mstoeck3/forensic-pathways
2
0
Fork 0
Code Issues 3 Pull Requests Projects Releases Activity
forensic-pathways/src/content/knowledgebase/concept-file-system-storage-forensics.md
overcuriousity e6cee2ab0e knowledgebase content
2025-08-10 21:50:47 +02:00

15 KiB
Raw Blame History

title, description, author, last_updated, difficulty, categories, tags, tool_name, related_tools, published
title description author last_updated difficulty categories tags tool_name related_tools published
Dateisystem-Forensik: Von NTFS-Strukturen bis Cloud-Storage-Artefakten Umfassender Leitfaden zur forensischen Analyse von Dateisystemen - NTFS-Metadaten, ext4-Journaling, APFS-Snapshots und Cloud-Storage-Forensik für professionelle Datenrekonstruktion Claude 4 Sonnett (Prompt: Mario Stöckl) 2024-01-15 intermediate
analysis
configuration
troubleshooting
filesystem-analysis
metadata-extraction
deleted-data-recovery
slack-space
journaling-analysis
timestamp-forensics
partition-analysis
cloud-storage
ntfs
ext4
apfs
data-carving
File Systems & Storage Forensics
Autopsy
The Sleuth Kit
FTK Imager
Volatility
X-Ways Forensics
true

Dateisystem-Forensik: Von NTFS-Strukturen bis Cloud-Storage-Artefakten

Die forensische Analyse von Dateisystemen bildet das Fundament moderner Digital Forensics. Dieser umfassende Leitfaden behandelt die kritischen Aspekte der Dateisystem-Forensik von traditionellen lokalen Speichermedien bis hin zu modernen Cloud-Storage-Umgebungen.

Grundlagen der Dateisystem-Forensik

Was ist Dateisystem-Forensik?

Dateisystem-Forensik umfasst die systematische Untersuchung von Speicherstrukturen zur Rekonstruktion digitaler Beweise. Dabei werden nicht nur sichtbare Dateien analysiert, sondern auch Metadaten, gelöschte Inhalte und versteckte Artefakte untersucht.

Zentrale forensische Konzepte

Metadaten-Analyse: Jedes Dateisystem speichert umfangreiche Metadaten über Dateien, Verzeichnisse und Systemaktivitäten. Diese Informationen sind oft aussagekräftiger als der eigentliche Dateiinhalt.

Slack Space: Der ungenutzte Bereich zwischen dem Ende einer Datei und dem Ende des zugewiesenen Clusters kann Reste vorheriger Dateien enthalten.

Journaling: Moderne Dateisysteme protokollieren Änderungen in Journal-Dateien, die wertvolle Timeline-Informationen liefern.

Timeline-Rekonstruktion: Durch Kombination verschiedener Timestamp-Quellen lassen sich detaillierte Aktivitätszeitlinien erstellen.

NTFS-Forensik: Das Windows-Dateisystem im Detail

Master File Table (MFT) Analyse

Die MFT ist das Herzstück von NTFS und enthält Einträge für jede Datei und jeden Ordner auf dem Volume.

Struktur eines MFT-Eintrags:

Offset 0x00: FILE-Signatur
Offset 0x04: Update Sequence Array Offset
Offset 0x06: Update Sequence Array Größe
Offset 0x08: $LogFile Sequence Number (LSN)
Offset 0x10: Sequence Number
Offset 0x12: Hard Link Count
Offset 0x14: Erste Attribut-Offset

Forensisch relevante Attribute:

  • $STANDARD_INFORMATION: Timestamps, Dateiberechtigungen
  • $FILE_NAME: Dateiname, zusätzliche Timestamps
  • $DATA: Dateiinhalt oder Cluster-Referenzen
  • $SECURITY_DESCRIPTOR: Zugriffsberechtigungen

Praktische Analyse-Techniken:

  1. Gelöschte MFT-Einträge identifizieren: Einträge mit FILE0-Signatur sind oft gelöschte Dateien
  2. Timeline-Anomalien erkennen: Vergleich zwischen $STANDARD_INFORMATION und $FILE_NAME Timestamps
  3. Resident vs. Non-Resident Data: Kleine Dateien (< 700 Bytes) werden direkt in der MFT gespeichert

$LogFile Analyse für Aktivitäts-Tracking

Das NTFS-Journal protokolliert alle Dateisystem-Änderungen und ermöglicht detaillierte Aktivitäts-Rekonstruktion.

Relevante Log-Record-Typen:

  • CreateFile: Datei-/Ordnererstellung
  • DeleteFile: Löschvorgänge
  • RenameFile: Umbenennungen
  • SetInformationFile: Metadaten-Änderungen

Analyse-Workflow:

# Mit istat (Sleuth Kit) MFT-Eintrag analysieren
istat /dev/sda1 5  # MFT-Eintrag 5 anzeigen

# Mit fls gelöschte Dateien auflisten
fls -r -d /dev/sda1

# Mit tsk_recover gelöschte Dateien wiederherstellen
tsk_recover /dev/sda1 /recovery/

Alternate Data Streams (ADS) Detection

ADS können zur Datenverbergung missbraucht werden und sind oft übersehen.

Erkennungsstrategien:

  1. MFT-Analyse auf mehrere $DATA-Attribute: Dateien mit ADS haben multiple $DATA-Einträge
  2. Powershell-Erkennung: Get-Item -Path C:\file.txt -Stream *
  3. Forensik-Tools: Autopsy zeigt ADS automatisch in der File-Analyse

Volume Shadow Copies für Timeline-Rekonstruktion

VSCs bieten Snapshots des Dateisystems zu verschiedenen Zeitpunkten.

Forensische Relevanz:

  • Wiederherstellung gelöschter/überschriebener Dateien
  • Timeline-Rekonstruktion über längere Zeiträume
  • Registry-Hive-Vergleiche zwischen Snapshots

Zugriff auf VSCs:

# VSCs auflisten
vssadmin list shadows

# VSC mounten
vshadow -p C: -script=shadow.cmd

ext4-Forensik: Linux-Dateisystem-Analyse

Ext4-Journal-Analyse

Das ext4-Journal (/journal) protokolliert Transaktionen und bietet wertvolle forensische Artefakte.

Journal-Struktur:

  • Descriptor Blocks: Beschreiben bevorstehende Transaktionen
  • Data Blocks: Enthalten die eigentlichen Datenänderungen
  • Commit Blocks: Markieren abgeschlossene Transaktionen
  • Revoke Blocks: Listen widerrufene Blöcke auf

Praktische Analyse:

# Journal-Informationen anzeigen
tune2fs -l /dev/sda1 | grep -i journal

# Mit debugfs Journal untersuchen
debugfs /dev/sda1
debugfs: logdump -a journal_file

# Ext4-Metadaten extrahieren
icat /dev/sda1 8 > journal.raw  # Inode 8 ist typisch das Journal

Inode-Struktur und Deleted-File-Recovery

Ext4-Inode-Aufbau:

struct ext4_inode {
    __le16 i_mode;        # Dateityp und Berechtigungen
    __le16 i_uid;         # Benutzer-ID
    __le32 i_size;        # Dateigröße
    __le32 i_atime;       # Letzter Zugriff
    __le32 i_ctime;       # Inode-Änderung
    __le32 i_mtime;       # Letzte Modifikation
    __le32 i_dtime;       # Löschzeitpunkt
    ...
    __le32 i_block[EXT4_N_BLOCKS]; # Block-Pointer
};

Recovery-Techniken:

  1. Inode-Scanning: Suche nach Inodes mit gesetztem dtime aber erhaltenen Blöcken
  2. Journal-Recovery: Replay von Journal-Einträgen vor Löschzeitpunkt
  3. Directory-Entry-Recovery: Undelfs-Techniken für kürzlich gelöschte Dateien

Extended Attributes (xattr) Forensik

Extended Attributes speichern zusätzliche Metadaten und Sicherheitskontext.

Forensisch relevante xattrs:

  • security.selinux: SELinux-Kontext
  • user.*: Benutzerdefinierte Attribute
  • system.posix_acl_*: ACL-Informationen
  • security.capability: File-Capabilities
# Alle xattrs einer Datei anzeigen
getfattr -d /path/to/file

# Spezifisches Attribut extrahieren
getfattr -n user.comment /path/to/file

APFS und HFS+ Forensik: macOS-Dateisysteme

APFS-Snapshots für Point-in-Time-Analysis

APFS erstellt automatisch Snapshots, die forensische Goldgruben darstellen.

Snapshot-Management:

# Snapshots auflisten
tmutil listlocalsnapshots /

# Snapshot mounten
diskutil apfs mount -snapshot snapshot_name

# Snapshot-Metadaten analysieren
diskutil apfs list

Forensische Anwendung:

  • Vergleich von Dateisystem-Zuständen über Zeit
  • Recovery von gelöschten/modifizierten Dateien
  • Malware-Persistenz-Analyse

HFS+-Katalog-Datei-Forensik

Die Katalog-Datei ist das Äquivalent zur NTFS-MFT in HFS+.

Struktur:

  • Header Node: Baum-Metadaten
  • Index Nodes: Verweise auf Leaf Nodes
  • Leaf Nodes: Eigentliche Datei-/Ordner-Records
  • Map Nodes: Freie/belegte Nodes

Forensische Techniken:

# Mit hfsdump Katalog analysieren
hfsdump -c /dev/disk1s1

# Gelöschte Dateien suchen
fls -r -f hfsplus /dev/disk1s1

Cloud Storage Forensics

OneDrive-Artefakt-Analyse

Lokale Artefakte:

  • %USERPROFILE%\OneDrive\*: Synchronisierte Dateien
  • Registry: HKCU\Software\Microsoft\OneDrive
  • Event Logs: OneDrive-spezifische Ereignisse

Forensische Analyse-Punkte:

  1. Sync-Status: Welche Dateien wurden synchronisiert?
  2. Conflict-Resolution: Wie wurden Konflikte gelöst?
  3. Version-History: Zugriff auf vorherige Datei-Versionen
  4. Sharing-Activities: Geteilte Dateien und Berechtigungen
# OneDrive-Status abfragen
Get-ItemProperty -Path "HKCU:\Software\Microsoft\OneDrive\Accounts\*"

# Sync-Engine-Logs analysieren
Get-WinEvent -LogName "Microsoft-Windows-OneDrive/Operational"

Google Drive Forensik

Client-seitige Artefakte:

  • %LOCALAPPDATA%\Google\Drive\*: Lokaler Cache
  • SQLite-Datenbanken: Sync-Metadaten
  • Temporary Files: Unvollständige Downloads

Wichtige Datenbanken:

  • sync_config.db: Sync-Konfiguration
  • cloud_graph.db: Cloud-Dateienstruktur
  • metadata_database: Datei-Metadaten
# SQLite-Datenbank analysieren
sqlite3 sync_config.db
.tables
SELECT * FROM data WHERE key LIKE '%sync%';

Dropbox-Forensik

Forensische Artefakte:

  • %APPDATA%\Dropbox\*: Konfiguration und Logs
  • .dropbox.cache\*: Lokaler Cache
  • Database-Dateien: Sync-Historie

Wichtige Dateien:

  • config.dbx: Verschlüsselte Konfiguration
  • filecache.dbx: Datei-Cache-Informationen
  • deleted.dbx: Gelöschte Dateien-Tracking

File Carving und Datenrekonstruktion

Header/Footer-basiertes Carving

Klassische Ansätze:

# Mit foremost File-Carving durchführen
foremost -t jpg,pdf,doc -i /dev/sda1 -o /recovery/

# Mit scalpel erweiterte Pattern verwenden
scalpel -b -o /recovery/ /dev/sda1

# Mit photorec interaktives Recovery
photorec /dev/sda1

Custom Carving-Patterns:

# scalpel.conf Beispiel
jpg	y	200000000	\xff\xd8\xff\xe0\x00\x10	\xff\xd9
pdf	y	200000000	%PDF-	%%EOF\x0d
zip	y	100000000	PK\x03\x04	PK\x05\x06

Fragmentierte Datei-Rekonstruktion

Bifragment-Gap-Carving:

  1. Identifikation von Header-Fragmenten
  2. Berechnung wahrscheinlicher Fragment-Größen
  3. Gap-Analyse zwischen Fragmenten
  4. Reassembly mit Plausibilitätsprüfung

Smart-Carving-Techniken:

  • Semantic-aware Carving für Office-Dokumente
  • JPEG-Quantization-Table-Matching
  • Video-Keyframe-basierte Rekonstruktion

Timestamp-Manipulation und -Analyse

MACB-Timeline-Erstellung

Timestamp-Kategorien:

  • M (Modified): Letzter Schreibzugriff auf Dateiinhalt
  • A (Accessed): Letzter Lesezugriff (oft deaktiviert)
  • C (Changed): Metadaten-Änderung (Inode/MFT)
  • B (Born): Erstellungszeitpunkt
# Mit fls Timeline erstellen
fls -r -m C: > timeline.bodyfile
mactime -d -b timeline.bodyfile > timeline.csv

# Mit log2timeline umfassende Timeline
log2timeline.py --storage-file timeline.plaso image.dd
psort.py -o l2tcsv -w timeline_full.csv timeline.plaso

Timestamp-Manipulation-Detection

Erkennungsstrategien:

  1. Chronologie-Anomalien: Created > Modified Timestamps
  2. Präzisions-Analyse: Unnatürliche Rundung auf Sekunden/Minuten
  3. Filesystem-Vergleich: Inkonsistenzen zwischen verschiedenen Timestamp-Quellen
  4. Batch-Manipulation: Verdächtige Muster bei mehreren Dateien

Registry-basierte Evidenz:

HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisableLastAccessUpdate

Häufige Herausforderungen und Lösungsansätze

Performance-Optimierung bei großen Images

Problem: Analyse von Multi-TB-Images dauert Tage Lösungen:

  1. Selective Processing: Nur relevante Partitionen analysieren
  2. Parallel Processing: Multi-threaded Tools verwenden
  3. Hardware-Optimierung: NVMe-SSDs für temporäre Dateien
  4. Cloud-Processing: Verteilte Analyse in der Cloud

Verschlüsselte Container und Volumes

BitLocker-Forensik:

# Mit dislocker BitLocker-Volume mounten
dislocker -r -V /dev/sda1 -p password -- /tmp/bitlocker

# Recovery-Key-basierter Zugriff
dislocker -r -V /dev/sda1 -k recovery.key -- /tmp/bitlocker

VeraCrypt-Analyse:

  • Header-Backup-Analyse für mögliche Passwort-Recovery
  • Hidden-Volume-Detection durch Entropie-Analyse
  • Keyfile-basierte Entschlüsselung

Anti-Forensik-Techniken erkennen

Wiping-Detection:

  • Pattern-Analyse für DoD 5220.22-M Wiping
  • Random-Data vs. Encrypted-Data Unterscheidung
  • Unvollständige Wiping-Artefakte

Timestomp-Detection:

# Mit analyzeMFT.py Timestamp-Anomalien finden
analyzeMFT.py -f $MFT -o analysis.csv
# Analyse der $SI vs. $FN Timestamp-Diskrepanzen

Tool-Integration und Workflows

Autopsy-Integration

Workflow-Setup:

  1. Image-Import: E01/DD-Images mit Hash-Verifikation
  2. Ingest-Module: File-Type-Detection, Hash-Lookup, Timeline-Creation
  3. Analysis: Keyword-Search, Timeline-Analysis, File-Category-Review
  4. Reporting: Automatisierte Report-Generierung

TSK-Kommandozeilen-Pipeline

#!/bin/bash
# Vollständiger Dateisystem-Analyse-Workflow

IMAGE="/cases/evidence.dd"
OUTPUT="/analysis/case001"

# 1. Partitionstabelle analysieren
mmls "$IMAGE" > "$OUTPUT/partitions.txt"

# 2. Dateisystem-Info extrahieren
fsstat "$IMAGE" > "$OUTPUT/filesystem_info.txt"

# 3. Timeline erstellen
fls -r -m "$IMAGE" > "$OUTPUT/timeline.bodyfile"
mactime -d -b "$OUTPUT/timeline.bodyfile" > "$OUTPUT/timeline.csv"

# 4. Gelöschte Dateien auflisten
fls -r -d "$IMAGE" > "$OUTPUT/deleted_files.txt"

# 5. File-Carving durchführen
foremost -t all -i "$IMAGE" -o "$OUTPUT/carved/"

# 6. Hash-Analyse
hfind -i nsrl "$OUTPUT/timeline.bodyfile" > "$OUTPUT/known_files.txt"

Best Practices und Methodologie

Dokumentation und Chain of Custody

Kritische Dokumentationspunkte:

  1. Acquisition-Details: Tool, Version, Hash-Werte, Zeitstempel
  2. Analysis-Methodik: Verwendete Tools und Parameter
  3. Findings-Dokumentation: Screenshots, Befund-Zusammenfassung
  4. Timeline-Rekonstruktion: Chronologische Ereignis-Dokumentation

Qualitätssicherung

Verifikations-Checkliste:

  • Hash-Integrität von Original-Images
  • Tool-Version-Dokumentation
  • Kreuz-Validierung mit verschiedenen Tools
  • Timeline-Plausibilitätsprüfung
  • Anti-Forensik-Artefakt-Suche

Rechtliche Aspekte

Admissibility-Faktoren:

  1. Tool-Reliability: Verwendung etablierter, validierter Tools
  2. Methodology-Documentation: Nachvollziehbare Analyse-Schritte
  3. Error-Rate-Analysis: Bekannte Limitationen dokumentieren
  4. Expert-Qualification: Forensiker-Qualifikation nachweisen

Weiterführende Ressourcen

Spezialisierte Tools

  • X-Ways Forensics: Kommerzielle All-in-One-Lösung
  • EnCase: Enterprise-Forensik-Platform
  • AXIOM: Mobile und Computer-Forensik
  • Oxygen Detective: Mobile-Spezialist
  • BlackBag: macOS-Forensik-Spezialist

Fortgeschrittene Techniken

  • Memory-Forensics: Volatility für RAM-Analyse
  • Network-Forensics: Wireshark für Netzwerk-Traffic
  • Mobile-Forensics: Cellebrite/Oxygen für Smartphone-Analyse
  • Cloud-Forensics: KAPE für Cloud-Artefakt-Collection

Continuous Learning

  • SANS FOR508: Advanced Digital Forensics
  • Volatility Training: Memory-Forensics-Spezialisierung
  • FIRST Conference: Internationale Forensik-Community
  • DFRWS: Digital Forensics Research Workshop

Die moderne Dateisystem-Forensik erfordert ein tiefes Verständnis verschiedener Speichertechnologien und deren forensischer Artefakte. Durch systematische Anwendung der beschriebenen Techniken und kontinuierliche Weiterbildung können Forensiker auch komplexeste Fälle erfolgreich bearbeiten und gerichtsfeste Beweise sicherstellen.