Vmware-Appliance für Forensiker

Rob Lee vom SANS Institute, einem auf IT-Security spezialisierten Schulungshaus, hat die Version 1.2 der „SANS Sift Workstation“ veröffentlicht. Dabei handelt es sich um einen virtuellen Linux-PC für die Vmware-Plattform, der bei forensische Analysen helfen soll:

The SANS SIFT Workstation is a VMware Appliance that is preconfigured with all the necessary tools to perform a forensic examination. It is compatible with Expert Witness Format (E01), Advanced Forensic Format (AFF), and raw (dd) evidence formats.

Als Betriebssystem kommt Fedora zum Einsatz, auf dem folgende Tools zusätzlich installiert wurden:

ssdeep & md5deep (Hashing Tools)
Foremost/Scalpel (File Carving)
WireShark (Network Forensics)
HexEditor
Vinetto (thumbs.db examination)
Pasco (IE Web History examination)
Rifiuti (Recycle Bin examination)
Volatility Framework (Memory Analysis)
DFLabs PTK (GUI Front-End for Sleuthkit)
Autopsy (GUI Front-End for Sleuthkit)
The Sleuth Kit (File system Analysis Tools)

Zum Download der 1,4 GByte großen virtuellen Maschine ist eine Registrierung auf der SANS-Seite notwendig. Praktisch ist das „Cheat-Sheet“ (PDF), das für Forensiker wichtige Kommandozeilenbefehle auf zwei Seiten übersichtlich auflistet.

Ausgepackt benötigt der virtuelle PC dann knapp 5 GByte Platz. Wer den Vmware-Player noch nicht installiert hat, findet ihn hier.

sift-workstation

Username ist „root“, das Passwort lautet „forensics“. Da es sich bewusst um den System-Admin-Account handelt, muss man im nächsten Fenster auf „Continue“ klicken.

sift-workstation2

Und so sieht die Oberfläche der virtuellen Maschine dann aus:

sift-workstation4

Die Vmware-Tools sind bereits vorinstalliert. Die Netzwerkeinstellungen stehen auf „Host-only“, das bedeutet, dass der virtuelle PC nur mit dem Wirts-System über das Netzwerk kommunizieren kann. Wer die SIFT Workstation mit dem Internet verbinden will, muss dazu das Netzwerk-Icon unten rechts im Player anklicken und „Bridged“ auswählen und danach die Netzwerkverbindung innerhalb des virtuellen Systems neu starten.

Wenn man jetzt beispielsweise eine externe Festplatte per USB an den Wirt anschließt, wird sie automatisch innnerhalb der virtuellen Maschine gemountet. Man kann nun mit den mitgelieferten Tools ein dd-Image erstellen oder gleich auf die Suche nach verborgenen Daten gehen. Allerdings fehlt eine tiefergehende Dokumentation, das SANS Institute will mit seinen Schulungen ja schließlich Geld verdienen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.