• Artikel

Sicherheit

Handbuch zu den Grundlagen der Computerforensik

Tom Cloward and Frank Simorjay

 

Kurz zusammengefasst:

  • Das Basishandbuch für Computeruntersuchungen für Windows
  • Das Starter Kit zur Malwareentfernung
  • Erstellen eines Untersuchungskits mit Windows PE
  • Sicherstellen von Informationen für die forensische Analyse

Es gibt zahllose Methoden, mit denen Angreifer einen Computer missbrauchen können, um illegale Handlungen durchzuführen. Sie dringen beispielsweise als Hacker in Systeme ein, stehlen Geschäftsgeheimnisse, schleusen neue Viren ein, entwenden mithilfe von Phishingnachrichten persönliche Informationen und so weiter. Ständig ist die Rede von neuen Sicherheitslücken

und Angriffsmethoden. Was nicht so häufig angesprochen wird, sind die vielen Möglichkeiten, wie Computer zur Untersuchung von Aktivitäten dieser Art eingesetzt werden können.

Während für einige Untersuchungen Experten mit Spezialausbildung, teure Tools und komplizierte Verfahren erforderlich sind, gibt es einfachere und kostengünstigere Methoden für grundlegende Untersuchungen und Analysen. In diesem Artikel werden Verfahren der Computerforensik behandelt, die Ihnen als Administrator zur Verfügung stehen.

Diese Erörterung stützt sich auf zwei Solution Accelerators, die Sie kostenlos herunterladen können: „Das Basishandbuch für Computeruntersuchungen für Windows“ (go.microsoft.com/fwlink/?LinkId=80344) und das Starter Kit zur Malwareentfernung (go.microsoft.com/fwlink/?LinkId=93103). Dieser Artikel zeigt auf, wie diese beiden Lösungen kombiniert werden können, um eine startfähige Windows® PE-Umgebung einzurichten, in der Sie eine effektive Untersuchung durchführen und Ihre Ergebnisse für Berichte und Analysen sicherstellen können. Beachten Sie, dass mit den hier behandelten Methoden keine Festplatten untersucht werden können, die verschlüsselt oder Teil eines RAID-Volume sind. Wenn die Festplatte beschädigt ist, müssen Sie bereits im Vorfeld zusätzliche Schritte durchführen, um den ursprünglichen Zustand der Festplatte wiederherstellen zu können.

In dieser Lösung wird zwar eine grundlegende Methode beschrieben, um auf einem Windows-Computer Beweismaterial zu sammeln, aber es handelt sich trotzdem nur um ein einfaches Ad-hoc-Verfahren. Im Handel sind mehrere ausgereiftere Lösungen erhältlich, mit denen alle hier beschriebenen Arbeiten viel effektiver durchgeführt werden können.

Bedenken Sie auch, dass das hier behandelte Verfahren weder eine garantierte normative Lösung darstellt noch von der International Society of Forensic Computer Examiners (Internationale Gesellschaft zur Computerforensikuntersuchung) zertifiziert wurde. Bevor Sie mit einer Untersuchung beginnen, sollten Sie darüber nachdenken, ob auf der Festplatte vorhandenes Beweismaterial in Zukunft eventuell in einem Gerichtsverfahren verwendet werden könnte. Falls diese Möglichkeit besteht, sollte eine zertifizierte professionelle Computeruntersuchung durchgeführt werden. Abhängig von der Art der gerichtlichen Schritte müssen Sie darüber hinaus in Erwägung ziehen, ob die Untersuchung nicht sofort den zuständigen Polizeibehörden überlassen werden sollte. Weitere Informationen zu diesem Thema finden Sie im „Basishandbuch für Computeruntersuchungen für Windows“.

Die Solution Accelerators

Im „Basishandbuch für Computeruntersuchungen für Windows“ werden Prozesse und Tools erörtert, die Sie bei einer internen Computeruntersuchung einsetzen können. In diesem Handbuch werden die vier Phasen des Computeruntersuchungsmodells skizziert: Bewerten, Beziehen, Analysieren und Berichten. Dieses nützliche Modell kann IT-Experten helfen, Untersuchungen so durchzuführen, dass wichtige Ergebnisse sichergestellt werden.

In diesem Handbuch wird auch darauf eingegangen, wann die Polizeibehörden verständigt oder gerichtliche Schritte ergriffen werden sollten. Wenn Sie vor dieser Entscheidung stehen, sollten Sie Ihre Rechtsberater hinzuziehen. Dieses Handbuch enthält Informationen zum Umgang mit Computerkriminalität, zur Kontaktaufnahme mit den zuständigen Strafverfolgungsbehörden sowie zu den Windows Sysinternals-Tools und anderen Windows-Tools, die beim Durchführen von Untersuchungen nützlich sind.

Der andere Solution Accelerator, auf den in diesem Artikel verwiesen wird, das Starter Kit zur Malwareentfernung, bietet eine Anleitung zum Erstellen und Verwenden einer Windows PE-Start-CD, um Malware von einem Computer zu entfernen. Dieses Kit enthält eine Liste von Bedrohungen und eine Reihe von Schutzmaßnahmen, mit denen die potenziellen Auswirkungen dieser Bedrohungen auf eine Organisation eingedämmt werden können. Weiterhin wird unterstrichen, wie wichtig das Entwickeln eines Vorfallreaktionsplans ist, der beim Verdacht eines Malwarebefalls befolgt werden kann. Das Starter Kit zur Malwareentfernung enthält dazu ein aus vier Phasen bestehendes Verfahren, um IT-Experten zu helfen, die Art einer vorliegenden Malware zu bestimmen, ihre Ausbreitung einzudämmen, sie wenn möglich zu entfernen, zu überprüfen, ob sie tatsächlich entfernt wurde, und mit allen weiteren erforderlichen Schritten fortzufahren.

Die Windows PE-CD-ROM

Für eine Untersuchung dieser Art müssen zwei Voraussetzungen erfüllt sein: Es muss eine Windows PE-CD-ROM und ein externes Speichergerät, beispielsweise ein USB-Flashlaufwerk, vorliegen.

Sie wissen wahrscheinlich bereits aus dem Fernsehen, dass Polizeibeamte an einem Tatort nichts verändern dürfen. Aus genau demselben Grund empfiehlt es sich, die Daten der Festplatte, die untersucht wird, sicherzustellen. Im Gegensatz zur CD-ROM des Starter Kits zur Malwareentfernung werden von der Windows PE-Start-CD, die jetzt erstellt wird, Tools nur so ausgeführt, dass an den Daten auf der Festplatte keinerlei Änderungen vorgenommen werden.

Die Windows PE-CD-ROM startet das System in einer begrenzten Windows-Umgebung. Wenn Sie diese Start-CD erstellen, können Sie Tools (z. B. Tools des Starter Kits zur Malwareentfernung) einbeziehen, die für einen bestimmten Zweck vorkonfiguriert sind. Beachten Sie, dass der Computer mindestens über 512 MB RAM verfügen muss. Dies wird von Windows PE vorausgesetzt.

Das im Starter Kit zur Malwareentfernung ausführlich beschriebene Verfahren zum Erstellen der Windows PE-CD-ROM ist recht einfach. Bevor Sie die Start-CD erstellen, müssen Sie das AIK (Automated Installation Kit) von Windows und die Sysinternals-Suite (verfügbar unter microsoft.com/technet/sysinternals/utilities/sysinternalssuite.mspx) installieren, die Sysinternals-Tools wie in Aufgabe 2 des Starter Kits zur Malwareentfernung beschrieben in der Toolliste speichern und alle sonstigen Tools und Dienstprogramme zum Erkennen von Malware installieren. Ausführliche Anweisungen zum Erstellen der CD-ROM finden Sie in den in der Dokumentation des Starter Kits zur Malwareentfernung beschriebenen Schritten.

Das externe USB-Laufwerk

Da bei diesem Vorgang das untersuchte Laufwerk nicht verändert wird, benötigen Sie auch einen USB-Stick oder eine andere externe Festplatte, damit Sie die bei der Untersuchung generierten Ausgabedateien speichern können. (Ein USB-Stick wird als externes Laufwerk empfohlen, weil USB-Geräte von Windows PE automatisch bereitgestellt werden können.) Sie sollten auch eine externe Festplatte verwenden, um ein Abbild der Originalfestplatte zu speichern. Aufgrund all dieser Anforderungen und Möglichkeiten ist es wichtig, Ihre Vorgehensweise im Voraus zu planen, um den gesamten für die Untersuchung erforderlichen Speicherplatz zu berücksichtigen.

Da Sie beim Start einer Untersuchung sicherstellen wollen, dass das Kit nicht manipuliert wurde, müssen Sie sämtliche vorherigen Daten vom externen Festplattenlaufwerk, das zum Speichern der Untersuchungsdateien verwendet wird, entfernen. Dies ist mit einem Festplattenbereinigungsdienstprogramm, das die gesamte beschreibbare Oberfläche des Laufwerks überschreibt, auf einfache Weise möglich. Danach kann die externe Festplatte formatiert und für die Verwendung bei der Untersuchung entsprechend gekennzeichnet werden. Durch diese Vorsichtsmaßnahme wird sichergestellt, dass auf dem Gerät keine Dateien enthalten sind, die das während der Untersuchung gesammelte Beweismaterial verfälschen könnten.

Sie sollten auch ein Formular für die Kette der Beweismittelverwahrung („Chain of Custody“) einbeziehen, damit offiziell dokumentiert ist, wer während der Untersuchung Zugang zum Computer hatte. Das „Basishandbuch für Computeruntersuchungen für Windows“ stellt ein Formular für die Kette der Beweismittelverwahrung zur Verfügung. Sobald Sie das Kit (mit der erforderlichen Start-CD für Windows PE, einem externen Speichergerät und einem Formular für die Kette der Beweismittelverwahrung) zusammengestellt haben, können Sie fortfahren.

Durchführen einer Untersuchung

Jetzt haben Sie alle notwendigen Vorbereitungen abgeschlossen, um eine Untersuchung durchzuführen. Starten Sie zunächst mithilfe der Windows PE-CD-ROM den verdächtigen Computer, wobei Sie sicherstellen müssen, dass in der Startreihenfolge des Computers das CD-ROM-Laufwerk als primäres Startgerät festgelegt ist. Wenn Sie dazu aufgefordert werden, drücken Sie eine beliebige Taste, um das Hochfahren von CD-ROM abzuschließen. Dadurch erhalten Sie Zugriff auf die Tools, die Sie auf der CD-ROM installiert haben.

Das Kit wird hier auf einem Beispielcomputer eingesetzt, um zu demonstrieren, wie Sie von einem „Testbox1“ genannten Computer Informationen sammeln können. Auf dem Computer „Testbox1“ ist dem CD-ROM-Laufwerk der Laufwerkbuchstabe „X:\“ zugewiesen und als Standardspeicherort für die Tools des Starter Kits zur Malwareentfernung „X:\tools“ festgelegt. Um auf die Tools im Kit zuzugreifen, geben Sie ganz einfach Folgendes ein: „cd \tools“.

Es gibt mehrere Tools, die in der Lage sind, die auf einem Computer bereitgestellten Ziellaufwerke zu identifizieren. Das im Sysinternals-Toolverzeichnis enthaltene Dienstprogramm „Bginfo.exe“ kann diese Informationen liefern und sie leicht zugänglich in einem Hintergrundfenster auf dem Desktop anzeigen. Auch der Drive Manager kann alle Laufwerke des Computers einschließlich der Zielfestplattenlaufwerke und des externen USB-Geräts identifizieren. Abbildung 1 zeigt die Datenträgerinformationen für „Testbox1“. Das Startlaufwerk ist „X:\“, das Zielfestplattenlaufwerk ist „C:\“, und das externe USB-Laufwerk ist „F:\“.

Abbildung 1 Anzeigen von Datenträgerinformationen mit dem Drive Manager

Abbildung 1** Anzeigen von Datenträgerinformationen mit dem Drive Manager **

Überprüfen auf Malware

Vor einer Untersuchung sollten unbedingt Antimalwaretools ausgeführt werden, um sicherzustellen, dass die Untersuchung nicht durch einen Virus oder einen anderen schädlichen Code verfälscht wird. Der durch das Antimalwaretool generierte Bericht kann ggf. als Beweismittel verwendet werden. Einen Computer nicht auf Malware zu überprüfen, kann dagegen die Untersuchung gefährden sowie ihre Glaubwürdigkeit hinsichtlich Gründlichkeit und Genauigkeit in Frage stellen. Es wird empfohlen, die bereitgestellten Antimalwaretools im schreibgeschützten oder im Berichtsmodus auszuführen.

Im Starter Kit zur Malwareentfernung werden eine Reihe empfohlener Tools beschrieben, zum Beispiel MSRT (Malicious Software Removal Tool) und McAfee AVERT Stinger. Achten Sie beim Ausführen von MSRT (Malicious Software Removal Tool) darauf, die Befehlszeilenoption „/N“ zu verwenden, um das Tool anzuweisen, Malware lediglich zu melden, aber nicht zu versuchen, sie zu entfernen:

x:\tools\windows-KB890830-v1.29.exe /N

Als Ergebnis erhalten Sie eine Berichtdatei, die unter „%windir%\debug\mrt.log“ abgelegt wird.

Wenn Sie McAfee AVERT Stinger ausführen, stellen Sie dieses Tool wie in Abbildung 2 gezeigt ebenfalls auf den Modus „Report only“ (Nur berichten) ein, damit das Tool den Computer nur untersucht, aber keine Änderungen an der Festplatte vornimmt. Vergessen Sie nicht, nach Abschluss dieses Scans einen Bericht des Tools zu speichern.

Abbildung 2 Verwenden Sie in McAfee AVERT Stinger den Modus „Report only“ (Nur berichten)

Abbildung 2** Verwenden Sie in McAfee AVERT Stinger den Modus „Report only“ (Nur berichten) **

Speichern wichtiger Dateien

Falls vor der Untersuchung keine Datensicherung der gesamten Festplatte durchgeführt wurde, sollten Sie zumindest wichtige Benutzerdateien sichern. Konfigurationsinformationen können bei Bedarf für eine zukünftige Prüfung verwendet werden. Sammeln Sie zunächst die Registrierungsdateien und -einstellungen, die alle relevanten Informationen darüber enthalten, wie der Computer verwendet wurde und welche Software auf dem System installiert ist.

Um die Registrierungsstruktur des Beispielcomputers „Testbox1“ zu speichern, wird zunächst auf dem entfernbaren Laufwerk „F:\“ ein Ordner erstellt und danach mit den folgenden Befehlen das Datum und die Uhrzeit des Untersuchungsbeginns aufgezeichnet:

f:
Mkdir f:\evidence_files
Date /t >> f:\evidence_files\Evidence_start.txt
Time /t >> f:\evidence_files\Evidence_start.txt

Jetzt wird mithilfe des xcopy-Befehls zum Kopieren des gesamten Konfigurationsverzeichnisses und seiner Inhalte die Registrierungsstruktur gespeichert. Die für Sie relevanten Registrierungsdateien befinden sich in „%windows%\system32\config“. Im Beispiel wird nun Folgendes ausgeführt:

xcopy c:\windows\system32\config\*.* f:\registrybkup /s /e /k /v

Dieser Befehl kopiert alle Konfigurationsinformationen, die im Ordner „config“ enthalten sind. Im Ordner „config“ von „Textbox1“ sind ungefähr 95 MB an Daten gespeichert.

Konzentrieren Sie sich als Nächstes auf Benutzerdaten, die sich an beliebigen Speicherorten auf der Festplatte befinden können. In diesem Beispiel werden nur Daten aus einem Verzeichnis namens „c:\HR“ kopiert. Um sicherzustellen, dass die Daten vollständig gesammelt werden, werden mit dem folgenden xcopy-Befehl alle im Verzeichnis und in seinen Unterverzeichnissen enthaltenen Daten kopiert:

Mkdir f:\evidence_files\HR_Evidence
Mkdir f:\evidence_files\documents_and_settings
Mkdir f:\evidence_files\users
xcopy c:\HR\*.* f:\evidence_files\HR_Evidence /s /e /k /v

Jetzt können Sie sich den Daten in persönlichen Ordnern zuwenden. Auch hier sollen sämtliche Daten kopiert werden, die in diesen Verzeichnissen und ihren Unterverzeichnissen enthalten sind. Dazu werden die folgenden Befehle verwendet:

Xcopy c:\documents and settings\*.* f:\evidence_files\documents_and_settings /s /e /k /v

Xcopy c:\users\*.* f:\evidence_files\users /s /e /k /v

In diesem Beispiel wurden über 500 MB an Daten gesammelt, die jetzt bei Bedarf analysiert werden können. Wie Sie sehen, ist die Menge der gesammelten Daten möglicherweise sehr hoch, vor allem dann, wenn Sie mit Audio-, Video- und Fotodateien zu tun haben. Trotzdem ist es wichtig, möglichst viele Originaldaten sicherzustellen, weil in einer Untersuchung u. U. nicht nur das gesammelte physische Beweismaterial erforderlich ist, sondern auch die Gewährleistung, dass diese Daten durch den Sammelprozess nicht verändert wurden. Im Idealfall sollten Sie für die Untersuchung ein vollständiges Abbild des Datenträgers anfertigen, aber dies kann aufgrund von Größenbeschränkungen schwierig sein. Es erübrigt sich, darauf hinzuweisen, wie wichtig eine Ermittlung des möglicherweise für die Untersuchung erforderlichen Speicherplatzes bereits im Voraus ist.

Sammeln zusätzlicher Informationen

Systemdateien können bei der Sammlung von Beweismaterial ebenfalls eine nützliche Ressource sein, aber das Sammeln dieser Daten erfordert evtl. eine genauere Untersuchung des Zielcomputers, da sich diese Dateien nicht immer am selben Ort befinden. Dennoch sind bestimmte Arten von Dateien diese Suche wert, weil sie nützliche Erkenntnisse liefern können. So sind beispielsweise in Auslagerungsdateien Informationen darüber enthalten, auf welche Dateien über den Speicher zugegriffen wurde. Darüber hinaus können Auslagerungsdateien sogar ausführliche Informationen zur Nutzung liefern. Auf ähnliche Weise liefern Webbrowserdaten und Cookies Informationen zu Verhaltensweisen und Verhaltensmustern beim Surfen im Internet.

Diese Daten können manchmal nur durch intensive Nachforschungen aufgespürt werden, vor allem dann, wenn ein Benutzer seine Konfiguration so geändert hat, dass Daten nicht an den üblichen Standardspeicherorten gespeichert werden. Es gibt mehrere Sysinternals-Tools, die Ihnen bei der Suche nach wichtigen Dateien helfen können. In Abbildung 3 sind fünf nützliche Anwendungen mit den jeweiligen Beschreibungen aufgeführt.

Figure 3 Tools zum Suchen relevanter Dateien und Daten

Anwendung Beschreibung
AccessChk Zeigt den Zugriff auf Dateien, Registrierungsschlüssel und Windows-Dienste durch den von Ihnen angegebenen Benutzer oder eine angegebene Gruppe an.
AccessEnum Zeigt an, welche Benutzer auf welche Verzeichnisse, Dateien und Registrierungsschlüssel eines Computers zugreifen dürfen. Diese Informationen können Sie nutzen, um Bereiche ausfindig zu machen, an denen Berechtigungen nicht ordnungsgemäß zugewiesen sind.
Du Zeigt die Datenträgernutzung nach Verzeichnis an.
PsInfo Zeigt Informationen über einen Computer an.
Strings Sucht in Binärabbildern nach ANSI- und UNICODE-Zeichenfolgen.
   

Tom Cloward, CCE, CISSP, befasst sich als Programmmanager bei Microsoft mit der Bereitstellung von Solution Accelerators für IT-Experten auf den Gebieten Sicherheit und Kompatibilität. Er arbeitet seit über 15 Jahren in der Software- und IT-Branche und hat sich auf die Bereiche IT-Sicherheit, Forensik und Kompatibilität spezialisiert.

Frank Simorjay, CISSP, CET, ist technischer Programmmanager und arbeitet als Sicherheitsexperte für die Gruppe „Microsoft Solution Accelerator – Security and Compliance“. Er entwickelt Sicherheitslösungen für Kunden von Microsoft. Sein jüngstes Produkt ist das bei Microsoft TechNet erhältliche Starter Kit zur Malwareentfernung.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.