IT-Forensik
20.11.2018, 06:42 Uhr
Auf digitaler Spurensuche
Sie sind die Wachtmeister Studers und Sherlock Holmes des digitalen Zeitalters: IT-Forensiker sammeln nach Attacken Beweismaterial und versuchen so, den Angreifern auf die Schliche zu kommen.
Die Spurensicherung in der IT gleicht der Forensik: Spezialisten der Kantonspolizei Zürich bei der Arbeit
(Quelle: RaphiD/Pixabay (gemeinfrei))
Nichts berühren! Nichts verändern, bevor die Spurensicherung ihr Werk erledigt hat! Was als oberste Maxime an einem klassischen Tatort gilt, kann auch in die digitale Welt übertragen werden. Firmenanwender, die merken, dass sie gehackt oder sonst wie das Opfer einer Cyberstraftat geworden sind, sollten erst einmal nichts tun und wenn möglich IT-Forensik-Profis beiziehen.
Doch, was ist überhaupt IT-Forensik, die auch unter den Bezeichnungen Digitale Forensik und Computer-Forensik bekannt ist? Ganz generell handelt es sich dabei um einen Teilbereich der klassischen Forensik, die sich mit der Suche nach digitalen Spuren beschäftigt, welche bei einem Angriff oder einer anderen Straftat hinterlassen wurden. Neben der reinen Spurensuche ist auch die Beweissicherung und die Rekonstruktion der Abläufe in IT-Geräten Teil der digitalen Forensik. Sie erstreckt sich dabei auf alle Geräte, die Daten verarbeiten und speichern, also nicht nur auf PC, Server und Laptops, sondern auch auf Mobiltelefone und Smartphones, ja sogar auf Navigationssysteme und Satelliten-Empfangsgeräte. Deshalb greift wohl auch die Verwendung des Begriffs Computer-Forensik zunehmend zu kurz, da diese zu sehr an einzelne PC denken lässt.
Definition
Zudem kann die IT-Forensik als Teil des Notfall- und IT-Service- sowie Risikomanagements verstanden werden und umfasst dann auch Methoden zur Vorfallsbearbeitung, besser bekannt unter dem englischen Begriff «Incident Response». Experten verwenden denn auch gern die Abkürzung DFIR (Digital Forensics and Incident Response). Das Konzept ist schliesslich auch die Grundlage für die IT-Forensik-Definition, die das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem «Leitfaden IT-Forensik» (vgl. Kasten zu den «Ressourcen») verwenden. Sie lautet: «IT-Forensik ist die streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems».
Ein weiterer Aspekt, respektive ein wesentliches Element der digitalen Forensik ist zudem die Gerichtsfestigkeit der gesammelten und dokumentierten digitalen Beweismittel. Gerade vor diesem Hintergrund ist die Kopplung von IT-Forensik und Incident Response denn auch für Tobias Ellenberger logisch und in der Praxis sehr sinnvoll. Er ist Chief Operating Officer von Oneconsult, einem in Thalwil beheimateten IT-Security-Spezialisten, der sich unter anderem auf Penetration-Testing Incident Response und IT-Forensik spezialisiert hat. Denn gemäss Ellenberger ist bei einem Vorfall zu Beginn in der sogenannten «Chaos-Phase» oft nicht entscheidbar, ob es zu einer Anklage kommen wird. «Es kann sich oft erst später bei der Untersuchung eines Angriffs herausstellen, was genau geschehen ist. Dass beispielsweise ein Konkurrent Geistiges Eigentum entwendet hat, und man sich dann erst entscheidet, gerichtlich gegen den Mitbewerber vorzugehen», berichtet er. «In diesem Fall ist es wichtig, dass alle gesammelten Beweise vor Gericht verwertbar sind», so Ellenberger.
Vorgehensweise
Und damit sind wir schon mittendrin in der für die IT-Forensik typische Vorgehensweise. Wie in der Kriminologie in der echten Welt, gilt es auch im digitalen Umfeld, die Spuren des Angriffs so zu sichern, dass eine Manipulation ausgeschlossen werden kann. Denn auch im digitalen Umfeld gilt der bereits von dem französischen Arzt Edmund Locard schon zu Beginn des 20. Jahrhundert formulierten Prinzip: «Jeder und alles am Tatort nimmt etwas mit und lässt etwas zurück».
“Wir orientieren uns beim Vorgehen an bewährten Routinen der Polizei„
Tobias Ellenberger, Oneconsult
Benötigt wird daher eine lückenlose Dokumentation. Das kann zunächst selbst in der digitalen Forensik sehr physisch und analog sein. «Wir orientieren uns bei der Vorgehensweise an bewährte Routinen der Polizei. Wenn wir an einen mutmasslichen Tatort gelangen, fotografieren wir beispielsweise auch, wo welcher PC oder welches sonstige Gerät stand», berichtet Ellenberger. Danach muss jede weitere Aktion dokumentiert werden. «Das geschieht zum Teil noch sehr analog», meint er. So gibt es bei Oneconsult spezielle Formulare, die von Hand ausgefüllt und signiert werden müssen. Dabei wird festgehalten, was von wem zu welcher Zeit genau gemacht wurde.
Post Mortem vs. Live-Analyse
In der IT-Forensik werden grundlegend zwei Formen der Analyse unterschieden, die eine jeweils unterschiedliche Herangehensweise bedingen. Zum einen werden Daten «post mortem» oder offline untersucht. Zum anderen wird live ermittelt. Das System bleibt somit im Betrieb und online.
Klassisches Beispiel für eine Post-Mortem-Analyse, bei der also wie beim Gerichtsmediziner der «Tote» vor einem auf dem Schragen liegt, ist die Untersuchung einer Festplatte. Hier muss zunächst rein physisch verhindert werden, dass die Disk noch mit Daten beschrieben werden kann. Deshalb kommen in der Regel sogenannte «Write Blocker» zum Einsatz. Das sind Hardware- oder Software-basierte Vorrichtungen, mit denen zwar Daten vom Träger gelesen aber nicht auf diesen geschrieben werden können. Diese ermöglichen die Erstellung einer forensischen Kopie, so dass nicht auf den Originaldaten gearbeitet werden muss, denn dieses würde die Informationen womöglich verändern.
Zudem ist es gängige Praxis, dass sowohl vom Image als auch vom Original ein Hashwert erstellt wird. Denn nur so lässt sich sicherstellen, dass niemand zwischenzeitlich die Kopie verändert hat. Macht man dies nicht, wird eine juristische Verfolgung schwierig. «Wenn man nicht lückenlos nachweisen kann, dass es zu keinem Zeitpunkt möglich war, den Datenträger zu verändern, hat man vor Gericht ein Problem», sagt Ellenberger deshalb und unterstreicht in diesem Zusammenhang die Einhaltung der sogenannten «Chain of Custody» also der lupenreinen Beweismittelkette.
Steht einmal eine solche forensische Version, lässt sich der Inhalt genauer unter die Lupe nehmen. Dabei wird nicht nur das Dateisystem benutzt, da dieses kein verlässliches Bild aller Inhalte liefert. Denn wenn Dateien gelöscht und aus dem Papierkorb entfernt werden, sind die Informationen immer noch auf der Festplatte vorhanden. Sie sind einfach im File-System nicht mehr sichtbar. Um diese Daten zu bergen, gibt es Methoden und zugehörige Tools, die sich unter der Bezeichnung «File Carving» zusammenfassen lassen.
Live ist «King»
Schwieriger als eine Post-Mortem-Analyse wie das «File Carving» sind sogenannte Online- oder Live-Analysen. Bei dieser «Königsdisziplin» in der IT-Forensik wird das laufende System untersucht. Etwa bei der Untersuchung eines Malware-Angriffs muss der Computer eingeschaltet bleiben, um überhaupt Spuren zu sichern, da diese sich oft im flüchtigen Memory befinden und beim Ausschalten schlicht und einfach verschwinden würden.
Das grosse Problem bei der Live-Analyse ist, dass bei einer Untersuchung unweigerlich Datenspuren des Forensikers entstehen. «Schon beim Einloggen wird das System verändert», gibt Ellenberger zu bedenken. Hier muss also noch genauer die «Chain of Custody» respektiert werden. Die Fahnder müssen somit peinlich genau jeden einzelnen Schritt dokumentieren und beispielsweise aufzeigen, dass er zu dieser exakten Uhrzeit sich mit diesem Login und Passwort auf dem System angemeldet hat.
Ressourcen zur IT-Forensik
Wer sich enger und tiefer mit dem Thema IT-Forensik auseinandersetzen möchte, für den gibt es in deutscher Sprache folgende empfehlenswerte Ressourcen:
- Das deutsche Bundesamt für Sicherheit in der Informationstechnik hat einen «Leitfaden IT-Forensik» herausgegeben. Das umfangreiche PDF-Dokument erörtert auf über 350 Seiten ziemlich umfassend alle Aspekte der digitalen Forensik.
- Alexander Geschonneck, der als Partner bei der Wirtschaftprüfungsgesellschaft KPMG den Bereich Compliance & Forensic leitet, hat wohl das Standardwerk zum Thema verfasst. Das Buch «Computer-Forensik – Computerstraftaten erkennen, ermitteln, aufklären» ist bereits in der 6. Auflage im Dpunkt-Verlag erschienen (ISBN 978-3-86490-133-2). Das fast 400-seitige Werk beleuchtet in sehr praktischer Form alle Aspekte der Digitalen Forensik und ist auch in elektronischer Form als Epub- und PDF-Datei erhältlich.
- Auf den beiden Webseiten «www.computer-forensik.org» und «geschonneck.com» von Buchautor Alexander Geschonneck findet sich weiteres Material, so eine ausführliche Tool-Liste sowie eine Incident-Checkliste, das Muster eines Beweiszettels und Testimages zum Üben.
In diesem Zusammenhang rät der Oneconsult-COO als präventive Massnahme zu einem Zeitabgleich. Denn die Uhren gehen in komplexen IT-Umgebungen oft «anders». So kann sich die Systemzeit eines Servers in der Schweiz um ein paar Sekunden von jener des benutzten Laptops in entfernten Landen unterscheiden, da diese z.B. unterschiedliche Zeitserver verwenden, welche sich nicht synchronisieren. «Es kann manchmal recht aufwändig sein, diese unterschiedlichen Zeiten zu erfassen und zu korrelieren», meint er.
Eine Live-Analyse ist im Allgemeinen nicht nur ratsam, um aktuelle Spuren zu sichern. Sie kann sich auch dazu anbieten, einem Täter auf die Schliche zu kommen. Wird das System nämlich ausgeschaltet, merkt der Angreifer in der Regel, dass seine Attacke aufgefallen ist. Lässt man ihn dagegen weiter gewähren, kann man ein Täterprofil erstellen. So lässt sich beispielsweise feststellen, ob jemand einfach alle Daten, die ihm in die Hände fallen, sammelt, um diese im Darknet zu verkaufen, oder ob er es auf spezifische Informationen wie etwa Rezepturen und Pläne abgesehen hat. Dann könnte es sich nämlich um Wirtschaftsspionage handeln, und es steckt vielleicht ein Mitbewerber hinter dem Angriff. Gerade im zweitgenannten Fall ist es sogar dann vielleicht möglich, dem Täter wie im echten Krimi mit Hilfe eines Lockvogels eine Falle zu stellen.
Zunehmende Professionalität der Angreifer
Allerdings wird es zunehmend schwierig, den Angreifern auf die Schliche zu kommen. Denn sie sind immer mehr darauf bedacht, kaum aufzufallen und so wenig Spuren wie möglich zu hinterlassen. «Während diese Professionalität vor ein paar Jahren sehr selektiv gestreut war, stellen wir bei Analysen immer wieder fest, dass dieses Wissen des möglichst unerkannten Eindringens in Systeme, immer breiteren Kreisen zugänglich geworden ist», berichtet Uwe Kissmann, der bei Accenture für den Raum Europa, Afrika und Lateinamerika als Managing Director für Cyber Security Services verantwortlich zeichnet. Immerhin: «Da sich aber die absolute Anzahl der Vorfälle erhöht, nimmt auch gesamthaft die Anzahl der schlecht durchgeführten Angriffe zu», so Kissmann.
“Das Wissen des möglichst unerkannten Eindringens in Systeme ist immer breiteren Kreisen zugänglich geworden„
Uwe Kissmann, Accenture
Auch Ellenberger sieht diese Tendenzen. Immer mehr Angreifer verstünden es, ihre Spuren zu verwischen und hätten auch ausgezeichnete Rückzugsstrategien in petto für den Fall, dass sie entdeckt würden. Auch die verwendeten Werkzeuge wie Malware könnten immer klandestiner eingesetzt werden. «Viele Schadprogramme haben heute z.B. Schutzmechanismen vor Sandboxing-Technologien. Sie funktionieren beispielsweise nicht, wenn sie realisieren, dass sie nicht auf einem Rechner, sondern in einer virtuellen Maschine ausgeführt werden», führt er aus.
Ähnliches beobachtet auch Sean Sullivan, Security Advisor bei F-Secure, und zwar besonders bei Angriffen, die von Staaten gesponsert werden. «Hier ist man oft sehr darauf bedacht, die Spuren aktiv zu verwischen», berichtet er. Eine Spurensicherung sei dann sicherlich noch möglich, aber bedeutend schwieriger.
Anti-Forensiker vs. Forensiker
Es gelingt den Angreifern nicht nur zunehmend ein kleines Profil zu wahren und lange unerkannt zu bleiben. Sie greifen etwa auch Forensik-Software an, um die Daten dort zu manipulieren, oder sie entwickeln Verfahren und Methoden, die eine forensische Untersuchung entweder behindern, verunmöglichen oder deren Resultate bewusst fälschen.
Solche Anti-Forensik-Massnahmen haben es beispielsweise darauf abgesehen, die benutzte Forensik-Software zu überfordern. Die Tools sind ja so angelegt, dass sie Untersuchungen sehr genau ausführen, um auch alle Spuren zu sichern. Füttert man eine solche Software mit einer Zip-Datei, die entpackt Terabytes an Files produziert, oder gleich mehrere solche Files, kann das Forensik-Tool Tage wenn nicht Wochen mit der Auswertung beschäftigt sein. Dies verhindert zwar die Untersuchung nicht, kann sie aber massgeblich verzögern. Da auch IT-Forensiker unter Zeitdruck stehen, kann dies verheerend sein.
Daneben haben auch Forensik-Tools Schwachstellen und Softwarefehler, die ausgenutzt werden können, um falsche Spuren zu legen, die dann den Anwender verwirren können.
Einige der zur Anti-Forensik verwendeten Verfahren nutzen schliesslich Werkzeuge, die Teil des Betriebssystems des betroffenen Geräts sind und deshalb vom Angreifer verändert werden können. Ellenberger rät daher IT-Forensikern dazu, eigene geprüfte und mittels Hash-Verfahren verifizierte Tools mitzuführen, statt sich auf die vorhandenen Werkzeuge auf einem möglicherweise infizierten Computer zu verlassen.
Unübersichtliche IT-Landschaften
Daneben bereitet die zunehmende Komplexität der IT-Umgebungen den IT-Forensikern Kopfzerbrechen. «Wenn Angriffe über weit verzweigte, mehrdimensionale Infrastrukturelemente ausgeführt werden, welche sich darüber hinaus auch noch in unterschiedlichen Ländern befinden, wird es für den IT-Forensiker anspruchsvoller», gibt Kissmann von Accenture zu bedenken. Dabei spiele auch der Faktor Zeit eine wichtige Rolle. «Zieht sich die Analyse zu lange hin, kann es sein, dass wichtige Datensätze bereits überschrieben wurden», führt er weiter aus und weist gleichzeitig darauf hin, dass professionelle Angreifer diese Limits natürlich kennen würden.
Ein paar Standards zur IT-Forensik
IT-Forensik wird erst allmählich in Firmen ein Thema. Allerdings gewinnen ganz generell Threat Detection und Incidence Response an Popularität. Da die IT-Forensik als Teil der Bedrohungserkennung und Vorfallsbearbeitung gelten kann, kommt diese langsam aber sicher auf den Radar von Unternehmen.
Das zeigt sich auch bei der Standardisierung. Die IT-Forensik ist noch nicht im gleichen Umfang genormt wie andere Cyber-Security-Verfahrensbereiche. Dennoch existieren eine Reihe von Normen der beiden Körperschaften ISO (International Organization for Standardization) und IEC (International Electrotechnical Commission), welche für die digitale Forensik relevant sind. Es sind dies:
Das zeigt sich auch bei der Standardisierung. Die IT-Forensik ist noch nicht im gleichen Umfang genormt wie andere Cyber-Security-Verfahrensbereiche. Dennoch existieren eine Reihe von Normen der beiden Körperschaften ISO (International Organization for Standardization) und IEC (International Electrotechnical Commission), welche für die digitale Forensik relevant sind. Es sind dies:
- ISO/IEC 27037: Diese Norm enthält Leitlinien zur Identifizierung, Sammlung, Erfassung, Beschaffung, Handhabung und zum Schutz, respektive zur Erhaltung digitaler forensischer Beweise. Gemeint sind damit digitale Daten, die von Beweiskraft sein können und somit für die Verwendung vor Gericht geeignet sind. Diese Norm betrifft die erstmalige Erfassung von digitalen Beweismitteln.
- ISO/IEC 27041: Sie bietet Leitlinien zu den Sicherheitsaspekten der digitalen Forensik. Mit diesen lässt sich etwa sicherzustellen, dass die geeigneten Methoden und Werkzeuge ordnungsgemäss eingesetzt werden.
- ISO/IEC 27042: Dieser Standard deckt ab, was nach der Sammlung digitaler Beweise passiert. Sie beschreibt, wie diese zu analysieren und zu interpretieren sind.
- ISO/IEC 27043: Diese Norm liefert Leitlinien für gängige Untersuchungsverfahren von Vorfällen, bei denen digitale Beweismittel eine Rolle spielen.
- ISO/IEC 27050: Dieser Standard besteht aus vier Teilen. Er beleuchtet alle Aspekte der elektronische Entdeckung (Electronic Discovery) und deckt damit in etwa ab, was die vorgängig erwähnten Normen schon adressieren.
Auch Ellenberger führt als zunehmendes Problem für die digitale Beweisführung die komplexeren IT-Landschaften ins Feld. Firmen betrieben heute verschiedene Netze einschliesslich diverser Cloud-Installationen. Hinzu kämen die zahlreichen mobilen Geräte der Mitarbeiter, vom Laptop über das Tablet bis hin zum Smartphone oder gar zur Smartwatch. «Früher reichte es, ein einzelnes System nach Spuren abzusuchen. Heute können sich diese überall befinden», gibt er zu bedenken. In Zeiten von Cloud-Diensten wie Azure und AWS sei es fast ein Ding der Unmöglichkeit, genau festzuhalten, wo sich eine bestimmte Datei zu einem gewissen Zeitpunkt befunden habe.
Ein spezieller Show-Stopper sind auch IoT-Geräte (Internet of Things), die in zunehmender Anzahl auch in Firmennetzen zu finden sind. Ellenberger weist in diesem Zusammenhang darauf hin, dass diese Devices oft gar keine oder eine zeitlich sehr beschränkte Log-Funktionalität aufweisen. «Werden solche Geräte, die keine Logs schreiben, für einen Angriff verwendet, hat man als IT-Forensiker schlechte Karten», sagt er.
Die zunehmende Komplexität verunmögliche aber IT-Forensik-Untersuchungen nicht. Sie wird nur zu einer grösseren Herausforderung für den digitalen Fahnder. «Hier braucht es den Menschen mit Know-how und gesundem Menschenverstand, der weiss, wo er suchen soll», folgert Ellenberger.
Zu starker Fokus auf die Technologien
Der «Faktor Mensch» ist darüber hinaus auch bei der digitalen Aufklärung äusserst wichtig. So sollte das richtige Verhalten während und nach einem Angriff immer wieder eingeübt werden. Denn oft würden sich Anwender und IT-Verantwortliche falsch verhalten. Ellenberger erwähnt in diesem Zusammenhang das Beispiel eines abgestürzten PC. Hier ist meist die erste Reaktion von Anwendern und IT-Verantwortlichen, das System neu zu starten. Angreifer provozieren aber oft solche Abstürze, um einen Reboot zu erzwingen, der ihnen dann mehr Privilegien und Rechte auf dem System bringt. Die Versuche, meist weil es den betroffenen Firmen gar nicht bewusst ist, dass sie gehackt wurden, die Systeme wieder zum Laufen zu bringen, erschweren gemäss Ellenberger später die forensische Arbeit, da Spuren so kontaminiert werden können. Die Situation ist somit vergleichbar mit einem physischen Tatort, an dem nach dem Verbrechen und vor dem Erscheinen der Spurensicherung zahlreiche Personen zugegen sind und der dann mit deren Finger- und Fussabdrücken übersäht ist.
Gerade in Anbetracht der Tatsache, dass viele Angriffe nicht nur von externen, sondern auch von internen Tätern stammen können, sollten auch bei der Aufklärungsarbeit soziale und menschliche Aspekte nicht zu kurz kommen. «Was mir in meiner aktiven Tätigkeit in der Cyber-Security-Beratung auffällt, ist ein häufig sehr hoher Fokus der Abwehrmassnahmen auf reine Technologie und auf die Einhaltung von Compliance-Vorgaben», kritisiert Kissmann von Accenture. Wolle man Angriffe wirkungsvoller verhindern, sei dagegen eine proaktive und intensive Auseinandersetzung mit möglichen menschlichen Motivationselementen eines Angriffes notwendig. «99 Prozent der Angriffe werden von Menschen begangen. Es ist daher wichtig, deren entsprechende Motivationsfaktoren und Auslöser für gewissen Handlungen zu kennen», argumentiert er. Interessanterweise leistet hier auch neuste Technik wie künstliche Intelligenz und Machine Learning wichtige Dienste. Mit diesen lassen sich laut Kissmann Veränderungen im Verhalten der Täter früher identifizieren.
Fazit und Toolübersicht
Die relativ junge Disziplin der IT-Forensik hilft nicht nur dabei, digitale Spuren von internen und externen Angreifern zu sichern. Sie kann auch als Teil der Incident Response und des Riskmanagement wichtige Dienste zu einer Erhöhung der Cyber-Sicherheit in Unternehmen leisten.
Einige wichtige Tools für die IT-Forensik
Für die korrekte Durchführung digitaler forensischer Untersuchungen gibt es eine Reihe von Software-Tools, die sowohl kommerziell als auch quelloffen zur Verfügung stehen. In vielen Fällen handelt es sich dabei um ganze Werkzeugkisten oder Tool-Sammlungen. Einen guten und aktuellen Überblick gibt die Tool-Liste von Alexander Geschonneck unter www.computer-forensik.org/tools/ (vgl. auch Kasten «Ressourcen zur IT-Forensik»).
Wir haben eine Handvoll der gebräuchlichsten Werkzeuge und Tool-Sammlungen zusammengestellt -- ohne den geringsten Anspruch von Vollständigkeit:
- Caine-Live-CD und -USB: Caine (Computer Aided INvestigative Environment) kann auf einen bootfähigen Datenträger gespitzt werden. Die Toolsammlung mit italienischen Wurzeln verwendet als Betriebssystem-Basis die GNU/Linux-Distribution Ubuntu. Zu den Hauptmerkmalen gehört eine anwenderfreundliche Benutzeroberfläche, die mit einer grossen Anzahl von Forensik- und Incident-Response-Werkzeugen gekoppelt ist. Die Umgebung wird laufend angepasst und erhält Updates. Ein schönes Feature ist zudem ein halbautomatischer Report-Generator. Infos: www.caine-live.net
- Sift (Sans Investigative Forensic Toolkit) ist eine IT-Forensik-Tool-Sammlung, die entweder als VMware-Appliance gestartet, oder auf der GNU/Linux-Distribution Ubuntu 16.04 ausgeführt werden kann. Die Werkzeugkiste wird unter anderem in den vom Sans-Institute angebotenen Kursen zur Incidence Response und IT-Forensik verwendet. Sist unterstützt hauptsächlich für forensische Untersuchungen verwendete Beweismittelformate (Evidence Format) wie das Expert Witness Format (E01), Advanced Forensic Format (AFF) und RAW (dd). Infos: digital-forensics.sans.org
- Sleuth Kit und Autopsy: Beim Sleuth Kit handelt es sich um eine Sammlung von forensischer Software, das über die Kommandozeile gesteuert wird. Mit dieser lässt sich hauptsächlich die Verwendung der Systeme analysieren. Es lassen sich aber auch Abbilder von Datenträgern untersuchen. Mit Autopsy erhält der IT-Forensiker ein Programm mit grafischer Benutzeroberfläche, mit dem Festplatten und auch Smartphones untersucht werden können. Infos: www.sleuthkit.org
- Volatility Framework: Dieses Rahmenwerk dient der Analyse von flüchtigen Speichern. Es untersucht beispielsweise die Runtime-Prozesse und den Systemstatus anhand der Daten, die es im RAM findet. Das Framework wurde an der Black Hat entwickelt und wird mittlerweile weltweit von Strafverfolgungsbehörden verwendet. Infos: www.volatilityfoundation.org
- X-Ways Forensics: Dabei handelt es sich um eine integrierte kommerzielle Arbeitsumgebung für IT-Forensiker, die laut Herstellerangaben nicht so ressourcenhungrig ist wie vergleichbare Tools. Das Werkzeug ist anwenderfreundlich, mobil und läuft von einem USB-Stick aus in jedem Windows-System ohne vorherige Installation. Infos: www.x-ways.net
- FTK Imager: Dieser ist einerseits Teil der kompletten FTK (Forensics Toolkit) von AccessData, andererseits kann das Werkzeug als Stand-alone gratis heruntergeladen werden. Es dient der Erstellung von Images und sollte in keiner gepflegten Tool-sammlung fehlen.Infos: accessdata.com
- Plaso (ehemals log2timeline): Das Tool dient dem Extrahieren von Timestamps von verschiedenen Files und zur Aggregierung dieser zu einer Timeline. Infos: github.com/log2timeline/plaso/wiki