IT-Forensiche Dokumentation - IT-Forensik Wiki
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IT-Forensiche Dokumentation
zur forensischen Datenextraktion und Auswertung
von einem Mobiltelefon
im Auftrag
der Firma
Wings GmbH
Philipp-Müller-Straße 12, 23966 Wismar
Auftrags-Nr.: MUE 1
erstellt von
Markus Keller - xxxxxx
Rebecca Zinke - xxxxxx
am 12.12.2019
Forensikstation
Ausbildungsplatz 1
12345 Tatort
IT-Forensische Dokumentation vom 12.12.2019 2 von 54 Forensikstation: Zinke, Keller Inhaltsverzeichnis 1 Ausgangssituation und Überblick 4 2 Übersicht mobiles Endgerät 5 3 Technische Durchführung 7 3.1 Verwendete Forensik Hard-/ und Software 7 3.2 TWRP Flash mit Heimdall 8 3.3 Durchführung der forensischen Datenextraktion 9 3.4 Überprüfung auf Auswertbarkeit 13 3.5 Erstellung eines forensischen Containers 13 4 Auswertung 14 4.1 Fall 1: Skype DB auslesen - Chats verdächtiger Geschäftspartnern 18 4.2 Fall 2: SMS-Messages 21 4.3 Fall 3: Kommunikation WhatsApp 22 4.4 Fall 4: E-Mail-Kommunikation auslesen 27 4.5 Fall 5: Bilder auswerten - Geo Lokationen 27 4.6 Fall 6: Telefonlogs 35 4.7 Fall 7: Gelöschte Files wieder herstellen: 37 4.8 Fall 8: Timeline erstellen 39 4.9 Fall 9: Browser Daten auslesen 41 4.10 Vorhandene Kontakte 42 4.11 Auswertung mit Autopsy 43 5 Anhang 51 5.1 CellID Auswertung (Achtung, nur für ältere Android-Versionen anwendbar!) 52 5.2 Datenbanken 54 Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 3 von 54
Forensikstation: Zinke, Keller
Dokumentenhistorie
Datum Bearbeiter Änderung
01.10.2019 Markus Keller Erstellung der IT-Forensischen Dokumentation in
der initialen Version.
15.10.2019 Markus Keller Einfügen von Kapitel 4.
15.10.2019 Markus Keller Einfügen von Kapitel 5.
18.11.2019 Rebecca Zinke Einfügen von Kapitel 3.
18.11.2019 Rebecca Zinke Korrekturen vorgenommen.
28.11.2019 Markus Keller Korrekturen an Timeline vorgenommen.
05.12.2019 Keller, Zinke Erstellen des finalen Berichtes.
09.01.2020 Rebecca Zinke Korrekturen in Kapitel 3.
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 4 von 54
Forensikstation: Zinke, Keller
1 Ausgangssituation und Überblick
Am 01.10.2019 wurde die Abteilung
IT-Forensic & Investigations Lab
Forensikstation GmbH
Ausbildungsplatz 1
12345 Tatort
von der Firma
Wings GmbH
Dipl. Ing. Hans-Peter Merkel
Philipp-Müller-Straße 12
23966 Wismar
beauftragt, sich einen Ermittlungsfall zu überlegen und ein entsprechendes Image, des für den
Fall verwendeten IT-Gerätes zu erstellen und dieses nach IT-forensischen Methoden zu
analysieren und den Ablauf entsprechend zu dokumentieren. Das Team MUE1 (Keller, Zinke)
entschied sich für ein „Drogen-Schmugglerhandy“ und die Extraktion von Beweismaterial aus
diesem Mobiltelefon. Voraussetzung ist, dass nur Linux-Tool für die Auswertung verwendet
werden.
Um diese Aufgabe bewerkstelligen zu können, wurde ein Smartphone von der Forensikstation
über Ebay eingekauft. Das Endgerät wude dem Auftragnehmer, in einem auf Werkseinstellung
zurückgesetzten Zustand, per Post übergeben. Um Daten auf dem Smartphone auswerten zu
können mussten zunächst Daten durch den Auftragnehmer generiert werden. Das
Smartphone wurde dafür durch die Forensikstation mit einer Lidl Connect SIM-Karte
ausgestattet, damit Nutzerdaten mit dem Smartphone generiert werden konnten. Es wurden
außerdem ein Googlemail, ein Skype-, ein WhatsApp- und ein Microsoftkonto auf dem
Smartphone angelegt und entsprechende Apps aus dem Google-Play-Sore installiert.
Folgende Fälle sollen durch die Firma Forensikstation bearbeitet und dokumentiert werden:
• Fall 1: Skype DB auslesen mit Chats zu seinen verdächtigen Geschäftspartnern
• Fall 2: SMS-Messages
• Fall 3: Kommunikation WhatsApp
• Fall 4: E-Mail-Kommunikation
• Fall 5: Bilder – Geo-Lokation
• Fall 6: Telefonlogs
• Fall 7: Wiederherstellung von Dateien
• Fall 8: Timeline
• Fall 9: Browserdaten auslesen
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 5 von 54 Forensikstation: Zinke, Keller Mit dem Smartphone wurden über einen Zeitraum von 3 Wochen Kommunikationsdaten generiert und Fotos an verschiedenen Standorten aufgenommen. Nach dem Datenerhebungszeitraum wurde das Smartphone ausgeschaltet und ausgewertet. Sperrcodes und SIM-Kartennummern waren für die Auswertung vorhanden. Die Firma Forensikstation GmbH kann nachweisen, dass es sich bei dem vorliegenden Smartphone um ihr Eigentum handelt. 2 Übersicht mobiles Endgerät Das für die Auswertung gekaufte mobile Endgerät ist ein Smartphone des Herstellers SAMSUNG vom Typ GT-I9506 in der Farbe schwarz. Die SIM-Karte ist, wie in Abbildung 2 zu sehen ist, eingelegt. Eine zusätzliche optionale Datenkarte wurde nicht verwendet, der Slot ist entsprechend leer. Tabelle 1: Auszuwertendes SAMSUNG, S4. Lfd. Nr. Anzahl Geräte-Nr. Beschreibung der Gegenstände 1 1 001 Smartphone, SAMSUNG GT-I9506, S4 Die im Smartphone vorhandene SIM-Karte wurde mit Linux Boardmitteln ausgelesen. Die ermittelten Parameter sind in Tabelle 2 hinterlegt. Es wurden keine Kontaktdaten oder andere Informationen auf der SIM-Karte gespeichert. Bei dem Betriebssystem des vorliegenden Smartphone handelt es sich um Android in der Version 4.4.2. Das verwendete Boardmittel ist der LinuxModemManager. Mit diesem kann die SIM-Karte, wenn diese zuvor in ein separates Modem eingelegt wurde (Mobiltelefon ginge auch, allerdings muss das Smartphone dazu eingeschaltet sein und eine Netzwerkverbindung bereitstellen. Dies wäre nicht mehr als Beweismittel verwertbar). Der Aufruf in der Konsole lautet: mmcli [OPTION …] - Control and monitor the ModemManager Der Befehl root@naboo:/home/user/Downloads/simfor-master# mmcli -m 5 ergibt unter anderem filgende Ausgabe (hier nur ein Ausschnitt): Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 6 von 54 Forensikstation: Zinke, Keller Tabelle 2: Auszuwertendes SAMSUNG, S4. Parametername Parameterwert ICCID 89492021176032062230 IMSI 262022115968824 SPN LIDL Connect (Vofafone) Rufnummer +49 152 55334862 Location Area Information: Internationale Vorwahl (LAI:MCC) 262 Location Area Information: Netzvorwahl (LAI:MNC) 02 Standortbereichsinformation: Standortbereichskennzahl 1CC5 (LAI:LAC) Abbildung 1: Vorderseite Smartphone, SAMSUNG GT-I9506. Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 7 von 54
Forensikstation: Zinke, Keller
Abbildung 2: Rückseite Smartphone Samsung GT-I9506 mit entferntem Rückendeckel und ausgebautem Akku,
Typbezeichnung im Innern des Telefons.
3 Technische Durchführung
3.1 Verwendete Forensik Hard-/ und Software
Zur Durchführung der forensischen Datensicherung und Datenaufbereitung wurde folgende
Hard-/ und Software eingesetzt:
• Sleuthkit
• „ADB – Android Debug Bridge“ der Firma xda developer in der Version 1.0.39
• „Heimdall“ von Benjamin Dobell Electronics in der Version v1.4.1
• Software Image „twrp-3.3.1-0-ks01lte.img.tar“, geladen über
https://dl.twrp.me/ks01lte/ (Stand: 07/2019)
• „SQLiteStudio“ der Firma SalSoft Pawel Salawa in der Version 3.10.1
• Online Datenbank für CellTower (https://opencellid.org Stand: 07/2019)
• CellID Finder für GSM BTS, Darstellung auf Maps (https://cellidfinder.com/ Stand
07/2019)
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 8 von 54
Forensikstation: Zinke, Keller
• „Log2timeline“ / „Plaso“, lizensiert über Apache licence version 2, ist ein Python-
basiertes Backend für das Tool log2timeline
(https://github.com/log2timeline/plaso, Stand 07/2019 12.0.3)
• „Sleuthkit“ von Brian Carrier in der Version 4.7.0
• „Autopsy“, GUI für Sleuthkit von Brian Carrier in der Version 4.13.0
• „Xmount“ von Damien Gillen in der Version 0.7.6
3.2 TWRP Flash mit Heimdall
Um die Datenpartition des Smartphones extrahieren und auswerten zu können, wurde auf
dem Mobiltelefon ein Custom Recovery System (TWRP – Team Win Recovery Project) durch
den Auftragnehmer installiert, damit den Auswertern ein Recovery Modus mit erweiterten
Funktionen zur Verfügung steht, u.a. ein Root-Modus, der für die später genutzte ADB –
Android Debug Bridge, benötigt wird.
Abbildung 3: Fotos des Samsung, in dem eine erfolgreiche Installation des zuvor genannten TWRP´s zu sehen
ist.
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 9 von 54
Forensikstation: Zinke, Keller
Das Mobiltelefon wurde zuerst in den Downloadmode versetzt (Tastenkombination: Volume
DOWN key + Power key + Home key). Im Anschluss wurde das Smartphone mit aktivem
Downloadmodus mit einem Micro-USB-Kabel an einen Auswerte-Laptop angeschlossen. Mit
diesem wurde mittels Heimdall das TWRP in der Version twrp-3.3.1-0-ks01lte auf dem
Smartphone installiert. Im Anschluss wurde das Mobiltelefon mit dem zuvor installierten
TWRP gebootet (Tastenkombination: Volume UP key + Power key + Home key), so dass
dadurch ein Root-Zugriff auf die vorhandenen Datenpartitionen des Telefons möglich ist (s.
Abb. 3, rechtes Bild).
3.3 Durchführung der forensischen Datenextraktion
Nach der Installation des TWRP wurde die Software „ADB – Android Debug Bridge“ der Firma
XDA developer genutzt, um Zugang zu dem Mobiltelefon zu bekommen und die
Datenpartitionen entsprechend zu extrahieren. Die für die Auswertung relevante
Datenpartition des Mobiltelefons liegt unter /dev/block/mmcblk0p26 (s. Tabelle 3). Die
Abfolge der verwendeten Konsolenbefehle befindet sich in Tabelle 4.
Tabelle 3: Verwendete Befehle mit der ADB um die Datenpartition extrahieren zu können.
# Befehl Ergebnis
1 adb devices List of devices attached
6762bacd recovery
2 adb shell ~#
3 ~ # mount /dev/block/mmcblk0p26 on /data type ext4
(rw,seclabel,relatime,data=ordered)
4 adb pull Extraktion der Datenpartition /dev/block/mmcblk026 und
/dev/block/mmcblk026 Speicherung auf das Laufwerk des Auswerte-Laptops.
5 adb shell sha1sum 23c63ef4c72ffa30de2d774fb2a4121565d03a50
/dev/block/mmcblk026
6 adb shell sha1sum 3b1e3762f0c418007b28f62711a65062
/dev/block/mmcblk026
Für die Auswertung des Samsung GT-I9506 wurde eine bitweise Kopie (1:1 Kopie oder Image)
der relevanten Datenpartition mmcblk026 mit Hilfe der forensischen Software ADB erstellt,
das Image mit Prüfsummen versehen und auf dem Auswertelaptop zur weiteren Verarbeitung
übertragen.
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 10 von 54
Forensikstation: Zinke, Keller
Tabelle 4: Die wichtigesten ADB-Befehle.
# Befehl Ergebnis
1 adb devices zur Auflistung der angeschlossenen Smartphones
2 adb shell zum Öffnen einer Shell auf dem Smartphone
3 adb start-server Zum Starten des Servers
4 adb kill-server Zum Beenden des Servers
5 adb forward Zur Einrichtung einer Portweiterleitung
tcp:tcp:
6 adb push Zur Übertragung von Daten der forensischen Workstation
auf das Smartphone
7 adb pull Zur Übertragung von Daten des Smartphones auf die
forensische Workstation
Ist das Telefon per USB an den Auswerte Rechner verbunden, kann man mit „adb devices“ die
Liste der verbundenen Geräte abfragen (s. Abb. 4). In dem Zustand „unauthorized“ hat man
kein Root Zugriff auf das Gerät und kann entsprechend keine der Partitionen des Telefons
sichern. Das Telefon wird nun in das Revocery Image gebooted mit der Tastenkombination
„Vol down“ + „Home“ + „Power on“. Nun kann erneut mit „adb devices“ der Zustand des
Telefons abgefragt werden (s. Abb. 4, rechtes Bild):
Abbildung 4: Zeigt den Befehl und die Ergebnisse „adb devices“; links unauthorisiert und rechts als root.
Nun befindet sich das Telefon im Recovery Mode und man kann mit der Sicherung starten.
Mit „adb shell“ verbindet sich man zum Telefon und sieht anhand des Prompt, dass man sich
im Root Modus befindet.
Mit dem Befehl „mount“ kann man sich die Partitionen des Telefons anzeigen lassen. Hier ist
zu erkennen, dass die Partition mmcblk0p26 heißt.
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 11 von 54 Forensikstation: Zinke, Keller Von dem Pfad: /dev/block/mmcblk0p26 on /data type ext4 wird im nächsten Schritt ein Image der Datenpartition erstellt. Alle Partitionen des Telefons kann man sich mit dem Befehl „cat /proc/partitions“ anzeigen lassen. Jetzt kann mit dem Backup der Data Partition begonnen werden. Hierzu wird das Tool netcat verwendet. Auf dem Auswertungsrechner wird ein Listener Port erstellt: Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 12 von 54 Forensikstation: Zinke, Keller Danach startet man das Backup mit netcat auf dem Telefon mit folgendem Befehl: In einem weiteren Terminal auf dem Auswerterechner empfängt man das File mit folgendem Befehl: In einem dritten Terminal kann man den Kopie Vorgang überprüfen: Ändert sich die File Größe nicht mehr ist der Vorgang abgeschlossen. Die Datei wird überprüft: Eine weitere Variante die „Data“ Partition des Telefons zu sichern ist der „adb pull“ Befehl. Der Befehl „fsstat“ zeigt die Details eines Dateisystems an. Die Ausgabe dieses Befehls ist dateisystemspezifisch. Es wird mindestens der Bereich von Metadatenwerten (Inode- Nummern) und Inhaltseinheiten (Blöcke oder Cluster) angegeben. Es werden auch Details aus dem Super Block angegeben, wie z. B. Ladezeiten und -funktionen. Bei Dateisystemen, die Gruppen verwenden (FFS und EXT2FS), wird das Layout jeder Gruppe aufgelistet. fsstat samsung.E01 fsstat -o 6205440 samsung.E01 Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 13 von 54 Forensikstation: Zinke, Keller 3.4 Überprüfung auf Auswertbarkeit Das vorab erstellte forensische Abbild „mmcblk0p26“ wurde dahingehend überprüft, ob dieses geöffnet werden kann, das Filesystem lesbar und Daten vorhanden sind. Tabelle 5: Übersicht Abbild. Bezeichnung des Abbildes Größe Forensisch extrahierte Datenpartition aus Smartphone: ~ 12,6 GB mmcblk0p26 3.5 Erstellung eines forensischen Containers Damit die File Integrität auch später noch überprüft werden kann, wird ein Hash Wert über die komplette Partition erstellt. Das Ergebnis à Sha1: 445a90cf6133812716204a341d7f2d69b8e948d8 Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 14 von 54 Forensikstation: Zinke, Keller Wird der Befehl nachdem übertragen auf den Auswerterechner nochmals durchgeführt, sollte die gleiche Checksumme angezeigt werden. Das Ergebnis ist wieder --> Sha1: 445a90cf6133812716204a341d7f2d69b8e948d8 4 Auswertung Damit das raw File nun forensisch untersucht werden kann, wird es noch mit dem Tool „ewfacquire“ umgewandelt. Das Dienstprogramm ewfacquire ist Teil des LibEWF-Pakets und bietet eine robuste Konsolenschnittstelle zum Generieren von EWF-Image-Dateien. Der Aufruf erfolgt einfach durch den Aufruf des Befehls ewfacquire in einem Eingabefenster: Nachdem die Eingabeparameter festgelegt wurden, kann der Umwandlungsprozess gestartet werden: Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 15 von 54 Forensikstation: Zinke, Keller Statusanzeige und Beendigung des Prozesses: Nach der Erstellung des ewf Images erfolgt die File Format Kontrolle: Um die weiteren Partitionen des Telefons auch mit zu imagen, überträgt man per „adb pull“ den kompletten Block der Partitionen. Auch jetzt wird wieder ein Hash gebildet: Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 16 von 54
Forensikstation: Zinke, Keller
und zur Kontrolle auch mit der adb shell:
Zur Kontrolle wird das File nochmal angezeigt:
Nun kann mit der forensischen Auswertung begonnen werden. Es wurde dabei nach den in
der Einleitung genannten Kommunikationsdaten und nach Bildern gesucht, bzw. nach
entsprechenden SQLite Datenbanken, um die in der Einleitung genannten Daten zu finden.
Die für die Auswertung relevanten Dateipfade der SQLite Datenbanken sind in Tabelle 7
gelistet. Die vorliegenden Datenbanken sind vom Typ SQLite3.
Tabelle 6: Extrahierte SQLight-Datenbanken aus der Datenpartition des Smartphones.
Gesuchte
Extrahierte SQLite Datenbank
Daten
GPS-Daten /data/com.google.android.gms/databases/herravad.xml (nur bis Version
Android 4.2.2!)
Skype- /data/com.skype.raider/databases/live:7b46d53babf413be.db
Kommuni-
kation
Koordinate /data/com.sec.android.provider.logsprovider/databases/logs.db
n
WhatsApp- /data/com.whatsapp/databases/msgstore.db
Kommuni-
kation
Email- /data/com.google.android.gms/databases/context_hausmann.g3erald_gmail
Kommuni- .com.db
kation
Bilder/ /media/0/DCIM/Camera/,
Fotos \data\com.android.providers.media\databases\external.db
Browser- Keine generiert, würden aber z.B. unter /data/data/com.android.chrome
daten liegen, sofern Chrome benutzt wurde
Telefon- /data/com.sec.android.provider.logsprovider/databases/logs.db
logs
SMS /com.android.providers.telephony/databases/mmssms.db
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 17 von 54 Forensikstation: Zinke, Keller In den folgenden Unterkapiteln werden nun die Ergebnisse der relevanten Inhalte mit den Kontexten Betäubungsmittel (BTM) und Schmuggel der zuvor extrahierten Datenbanken fallbasiert gelistet. Die Fälle wurden in Kapitel 1 aufgezählt. Mit mmls samsung.E01 erhält man die Partitionstabelle des Telefons angezeigt. Man beginnt nun mit der Untersuchung z.B. in der /userdata Partition, welche mit Sektor 6205440 beginnt. Für eine kriminalistische Auswertung wird im Android Betriebssystem typischerweise nach folgenden Fragestellungen gesucht: Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 18 von 54
Forensikstation: Zinke, Keller
Tabelle 7: Die wichtigsten Fragestellungen für Auswertungen in Android-Betriebssystemen.
Was? Wo? Wann? Wie? Wer?
Kontaktdaten x
Kurzmitteilungen x x x x x
E-Mails x x x x x
Termine x x x x
Anruflisten x x
Standortdaten x x
Webbrowser- x x x x x
Inhalte
Bei einer Untersuchung mit den Sleuthkit Befehlen ist die Bestimmung des Startsektors der zu
untersuchenden Partitonstabelle erforderlich. Diese wurde mit mmls schon bestimmt. Mit
dem fls Paket kann nun nach Files in der jeweiligen Partition gesucht werden. Um z.B. alle
Datenbanken Files anzeigen zu lassen benötigt man folgenden Befehl:
fls -p -r -o 6205440 samsung.E01 | egrep "\.db$"
die Ansicht kann in eine Datei umgeleitet werden:
fls -p -r -o 6205440 samsung.E01 | egrep "\.db$" > alledb.txt
Für die zu untersuchenden Fälle werden auch bestimmte Datenbank Files benötigt.
4.1 Fall 1: Skype DB auslesen - Chats verdächtiger Geschäftspartnern
Auf dem Smartphone konnte ein Skype-Chat extrahiert werden. Die dazugehörige Datenbank
lautet "live_7b46d53babf413be.db". Die Kommunikation findet sich in der Datenbanktabelle
„ChatItem“ unter der Spalte „content“. Die Datenbank des Skype-Chats wurde mit Sleuthkit
extrahiert und jeweils mit einem SQLite-Browser gesichtet. Wie in Abbildung 7 zu sehen ist,
ist die Uhrzeit in der Spalte time als Unixzeit-Zeitstempel angegeben und wird in Tabelle 9
entsprechend umgerechnet dargestellt. Die Skype Kommunikation befindet sich in folgender
Datenbank:
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 19 von 54
Forensikstation: Zinke, Keller
root@naboo:/home/user/Dokumente/samsung/mit_pull# fls -p -r -o 6205440 samsung.E01 |
egrep live:7b46d53babf413be.db$
r/r 655255: data/com.skype.raider/databases/live:7b46d53babf413be.db
Das File kann nun mit dem Befehl icat wiederhergestellt werden:
icat -o 6205440 samsung.E01 655255 > live:7b46d53babf413be.db
Hat man die DB hergestellt, kann man die forensische Untersuchung mit einem SQL Browser
graphisch fortsetzen. Hier werden dann die einzelnen Chats ersichtlich:
Abbildung 4: Tabelle ChatItem aus der live:7b46d53babf413be.db, in der ein Ausschnitt des Skype-Chats zu sehen ist.
Ermittelte Kommunikationsteilnehmer sind:
• Live: 7b46d53babf413be (Nutzer des vorliegenden Smartphones)
• ramses-34
• bzeicnckie
In Tabelle 8 ist die Konversation im Skypechat zwischen Ramses und
live:7b46d53babf413be.db zu sehen in der darauffolgenden Tabelle 10 die Skpe
Kommunikation zwischen bzeicnckie und live:7b46d53babf413be.db. Der erste Eintrag in
Tabelle 7 beinhaltet ein Bild auf dem ein Verpackungstütchen mit weißem Pulver auf einer
Aussichtsplattform zu sehen ist. Dieses Bild wurde von „ramses-34“ an den Smartphone-
Nutzer Live:7b46d53babf413be gesendet. Exif-Daten wurden zur erweiterten Bildauswertung
bei diesem Bild keine gefunden.
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 20 von 54
Forensikstation: Zinke, Keller
Tabelle 8: Konversation im Skypechat zwischen Ramses und live:7b46d53babf413be.db.
Unix Zeit in Inhalt Absender
Zeitstempel MEZ
5060541613 14.06.20 live:7b46d53babf4
89 19 21:43 13be
5060541437 14.06.20 Hast du die zugangsdaten? live:7b46d53babf4
862 19 21:43 13be
5060541447 14.06.20 Wie soll ich das denn finden? Ramses-34
287 19 21:43
5060541424 14.06.20 Rosskopf live:7b46d53babf4
693 19 21:44 13be
5060541270 14.06.20 Zugangsdaten gibt es morgen….sind 2 Ramses-34
579 19 21:44 teilig..;-)
5060541420 26.06.20 Postfach nummer zum abholen 1133 !! Ramses-34
912 19 17:00
Tabelle 9: Skpe Kommunikation zwischen bzeicnckie und live:7b46d53babf413be.db
Unix Zeit in MEZ Inhalt Absender
Zeitstempel
5060540976020 14.06.2019 Tach live:7b46d53babf413be
21:36
5060540991465 14.06.2019 Tach bzeicnckie
21:36
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 21 von 54 Forensikstation: Zinke, Keller 4.2 Fall 2: SMS-Messages Um die SMS herauslesen zu können, wird die Datenbank mmssms.db extrahiert. Diese liegt unter in der Datenstruktur im vorliegenden Smartphone unter dem Pfad: com.android.providers.telephony/databases/mmssms.db Mit dem SQL Browser kann die Datenbank wieder ausgelesen werden: Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 22 von 54
Forensikstation: Zinke, Keller
4.3 Fall 3: Kommunikation WhatsApp
Um die WhatsApp Kommunikation auswerten zu können, wurde die msgstore.db Datenbank
mittels Sleuthkit extrahiert und wie in Abbildung 9 als Auszug mit einem SQLite-Viewer
dargestellt. Die Kommunikation der msgstore-Datenbank findet sich in der Tabelle
„messages“. Auch hier sind die Zeitstempel in Unix-Zeiteinheiten angegeben und wurden
entsprechend für die Timeline umgewandelt. Die WhatsApp Kommunikation kann man aus
der Datei msgstore.db auslesen. Diese wird auch mit fls gesucht und mit icat
wiederhergestellt.
fls -p -r -o 6205440 samsung.E01 | egrep msgstore.db$
icat -o 6205440 samsung.E01 655119 > msgstore.db
Die Ansicht mit dem SQL Browser ist folgende:
Abbildung 5: Auszug der WhatsApp-Kommunikation.
Aus der kompletten Datenbank geht hervor, dass es eine durch den Nutzer des Smartphones
erstellte Gruppe mit den Teilnehmern Thomas Traumtänzer und Ramses gibt. Diese Gruppe
„Versandhandel“ wurde mit dem Smartphone von Gerald Hausmann am 02.06.19, 02:13
erstellt.
Tabelle 10: WhatsApp Gruppenchat „Versandhandel“.
Zeit in MEZ Inhalt Absender
Tag Gerald
13.6.19 10:00 Hausmann
Das Paket mit der heißen Ware ist da und findet nun seinen Gerald
10.8.19 20:58 ersten Weg Hausmann
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 23 von 54
Forensikstation: Zinke, Keller
Gerald
Hausmann
13.6.19 10:07 IMG-20190613-WA0002.jpg
13.6.19 10:08 Danke traumtänzer! bzeicnckie
Viele Grüße an Emil Steinberger und Michel Sardou Thomas
Traumtänzer
13.6.19 10:10 Michael
Gerald
Hausmann
Bildunterschrift: Qualität passt sagt Murat
13.6.19 10:12 IMG-20190613-WA0003.jpg
Leichte Kartoffelnote und etwas mehlig Gerald
13.6.19 10:12 Hausmann
War aber nicht für den Eigenbedarf von Murat bestimmt .. Thomas
Traumtänzer
13.6.19 10:13 Michael
Qualitätskontrolle Gerald
13.6.19 10:14 Hausmann
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 24 von 54
Forensikstation: Zinke, Keller
Fahten jetzt unsere runde Gerald
13.6.19 10:15 Hausmann
Erste Station erreicht. Fahre jetzt Baden to the Bone runter. Gerald
13.6.19 13:11 Der Rest wird kommende Woche über die Grenzen gebracht Hausmann
Gerald
Hausmann
13.6.19 13:26 IMG-20190613-WA0005.jpg
14.6.19 21:29 Sind eingetroffen.... Ramses
Der Traumtänzer fehlt noch Gerald
14.6.19 21:29 Hausmann
14.6.19 21:29 Wann ist morgen Übergabe..? Ramses
Ach so, dachte es ist nur die Vertriebsrunde Gerald
14.6.19 21:30 Hausmann
Hab nix mitgebracht. Der Traumtänzer soll noch was Gerald
14.6.19 21:38 abpacken Hausmann
Habe unser Herstellungsverfahren noch einmal verbessert. Thomas
Kann jetzt auch größere Mengen herstellen. Neben Pulver Traumtänzer
können wir das ganze auch in knetgummiähnlicher Masse Michael
19.6.19 09:59 verschicken.
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 25 von 54
Forensikstation: Zinke, Keller
Thomas
Traumtänzer
Michael
19.6.19 10:00 IMG-20190619-WA0000.jpg
Ja Wahnsinn! Gerald
22.6.19 13:06 Hausmann
Wann kannst du liefern? Gerald
22.6.19 13:06 Hausmann
Murat und ich fahren gleich nach Frankreich Gerald
23.6.19 10:05 Hausmann
Gerald
Hausmann
23.6.19 11:59 IMG-20190623-WA0000.jpg
Ausgeliefert zu Punkt vier Gerald
23.6.19 11:59 Hausmann
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 26 von 54
Forensikstation: Zinke, Keller
Gerald
Hausmann
23.6.19 12:30 IMG-20190623-WA0002.jpg
23.6.19 20:43 Sehr gut... Ramses
Ich habe auch noch eine Bestellung....ihr müsst sie hierher Ramses
23.6.19 20:43 liefern...
Ramses
23.6.19 20:44 IMG-20190623-WA0002.jpg
23.6.19 20:45 Das genaue Schließfach kommt per Skype... Ramses
Ok! Gerald
24.6.19 18:16 Hausmann
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 27 von 54
Forensikstation: Zinke, Keller
4.4 Fall 4: E-Mail-Kommunikation auslesen
Es konnte keine Emailkommunikation mit anderen Personen gefunden werden. Die
vorgefundene Emailadresse hausmann.g3rald@gmail.com wurde am 12.06.2019 angelegt
und nur für die Erstellung eines Skype-Accounts genutzt. Die Informationen zu dem
Googleaccount wurden in der mailstore.hausmann.g3rald@gmail.com.db im Smartphone
gespeichert.
Abbildung 6: Darstellung der Googlemail-Datenbank von Gerald Hausmann in SQLite.
Aus der „mailstore.hausmann.g3rald@gmail.com.db“-Datenbank ist ersichtlich, dass – neben
der Anlage des Skype-Accounts - keine weitere Kommunikation stattgefunden hat.
4.5 Fall 5: Bilder auswerten - Geo Lokationen
Auf dem Smartphone wurden neben Systembildern, außer im Kameraordner, keine weiteren
Bilder gefunden. Die Bilder, die durch die Kamer des Smartphones erstellt werden, speichert
das Betriebssystem unter folgendem Ordner ab: /media/0/DCIM/Camera/. Nicht alle
vorgefundenen Bilder waren eindeutig dem Themengebiet Drogenhandel und Schmuggel
zuzuordnen, daher werden nur die Bilder in nachfolgender Tabelle gelistet, die eindeutig dem
Thema BTM aus dem zuvor genannten Bilderordner zuzuordnen sind. Einen Überblick über
die Anzahl der gefundenen Bilder insgesamt sind in Abbildung 13.
Tabelle 11: Relevantes Bildmaterial mit Ausschnitt aus den EXIF-Daten.
Nr Bild Koordinaten aus Exifdaten
1
Keine vorhanden
2
Keine vorhanden
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 28 von 54 Forensikstation: Zinke, Keller Abbildung 7: Auszug aller vorhandener Bilder im Bilderordner DCIM. Zuerst werden alle Dateien vom Typ *.jpg angezeigt, in eine Datei geschrieben und exportiert. Anzahl aller Bilder auf dem Telefon: fls -p -r -o 6205440 samsung.E01 | egrep \.jpg | wc -l 164 Anzeigen der Bilder mit fls und egrep: Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 29 von 54 Forensikstation: Zinke, Keller Umschreiben der Dateinamen in ein File: fls -p -r -o 6205440 samsung.E01 | egrep \.jpg > alle_bilder.txt Danach können die Bilder mit dem Befehl icat extrahiert werden. „icat „= erstellt Inhalt anhand eines Inodes: icat -o 6205440 samsung.E01 131330 > 20190618_134803.jpg icat -o 6205440 samsung.E01 131074 > bilder/20190612_180713.jpg icat -o 6205440 samsung.E01 131330 > bilder/20190618_134803.jpg icat -o 6205440 samsung.E01 131076 > bilder/20190612_180717.jpg icat -o 6205440 samsung.E01 131255 > bilder/20190613_100927.jpg icat -o 6205440 samsung.E01 131181 > bilder/20190615_142210.jpg icat -o 6205440 samsung.E01 131257 > bilder/20190613_101132.jpg icat -o 6205440 samsung.E01 131264 > bilder/20190613_115955.jpg icat -o 6205440 samsung.E01 131329 > bilder/20190622_130831.jpg icat -o 6205440 samsung.E01 131418 > bilder/20190622_130909.jpg icat -o 6205440 samsung.E01 131267 > bilder/20190613_120007.jpg icat -o 6205440 samsung.E01 131268 > bilder/20190613_120019.jpg icat -o 6205440 samsung.E01 131269 > bilder/20190613_120035.jpg icat -o 6205440 samsung.E01 131270 > bilder/20190613_120041.jpg Nachdem die Bilder hergestellt worden sind, kann man mit dem Tool exif2 nach GPS- Koordinaten gesucht werden. exiv2 -pt 20191123_120350.jpg In diesem Bild sind keine GEO Daten zu finden. Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 30 von 54
Forensikstation: Zinke, Keller
exiv2 -pt 20191205_140320.jpg
Hier findet man GPS-Koordinaten:
Ein automatisierter Ansatz, die Koordinaten aus mehreren Bildern auszulesen, wäre das Script:
waypoints.csv.sh. In diesem Script werden die GPS-Daten in ein temporäres File geschrieben:
zeit=`grep "Exif.Photo.DateTimeOriginal " /tmp/exifdata.tmp | cut -b 61- | tr -d '\n' | tr -d '\r'`
longRef=`grep "Exif.GPSInfo.GPSLongitudeRef " /tmp/exifdata.tmp | cut -b 61- | tr -d '\n' | tr -d '\r'`
lat=`grep "Exif.GPSInfo.GPSLatitude " /tmp/exifdata.tmp | cut -b 61- | tr -d '\n' | tr -d '\r' | sed 's/deg/ /g'
|sed 's/"/ /g' | sed "s/'/ /g"`
long=`grep "Exif.GPSInfo.GPSLongitude " /tmp/exifdata.tmp | cut -b 61- | tr -d '\n' | tr -d '\r' | sed 's/deg/
/g' |sed 's/"/ /g' | sed "s/'/ /g"`
Danach werden die Grad Daten umgerechnet:
#Umrechnen von Grad, Winkelminuten & Winkelsekunden in Dezimalzahl
lat=`echo $lat | awk '{printf ("%.8f\n",$1+$2/60+$3/3600)}'`
long=`echo $long | awk '{printf ("%.8f\n",$1+$2/60+$3/3600)}'`
Dann werden die Daten in eine Text Datei geschrieben und sortiert:
cat waypoints_gpsdata.txt | sort > waypoints_gpsdata_sortiert.txt
cat waypoints_gpsdata_sortiert.txt | cut -b21- > waypoints_kurz.txt
Zum Schluss wird die fertige CSV Datei erstellt.
echo "waypoint.csv angelegt mit folgendem Namen:" cat waypoints.csv“
Das vollständige Script sieht wie folgt aus:
#!/bin/bash
#Ueberschreiben einer evtl. vorhandenen Datei
for datei in *.* ; do
isImage=`file $datei | grep image | wc -l`
#Ist die Datei ueberhaupt eine Bilddatei oder etwa das Skript?
if [ "$isImage" -ne "1" ]; then
echo "$datei: Keine Datei vom Typ 'Bild' --> Ueberspringen"
continue
fi
exiv2 -pt $datei > /tmp/exifdata.tmp
latRef=`grep "Exif.GPSInfo.GPSLatitudeRef " /tmp/exifdata.tmp | cut -b 61- | tr -d '\n' | tr -d '\r'`
foundGPS=`echo $latRef | wc -w`
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 31 von 54
Forensikstation: Zinke, Keller
if [ "$foundGPS" == "0" ]; then
echo "$datei: enthaelt keine GPS-Infos --> Ueberspringen"
continue
fi
zeit=`grep "Exif.Photo.DateTimeOriginal " /tmp/exifdata.tmp | cut -b 61- | tr -d '\n' | tr -d '\r'`
longRef=`grep "Exif.GPSInfo.GPSLongitudeRef " /tmp/exifdata.tmp | cut -b 61- | tr -d '\n' | tr -d '\r'`
lat=`grep "Exif.GPSInfo.GPSLatitude " /tmp/exifdata.tmp | cut -b 61- | tr -d '\n' | tr -d '\r' | sed 's/deg/ /g' |sed
's/"/ /g' | sed "s/'/ /g"`
long=`grep "Exif.GPSInfo.GPSLongitude " /tmp/exifdata.tmp | cut -b 61- | tr -d '\n' | tr -d '\r' | sed 's/deg/ /g'
|sed 's/"/ /g' | sed "s/'/ /g"`
#Umrechnen von Grad, Winkelminuten & Winkelsekunden in Dezimalzahl
lat=`echo $lat | awk '{printf ("%.8f\n",$1+$2/60+$3/3600)}'`
long=`echo $long | awk '{printf ("%.8f\n",$1+$2/60+$3/3600)}'`
if [ "$latRef" == "North" ]; then
latRef="N"
else
latRef="S"
fi
if [ "$longRef" == "West" ]; then
longRef="W"
else
longRef="E"
fi
echo "$zeit $latRef $lat $longRef $long " >> waypoints_gpsdata.txt
done
cat waypoints_gpsdata.txt | sort > waypoints_gpsdata_sortiert.txt
cat waypoints_gpsdata_sortiert.txt | cut -b21- > waypoints_kurz.txt
echo "Ermittelte GPS-Koordinaten im Grad-Format"
cat waypoints_kurz.txt
echo "LAT,LONG" > waypoints.csv
while read aktZeile; do
read -a array waypoints.csv
done < waypoints_kurz.txt
echo "waypoint.csv angelegt mit folgendem Inhalt:"
cat waypoints.csv
#aufraeumen
rm waypoints_kurz.txt waypoints_gpsdata_sortiert.txt waypoints_gpsdata.txt /tmp/exifdata.tmp
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 32 von 54 Forensikstation: Zinke, Keller Ein Aufruf des Scriptes ./waipoints.csv.sh sucht in Bildern nach GPS-Informationen und gibt diese, sofern vorhanden, in eine CSV-Tabelle aus: Das Ergebnis sieht wie folgt aus: 20190612_180713.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190612_180717.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190613_100927.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190613_101132.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190613_115955.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190613_120000_20190614_213717643.jpg: (No Exif data found in the file) 20190613_120000_20190614_213717643.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190613_120007.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190613_120019.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190613_120035.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190613_120041.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190613_130657.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190613_132625.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190615_142210.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190618_134803.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190622_130831.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190622_130909.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190623_115935.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190623_130417.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190704_203643.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190704_203801_20191207_180349069.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190704_203801.jpg: Keine Datei vom Typ 'Bild' --> Ueberspringen 20190709_162938.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190710_134050.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190710_134106.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20190710_134131.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20191123_100645.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20191123_100702.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20191123_120350.jpg: enthaelt keine GPS-Infos --> Ueberspringen 20191204_143146.jpg: enthaelt keine GPS-Infos --> Ueberspringen bilder.tgz: Keine Datei vom Typ 'Bild' --> Ueberspringen waypoints.csv: Keine Datei vom Typ 'Bild' --> Ueberspringen waypoints.csv.sh: Keine Datei vom Typ 'Bild' --> Ueberspringen Ermittelte GPS-Koordinaten im Grad-Format lassen sich ebenfalls anzeigen: N 49.15462500 E 9.20751389 N 47.99777778 E 7.78500000 N 47.99781417 E 7.78514472 N 49.15446083 E 9.20823667 Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 33 von 54 Forensikstation: Zinke, Keller N 49.15402972 E 9.20783222 N 49.15402972 E 9.20783222 N 49.15402972 E 9.20783222 N 49.15402972 E 9.20783222 N 49.15402972 E 9.20783222 N 49.15402972 E 9.20783222 N 49.15402972 E 9.20783222 N 49.15402972 E 9.20783222 N 49.15402972 E 9.20783222 Es wurde eine „waypoint.csv“ angelegt mit folgendem Inhalt: LAT,LONG 49.15462500,9.20751389 47.99777778,7.78500000 47.99781417,7.78514472 49.15446083,9.20823667 49.15402972,9.20783222 49.15402972,9.20783222 49.15402972,9.20783222 49.15402972,9.20783222 49.15402972,9.20783222 49.15402972,9.20783222 49.15402972,9.20783222 49.15402972,9.20783222 49.15402972,9.20783222 Die umgerechneten Daten kann man sich jetzt visualisieren lassen. Dazu wird folgende Website genutzt: www.mapcustomizer.com. Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 34 von 54 Forensikstation: Zinke, Keller Hier wird zunächst ein neuer Eintrag erzeugt: Und die vom Script ausgegebenen Werte eingefügt: Auf [Add locations] klicken und man erhält folgende Info: Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 35 von 54 Forensikstation: Zinke, Keller Nun werden die GPS-Koordinaten auf der Karte angezeigt: 4.6 Fall 6: Telefonlogs Die Telefonlogs befinden sich in der DB-Datei logs.db. Gleiche Vorgehensweise wie vorher: erst fls nach dem File suchen und mit icat das File wiederherstellen. fls -p -r -o 6205440 samsung.E01 | egrep logs.db$ icat -o 6205440 samsung.E01 524082 > logs.db Aufruf der DB-Datei mit dem SQL Browser: Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 36 von 54 Forensikstation: Zinke, Keller Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 37 von 54 Forensikstation: Zinke, Keller 4.7 Fall 7: Gelöschte Files wieder herstellen: Als erstes wird das E01 Image mit Xmount gemounted: xmount --in ewf samsung.E01 --cache samsung.ovl --out raw /ewf2/ Danach wird ein Loop Device erstellt: losetup -o $((6205440*512)) /dev/loop6 /ewf/samsung.dd Foremost ist eine forensische Anwendung zum Wiederherstellen von Dateien basierend auf ihren Kopf- und Fußzeilen und internen Datenstrukturen. Foremost kann mit Image-Dateien arbeiten, die beispielsweise von dd, Safeback, Encase, FTK usw. oder direkt auf einem Laufwerk erstellt wurden. Foremost erstellt ein Verzeichnis „output“ und „jpg“ in dem sich die wieder hergestellten Bilder befinden. Weiterhin wird von dem Wiederherstellungsprozess eine Textdatei mit dem Namen audit.txt erstellt. Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 38 von 54 Forensikstation: Zinke, Keller Nicht alle wiederhergestellten Bilder sind lesbar, es können auch Bilder schon teilweise überschrieben sein, wie im nachfolgenden unteren Bildabschnitt zu sehen ist. Abbildung 8: Mit foremost rekonstruiertes, teilweise schon überschriebenes Bild. Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 39 von 54 Forensikstation: Zinke, Keller 4.8 Fall 8: Timeline erstellen Plaso ist die Backend Engine für das Tool Log2timeline, welches man unter Linux für die forensische Datenanalyse verwenden kann. Log2timeline ist ein Tool, welches aus einem Image alle Informationen sammelt um eine Super Timeline zu erstellen, welches ein sehr großes Logfile darstellt. Plaso ist zu einem grossen Opensource Framework gewachsen, welches von vielen IT-Forensikern verwendet wird und beinhaltet eine Ansammlung von Plugins. Plugins werden von Log2timeline verwendet um Informationen von einem File zu extrahieren. Ein Grossteil der Plugins wurden für verschiedene SQLite Datenbanken entwickelt und die Nachfrage für neue Plugins für SQLite Datenbanken steigt. Mit folgendem Befehl wird ein Plaso File erstellt: log2timeline.py /tmp/samsung.plaso samsung.E01 Mit folgendem Befehl wird eine csv Datei daraus erstellt: psort.py -w timeline.csv -o l2tcsv /tmp/samsung.plaso Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 40 von 54 Forensikstation: Zinke, Keller Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 41 von 54 Forensikstation: Zinke, Keller 4.9 Fall 9: Browser Daten auslesen Als Smartphone-Browser ist Chrome Browser installiert. Dieser wurde durch den Nutzer nicht genutzt. Es befinden sich Einträge in der SBrowser.db in der Tabelle „Bookmarks“, das sind durch den Smartphone Hersteller vorgespeicherte Lesezeichen (s. Abbildung 9). Abbildung 9: Durch den Hersteller vorinstallierte Lesezeichen in der SBrowser-Datenbank. In Abbildung 10 ist zu sehen, dass es drei Einträge in der Chrome Historie gibt. Der Nutzer des Smartphones hat sich am 16.06.2019 um 20:15 Uhr MEZ in ein hoteleigenes WLAN eingeloggt. Dazu wurde der auf dem Smartphone befindliche Chrome-Browser aufgerufen und der Hotspot des Hotels bestätigt. Dabei handelt es sich um das Atrium Hotel in der Landwehrstraße 69 in München. Es handelt sich hierbei um keine aktive Browsernutzung des Users, da für den Einloggprozess in das der Standartbrowser des Smartphones durch den Netzwerkdienst. Abbildung 10: Ansicht der Chrome-History. Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 42 von 54
Forensikstation: Zinke, Keller
4.10 Vorhandene Kontakte
Folgende Kontakte wurden auf dem Smartphone durch den Nutzer gepeichert:
Name: Thomas Traumtänzer Michael
Rufnummer: +176 20913366
Name: Ramses
Skype-Name: ramses-34
Rufnummer: +0170 7324600
Name: Rebecca
Skype-Name: bzeicnckie
Rufnummer: +491521059202
Weitere Namen konnten aus den Skype- und WhatsApp-Chats ausgelesen werden:
Murat (WhatsApp)
Michael Sardou (WhatsApp)
Emil Steinberger (WhatsApp)
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 43 von 54
Forensikstation: Zinke, Keller
4.11 Auswertung mit Autopsy
Autopsie ist ein offenes forensisches Werkzeug, das viele der gleichen Funktionen aufweist
wie seine kommerziellen Gegenstücke. Die Autopsy wird sowohl in der forensischen als auch
in den Strafverfolgungsbehörden als wichtigesTools verwendet. Brian Carrier ist verantwortlich
für die meisten Entwicklungen von The Sleuth Kit und dem Autopsy HTML Browser. Mit dem
Open-Source-Forensik-Tool „The Sleuth Kit“ und dem HTML-Frontend „Autopsy“ lassen sich
externe und interne Datenträger forensisch analysieren. Das Tool unterstützt die wichtigsten
Dateiformate und kann
gelöschte Dateien
wiederherstellen. Es dient
allerdings weniger der
Datenrettung, sondern vor allem
der forensischen Analyse.
The Sleuth Kit gehört zu den
bekanntesten Tools zur
forensischen Analyse von
Datenträgern. Das Tool
unterstützt unter anderem die
Dateisysteme NTFS, FAT, Ext2,
Ext3, UFS1 und UFS2. Als Webfrontend für The Sleuth Kit wird Autopsy verwendet. Neben der
forensischen Analyse lassen sich die gefundenen Dateien natürlich auch wiederherstellen.
Am einfachsten und schnellsten lassen sich Dateien mit Autopsy wiederherstellen. Autopsy
lässt sich mit einer grafischen Oberfläche auch für Einsteiger recht einfach nutzen. Nach dem
Start wird zunächst ein neuer Fall (Case) erstellt. Dieser enthält alle notwendigen Einstellungen
für eine Untersuchung. Dazu gehört der zu untersuchende Bereich und das Verzeichnis, in dem
Autospy die notwendigen Daten zur Wiederherstellung speichert. Auf der Forensik DVD von
Hans-Peter Merkel ist Autopsy vorinstalliert.
Zuerst wird ein neuer Fall erstellt:
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 44 von 54 Forensikstation: Zinke, Keller Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 45 von 54 Forensikstation: Zinke, Keller Als nächstes wird die zu untersuchende Datenquelle angegeben: Es können nun verschiedene Module gewählt werden: Als nächstes wird das Image eingelesen: Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 46 von 54 Forensikstation: Zinke, Keller Dieser Vorgang ist sehr zeitintensiv: Nach dem das Image eingelesen wurde, kann mit der forensischen Analyse begonnen werden. Auf der linken Seite des Fensters wird der Directory Tree angezeigt: Jetzt kann Bildern, der Webhistorie, gelöschten Files und weiteren Artefakten gesucht werden. Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 47 von 54 Forensikstation: Zinke, Keller Mit der Suchfunktion kann auch schnell nach z.B. Datenbanken gesucht werden: Die Datenbank kann dann mit einem integrierten SQL-Viewer angezeigt werden: Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 48 von 54 Forensikstation: Zinke, Keller Über das ganze File System lässt sich auch eine Timeline erstellen: Weiterhin lassen sich die Ergebnisse auch exportieren: Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 49 von 54 Forensikstation: Zinke, Keller Zum Schluss der Auswertung können die gesammelten Ergebnisse in einem Report abgespeichert werden. Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 50 von 54 Forensikstation: Zinke, Keller Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 51 von 54 Forensikstation: Zinke, Keller 5 Anhang Abbildung 11: Chrome History SQLite. Abbildung 12: Vergrößerung SQLite Einträge. Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
IT-Forensische Dokumentation vom 12.12.2019 52 von 54
Forensikstation: Zinke, Keller
5.1 CellID Auswertung (Achtung, nur für ältere Android-Versionen anwendbar!)
Nr. Netz-Typ MCC MNC LAC CID
Netz-Betreiber:
Deutschland Lidl Connect
1 gsm 262 02 15 9825
2 gsm 262 02 40085 136660605
3 gsm 262 02 40085 136684325
4 gsm 262 02 40085 136690811
5 gsm 262 02 41729 28114948
6 gsm 262 02 41729 28134948
7 gsm 262 02 41729 28144948
8 gsm 262 02 41729 28176400
9 gsm 262 02 41729 28176401
Geographische
Nr. Geographische Breite Länge
Longitude,
Latitude, dezimal* dezimal*
1 50.114515 8.674017
2 50.117626 8.673909
3 50.115582 8.673884
4 50.116798 8.666949
5 50.115.543 8.672.528
6 50.114.515 8.674.017
7 50.113.237 8.674.363
8 50.116108 8.672149
9 50.113949 8.67341
Nr. WiFi-hash
9CbLkociop7x0eCC5JM
UEJVNTnpYJUS1NqMq
10 IyehoCI
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 53 von 54
Forensikstation: Zinke, Keller
65iqpGg6-
N9GAUCPp2qzhUx2Yc
11 azdmNv6zRsksmKCbs
Nr. cellid
EhQKAzI2MhICMDcYgcYCIISAtA0oASgKQgkKAzI2MhICMDdIAFAFWhQKAzI2MhICMDcaCURy
1 aWxsaXNjaGIWEhQKAzI2MhICMDcY
EhQKAzI2MhICMDcYgcYCIJDgtw0oASgKQgkKAzI2MhICMDdIAFAFWhQKAzI2MhICMDcaCURy
2 aWxsaXNjaGIWEhQKAzI2MhICMDcY
EhQKAzI2MhICMDcYgcYCIJHgtw0oASgKQgkKAzI2MhICMDdIAFAFWhQKAzI2MhICMDcaCURy
3 aWxsaXNjaGIWEhQKAzI2MhICMDcY
EhQKAzI2MhICMDcYgcYCIKSctQ0oASgKQgkKAzI2MhICMDdIAFAFWhQKAzI2MhICMDcaCURy
4 aWxsaXNjaGIWEhQKAzI2MhICMDcY
EhQKAzI2MhICMDcYgcYCILTqtQ0oASgKQgkKAzI2MhICMDdIAFAFWhQKAzI2MhICMDcaCURy
5 aWxsaXNjaGIWEhQKAzI2MhICMDcY
EhQKAzI2MhICMDcYlbkCIJH6lkEoASgIQgkKAzI2MhICMDdIAFAFWhUKAzI2MhICMDMaCldpb
6 Gxrb21tZW5iFhIUCgMyNjISAjA3
EhQKAzI2MhICMDcYlbkCIKXGlkEoASgIQgkKAzI2MhICMDdIAFAFWhUKAzI2MhICMDMaCldpb
7 Gxrb21tZW5iFhIUCgMyNjISAjA3
EhQKAzI2MhICMDcYlbkCIP2MlUEoASgIQgkKAzI2MhICMDdIAFAFWhUKAzI2MhICMDMaCldp
8 bGxrb21tZW5iFhIUCgMyNjISAjA3
EhQKAzI2MhICMDcYlbkCIPv4lkEoASgIQgkKAzI2MhICMDdIAFAFWhUKAzI2MhICMDMaCldpb
9 Gxrb21tZW5iFhIUCgMyNjISAjA3
Nr. rowkey_colum
1 gsm:262:02:15:9825
2 gsm:262:02:40085:136660605
3 gsm:262:02:40085:136684325
4 gsm:262:02:40085:136690811
5 gsm:262:02:41729:28114948
6 gsm:262:02:41729:28134948
7 gsm:262:02:41729:28144948
8 gsm:262:02:41729:28176400
9 gsm:262:02:41729:28176401
10 wifi:65iqpGg6-N9GAUCPp2qzhUx2YcazdmNv6zRsksmKCbs
11 wifi:9CbLkociop7x0eCC5JMUEJVNTnpYJUS1NqMqIyehoCI
Auftrags-Nr.: MUE1
Dokumentation für WINGS GmbHIT-Forensische Dokumentation vom 12.12.2019 54 von 54 Forensikstation: Zinke, Keller 5.2 Datenbanken Abbildung 13: Kontakte, die auf dem Smartphone gespeichert sind. Abbildung 14: Datenbankausschnitt aus der logs.db des ausgewerteten Smartphones. Auftrags-Nr.: MUE1 Dokumentation für WINGS GmbH
Sie können auch lesen
