Linux - Crashkurs für digitale Forensiker

Kursinhalt

Einführung

• Grundsätzliche Strategien für Diagose, Analyse, Spurensicherung und Datenwiederherstellung

Live Forensik

• flüchtige Daten finden, durchsuchen, sichern
• Linux-Lösungen um vor Ort Datenträger read-only zu mounten und zu analysieren
• Praktische Tips zu GRML, Sleuth Kit, Autospy u.a.
• Verschlüsselte Datenträger
• Gelöschte Daten und Dateien
• Images in den Formaten RAW und EWF erzeugen
• Erzeugen von md5 Hashes
• Logateien durchsuchen, auswerten, sichern
• Imagedateien mount mit -o loop

Dateien und Verzeichnisse

• Zeitstempel unter Linux

Textdateien

• Dateiinhalte kombinieren und extrahieren: join, paste, cut, uniq und sort

Überwachen, Suchen und Finden

• Finden von interessanten Texten in Nicht-Textdateien mit strings
• Vergleich von Binärdateien, Unterschiede auf Byteebene finden und interpretieren
• einfache Befehle ausbauen zu Liveanzeigen mit watch
• detailliert Dateitypen ermitteln mit file
• Herkunft von Dateien finden (aus welchem Paket stammen sie)

Softwareverwaltung mit RPM und DPKG/APT

• Pakete installieren/deinstallieren auf der Kommandozeile
• Abfragen der Paketdatenbank: welche Software ist installiert? Welche Datei kommt aus welchem Paket?
• Abhängigkeiten zwischen Paketen
• Onlineupdates richtig konfigurieren, Installationsquellen einrichten

Kombination mehrerer Prozesse

• Prozessersetzung (z.B. wie in diff <(strings /bin/true) <(strings /bin/false))
• viele Tricks, wie man das alles kombinieren kann

Datensicherung mit tar, cpio, gzip und dd

• Verzeichnisse einpacken mit dem Standardarchivformat tar
• Komprimieren von Archiven und Einzeldateien mit gzip
• Daten sammeln und archivieren mit cpio
• elegant: tar, cpio und gzip in der Pipe verwenden
• Vermeiden von temporären Dateien

Festplatten, Partitionen und Dateisysteme

• wie Linux Geräte verwaltet (Dateien in /dev)
• Dateisysteme unter Linux (ext3, reiserfs, Windowsdateisysteme, usw.)
• Dateisysteme: Vergleich von Dateisystemen, Journalling, Performancediagnose
• Befehle zum Verwalten von Dateisystemen (anzeigen, formatieren, Platzverbrauch, usw.)

Prozesse und CPU

• Wie Linux Prozesse verwaltet
• Hintergrundprozesse starten und verwalten (Jobsteuerung der BASH)
• richtige Deutung der vielen Informationen, die top liefert
• Zustände von Prozessen (z.B. Running, Sleep, Diskwait, etc.)
• Was sind Zombieprozesse? Wann sind Zombies problematisch?
• Was bedeutet die ominöse Load (die drei Zahlen, die top oder uptime anzeigt)? Was bedeutet das für die Praxis?

Netzwerkdiagnose

• Netzwerkgeräte unter Linux, ifconfig und Kernelmodule
• Ethernet: Übertragungsmodi und Linkstatus überwachen und einstellen mit ethtool
• ARP: Auflösung von IP-Adressen in MAC-Adressen. ARP testen mit arping
• Das Internetprotokoll: Routing und Routingdiagnose, die Befehle ip r, traceroute und mtr
• richtige Deutung von Netzwerk-Fehlermeldungen (z.B. der Unterschied zwischen Network unreachable und Host unreachable)
• TCP und UDP-Diagnose mit netstat, telnet und netcat
• Portscanning: offene und geschlossene Ports finden mit nmap
• Netzwerkverkehr mithören und analysieren mit Tools wie tcpdump
• DHCP-Diagnose
• DNS: Das Domain Name System: Diagnose mit dig

Server-Dienste unter Linux am Beispiel: NFS-Server und Client

• Grundlagen von NFS, dem Network File System
• Freigeben von Verzeichnissen
• Einbinden von NFS-Freigaben anderer Rechner
• Fehlerdiagnose von NFS

SSH - SecureShell

• Sicher und performant remote einloggen
• Dateien kopieren über SSH
• Per SSH automatisch und ohne Passworteingabe Befehle auf Linux-Rechnern ausführen
• Shellbefehle automatisch auf vielen Servern gleichzeitig absetzen