DEFT-Linux: PC-Forensik und Daten-Rettung in einem

Geschrieben von

DEFT-Linux

Wenn man auf seinem Windows-Rechner aus Versehen Daten gelöscht hat oder Opfer eines Hacker-Angriffs wurde, dann ist guter Rat teuer. Mit der Hilfe der Linux-Distribution namens DEFT-Linux ist man zwar nicht sicher vor solchen Ereignissen, aber man kann zumindest seine Daten in den meisten Fällen noch retten.

Es geht schneller als man es sich vielleicht vorstellen könnte: Da surft man mal für ein paar Minuten etwas ungeschützt im Netz und schon hat man sich eventuell durch ein Werbe-Popup, Malware eingefangen. Wenn man einen guten Viren-Scanner für sein Windows-System hat, wird diese vielleicht noch rechtzeitig erkannt und entfernt, aber wenn nicht, dann kommen Spezial-Werkzeuge wie DEFT-Linux zum Einsatz. Denn auch die Daten-Rettung gehört mit in den Bereich der Digital-Forensik.

Dem Datenverlust zu Leibe rücken mit DEFT-Linux

Sicherlich gibt es mit Knoppix und anderen Linux Live-Systemen schon etliche Möglichkeiten, um die Daten einer Windows-Festplatte zu lesen, aber wenn es mal etwas spezieller wird, lohnt sich eine explizit dafür entwickelte Linux-Distribution wie DEFT-Linux (Digital Evidence & Forensics Toolkit) zu nutzen. Denn im Gegensatz zu anderen Distributionen versteht sich die aus Italien stammende Distribution mit einer Vielzahl an Hardware und bringt von Haus aus eine ebenso große Vielzahl an Spezial-Programmen mit sich. Am ehesten lässt sich die Distribution mit Kali Linux vergleichen, welches in eine ähnliche Richtung geht und einige Spezial-Tools mehr bietet.

Diese eignen sich wie bereits erwähnt nicht nur zur Analyse der gespeicherten Daten, sondern eben auch zur Rettung dieser Daten. Dazu startet DEFT-Linux beispielsweise schon ab Werk mit Root-Rechten und bindet so nicht erkannten Laufwerke automatisch ein. Alle Laufwerke, egal ob ein Windows- oder UNIX-artiges System, müssen vom Nutzer selbst gemountet werden. Das lässt sich mit den entsprechenden Kenntnissen sogar manuell durchführen, wofür DEFT-Linux die Mount-Punkte c, d, e, raw1, raw2, raw3 und smb von Haus aus bereitstellt.

Datensicherheit auch bei der Analyse

Da in der Digital-Forensik grundsätzlich nicht mit den physischen Datenträgern gearbeitet wird, bietet auch DEFT-Linux die Möglichkeit einer Bit-genauen Kopie der Laufwerke an. Bit-genau heißt hierbei, dass eine Byte für Byte identische virtuelle Kopie des zu analysierenden Laufwerks erstellt wird und das unabhängig vom genutzten Dateisystem des Quellsystems.

Dabei steht wahlweise der Linux-allgemeine Befehl dd (dump device) zur Verfügung oder das grafische Tool Guymager, welches den Vorgang lediglich mit einer grafischen Oberfläche erweitert. Wem das nicht gefällt, der findet noch weitere zumeist auf der Kommandozeile ablaufende Programme im Startmenü von DEFT-Linux unter d / DEFT / Imaging, wobei das kleine d das Logo des Startmenüs darstellt. In jedem Fall ist zu beachten, dass für die Bit-genaue Kopie ein externer Datenträger, beziehungsweise ein Netzlaufwerk genutzt werden sollte, welches mindestens denselben freien Speicher bietet.

Nachdem die Bit-genaue Kopie mit DEFT-Linux angelegt wurde, lässt sich diese im Rahmen der Digital-Forensik mit geeigneten Programmen zur Datenrettung untersuchen. Photorec ist eines dieser Tools und dazu noch eines der mächtigeren Programme. So erkennt es anhand von bestimmten Daten-Signaturen vermeintlich gelöschte Dateien (über 180 Dateiformate unterstützt das Programm) und kann diese bei Bedarf wiederherstellen.

Hilfreiches Tool zur Datenrettung

Denn auch wenn eine Datei gelöscht wird, so entfernt das Betriebssystem aus Gründen der Leistung einer Festplatte nur den jeweiligen Eintrag in der Dateiliste des Laufwerks. Die eigentlichen Daten sind in den meisten Fällen noch immer auf dem Laufwerk vorhanden, zumindest solange keine neuen Daten auf dem entsprechenden Laufwerk geschrieben werden. Zwar wird bei der Wiederherstellung Ordner-Struktur und Dateinamen ignoriert, aber mit DEFT-Linux kann man auf diese Weise verloren geglaubte Dateien noch retten.

Das alles ist natürlich nur ein ganz kleiner Bruchteil der Möglichkeiten, die DEFT-Linux bietet, aber diese dürfte für den Privat-Nutzer am häufigsten zur Anwendung kommen. Die Linux-Distribution gibt es übrigens auch in einer erheblich abgespeckten Version namens DEFT Zero, welche sich auf Wunsch sogar komplett nur in den RAM eines Rechners laden lässt.

Weitere Informationen und die Download-Links zu DEFT-Linux gibt es auf der Website des Projektes, wo es auch eine kleine Dokumentation zu DEFT Zero gibt.

[Quelle: DEFT-Linux | via TechChannel]

The following two tabs change content below.
Mann mit Bart und Faible für Smartphones und Tablets jeder Plattform, doch eindeutig bekennender Androidliebhaber.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*


216 Abfragen in 0,456 Sekunden