Forensische Analyse mit Autopsy

Auf Spurensuche

Die Analyse von Computersystemen nach einem Totalausfall, etwa nach einem Angriff mit Schadsoftware, ist die Aufgabe von Forensikspezialisten. Diese können mit entsprechenden Werkzeugen Logdaten, die Webhistorie oder Bilddaten rekonstruieren und sogenannte Indicators of Compromise aufspüren. In diesem Security-Tipp stellen wir Ihnen das Sleuthkit-Werkzeug Autopsy vor und zeigen, wie Sie damit forensische Analysen durchführen.
Wiederkehrende Abläufe in der IT sind einerseits zeitraubend, eignen sich andererseits aber ideal für eine Automatisierung. Im März-Heft beleuchtet ... (mehr)

Eine wichtige Aufgabe nach einem Cybervorfall in Unternehmen ist, neben der unverzüglichen Bereitstellung alternativer Systeme zur Sicherung des Geschäftsbetriebs, die Aufarbeitung des Vorfalls und die Analyse betroffener Systeme. Neben unzähligen kostenpflichtigen Werkzeugen für die Analyse und Rekonstruktion von Logs und Daten gibt es auch sehr gute, frei verfügbare und quelloffene Werkzeuge wie die Tools der Sleuthkit-Sammlung und die zugehörige grafische Benutzeroberfläche Autopsy [1].

Nur mit Abbildern arbeiten

Bevor Sie sich an die Analyse der Festplatteninhalte machen, sollten Sie zunächst ein komplettes Abbild der Festplatte anlegen. Zwar können Sie mit Autopsy grundsätzlich auch direkt im laufenden System arbeiten oder nur einzelne Ordner analysieren, um aber auf Nummer sicher zu gehen und nicht durch versehentliche Schreibzugriffe auf die Festplatte wichtige Daten zu zerstören, schließen Sie die Festplatte zunächst an ein weiteres System an und erstellen etwa unter Linux mit dd ein entsprechendes Abbild.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023