlich, während der Computer läuft. Eine Onlineanalyse wird in der Regel ausgeführt, wenn die Zeit für die Untersuchung knapp ist oder flüchtige Daten erfasst werden müssen. Beim Durchführen einer Onlineanalyse sollten Sie besonders darauf achten, die Risiken für andere Beweise zu minimieren.

Auf dieser Seite

Analysieren der Netzwerkdaten
Analysieren der Hostdaten
Analysieren der Speichermedien

Analysieren der Netzwerkdaten

Bei vielen Untersuchungen ist die Analyse von Netzwerkdaten nicht erforderlich. Stattdessen liegt der Schwerpunkt auf der Untersuchung von Datenabbildern. Ist eine Netzwerkanalyse nötig, verwenden Sie das folgende Verfahren:

Untersuchen Sie die Netzwerkdienstprotokolle auf Ereignisse, die von Interesse sein könnten. Die Protokolle umfassen meistens große Datenmengen. Konzentrieren Sie sich daher auf spezifische Kriterien für interessante Ereignisse, z. B. Benutzername, Datum und Zeit und die Ressource, auf die zugegriffen wurde.
Untersuchen Sie Firewall, Proxyserver, Angriffserkennungssystem und RAS-Protokolle (Remote Access Service). Viele dieser Protokolle enthalten Informationen aus überwachten eingehenden und ausgehenden Verbindungen und umfassen Identifizierungsdaten wie IP-Adresse, Zeit des Ereignisses und Authentifizierungsinformationen. Die Protokolldaten sollten mit einem Tool untersucht werden, das sich für die Datenanalyse eignet, wie z. B. Microsoft® SQL Server™ 2005.
Durchsuchen Sie alle Paketsniffer und Netzwerküberwachungsprotokolle nach Daten, die Ihnen bei der Bestimmung der Netzwerkaktivitäten helfen können. Stellen Sie außerdem fest, ob die Verbindungen, die untersucht werden, verschlüsselt sind. Sie können den Inhalt einer verschlüsselten Sitzung nicht lesen. Sie haben aber dennoch die Möglichkeit, die Zeit der Verbindung zu beziehen und festzustellen, ob eine verdächtige Partei eine Sitzung mit einem bestimmten Server eingeleitet hat.

Analysieren der Hostdaten

Hostdaten enthalten Informationen über Komponenten wie Betriebssystem und Anwendungen. Verwenden Sie das folgende Verfahren, um eine Kopie der in der Datensammlungsphase erfassten Daten zu analysieren.

Bestimmen Sie, wonach Sie suchen. Die Anzahl der Hostdaten ist wahrscheinlich beträchtlich, und nur ein kleiner Teil der Daten ist möglicherweise für den Vorfall relevant. Sie sollten daher Suchkriterien für interessante Ereignisse erstellen. Beispielsweise könnten Sie das Microsoft Windows® Sysinternals-Zeichenfolgetool dazu verwenden, die Dateien im Ordner „\Windows\Prefetch“ zu durchsuchen. Dieser Ordner enthält Informationen darüber, wann und wo Anwendungen gestartet wurden. Informationen zum Verwenden des Zeichenfolgetools und dem Senden oder Weiterleiten der Ergebnisse an eine Textdatei finden Sie in Kapitel 5: Angewandtes Szenariobeispiel in diesem Handbuch.
Untersuchen Sie die Betriebssystemdaten, einschließlich Uhrzeitänderungen und aller in den Speicher des Hostcomputers geladener Daten, um festzustellen, ob schädliche Anwendungen oder Prozesse auf dem Computer laufen bzw. geplant sind. Sie können zum Beispiel mit dem Windows Sysinternals AutoRuns-Tool anzeigen, welche Programme so konfiguriert sind, dass sie beim Start- oder Anmeldevorgang ausgeführt werden.
Untersuchen Sie die laufenden Anwendungen, Prozesse und Netzwerkverbindungen. Sie können z. B. nach laufenden Prozessen suchen, die zwar einen angemessenen Namen haben, aber von einem Speicherort ausgeführt werden, der nicht dem Standard entspricht. Verwenden Sie für diese Aufgaben Tools wie Windows Sysinternals ProcessExplorer, LogonSession und PSFile. Im Abschnitt „Tools“ in Anhang: Ressourcen in diesem Handbuch finden Sie weitere Informationen über diese Tools.

Analysieren der Speichermedien

Die während der Datensammlungsphase gesammelten Speichermedien enthalten eine große Anzahl an Dateien. Sie müssen bei der Analyse bestimmen, welchen Daten für den Vorfall relevant sind. Dies ist eine schwierige Aufgabe, da Speichermedien wie Festplatten und Sicherungsbänder oft Hunderttausende von Dateien enthalten können.

Identifizieren Sie die Dateien, die wahrscheinlich relevant sind. Diese können dann genauer analysiert werden. Verwenden Sie das folgende Verfahren zum Extrahieren und Analysieren der Daten aus den gesammelten Speichermedien:

Führen Sie nach Möglichkeit eine Onlineanalyse an einer bitweisen Kopie des Originalbeweismaterials durch.
Stellen Sie fest, ob Datenverschlüsselung eingesetzt wurde, wie z. B. EFS (Encrypting File System) in Microsoft Windows. Verschiedene Registrierungsschlüssel können untersucht werden, um festzustellen, ob EFS auf diesem Computer je genutzt wurde. Eine Liste der spezifischen Registrierungsschlüssel finden Sie im Abschnitt „Determining If EFS is Being Used on a Machine“ des Artikels Encrypting File System in Windows XP and Windows Server 2003 (engl.) in Microsoft TechNet. Wenn Sie glauben, dass Datenverschlüsselung genutzt wurde, müssen Sie herausfinden, ob Sie die verschlüsselten Daten wiederherstellen und lesen können. Dies hängt von verschiedenen Umständen ab, z. B. von der Windows-Version, ob es sich um einen mit einer Domäne verbundenen Computer handelt, und wie EFS bereitgestellt wurde. Weitere Informationen zu EFS finden Sie im Artikel The Encrypting File System (engl.) in Microsoft TechNet. Externe EFS-Wiederherstellungstools, wie z. B. Advanced EFS Data Recovery von Elcomsoft sind ebenfalls verfügbar.
Dekomprimieren Sie ggf. alle komprimierten Dateien und Archive. Der Großteil der Forensiksoftware kann zwar komprimierte Daten von einem Festplattenabbild lesen, aber Sie müssen u. U. die Archivdateien dekomprimieren, um alle Dateien auf dem Analysemedium untersuchen zu können.
Erstellen Sie ein Diagramm der Verzeichnisstruktur. Es kann nützlich sein, die Struktur der Verzeichnisse und Dateien auf dem Speichermedium grafisch darzustellen, um die Dateien effektiv zu analysieren.
Bestimmen Sie, welche Dateien von Interesse sind. Wenn Sie wissen, welche Dateien vom Sicherheitsvorfall betroffen waren, konzentrieren Sie sich bei der Untersuchung zunächst auf diese Dateien. Die von der National Software Reference Library erstellten Hashsets können zum Vergleich bekannter Dateien (wie Betriebssystem- und Anwendungsdateien) mit den Originaldateien eingesetzt werden. Übereinstimmende Dateien können normalerweise von der Untersuchung ausgeschlossen werden. Weiterhin können Sie Informationswebsites wie filespecs.com, Wotsit's Format, ProcessLibrary.com (alle in englischer Sprache) und die DLL-Hilfe von Microsoft verwenden, um Informationen zu bestehenden Dateiformaten zu kategorisieren und zu sammeln sowie Dateien zu identifizieren.
Untersuchen Sie die Registrierung, die Datenbank mit den Windows-Konfigurationsdaten, auf Informationen über den Startprozess, installierte Anwendungen (einschließlich derer, die beim Starten geladen werden) und Anmeldeinformationen wie Benutzername und Anmeldedomäne. Hintergrundinformationen zur Registrierung sowie detaillierte Beschreibungen des Registrierungsinhalts finden Sie unter Windows Server 2003 Resource Kit Registry Reference (engl.). Verschiedene Tools stehen für die Analyse der Registrierung zur Verfügung, darunter RegEdit als Teil des Windows-Betriebssystems, Windows Sysinternals RegMon für Windows und Registry Viewer von AccessData.
Durchsuchen Sie den Inhalt aller gesammelten Dateien, um festzustellen, welche Dateien von Interesse sein könnten. Verschiedene intelligente Suchen lassen sich mit den im Tools-Abschnitt in Anhang: Ressourcen in diesem Handbuch beschriebenen Tools durchführen. Zum Beispiel können Sie mit dem Windows Sysinternals-Tool für Datenströme bestimmen, ob alternative NTFS-Datenströme auf Dateien oder Ordner angewendet wurden. Alternative NTFS-Datenströme können Informationen in einer Datei ausblenden, indem die Datei bei der Anzeige über Internet Explorer mit null Bytes ausgegeben wird, obwohl sie versteckte Daten enthält.
Untersuchen Sie die Metadaten von für die Untersuchung interessanten Dateien. Verwenden Sie dazu Tools wie Encase von Guidance Software, das Forensic Toolkit (FTK) von AccessData oder ProDiscover von Technology Pathways. Mithilfe von Dateieigenschaften wie Zeitstempel lassen sich Dateierstellung, letzter Zugriff und letzte Änderungszeit feststellen. Diese Informationen können bei der Untersuchung eines Vorfalls sehr nützlich sein.
Über Datei-Viewer können Sie den Inhalt der identifizierten Dateien anzeigen. Dies ermöglicht es Ihnen, bestimmte Dateien ohne die Originalanwendung, mit der sie erstellt wurden, zu scannen und in einer Vorschau anzuzeigen. Dadurch werden Dateien vor versehentlicher Beschädigung geschützt. Zudem ist dieser Ansatz oft kosteneffektiver als der Einsatz der Originalanwendung. Beachten Sie, dass es für jeden Dateityp einen bestimmten Datei-Viewer gibt. Sollte ein Viewer nicht verfügbar sein, müssen Sie zur Dateiuntersuchung die Originalanwendung einsetzen.

Nach Analyse aller verfügbaren Informationen kommen Sie möglicherweise zu einer Schlussfolgerung. An diesem Punkt sollten Sie jedoch sehr vorsichtig sein und sicherstellen, dass Sie nicht die falsche Partei für Schäden verantwortlich machen. Wenn Sie sich des Ergebnisses jedoch sicher sind, können Sie mit der Phase „Erstellen eines Untersuchungsberichts“ beginnen.