Partitionen - Lehrstuhl Praktische Informatik I - Universität Mannheim

Name und Datumwww.uni-mannheim.de Seite 

Digitale Forensik 

Schulung Bundespolizeiakademie 

März 2009 

Teil 13+14: Dateisystemanalyse 

und (kommerzielle) Tools 

Dipl-Inform Markus Engelberth 

Dipl-Inform Christian Gorecki 

Universität Mannheim 

Lehrstuhl für Praktische Informatik 1 

Dr. Kay Schumann 

Universität Bonn 

Institut für Strafrecht

Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 

Motivation 

• Viele digitale Spuren fallen auf Festplatten an 

• Traditionell werden Festplatten 1:1 kopiert 

• Anfertigen eines Disk Image 

• Image wird dann mit Analysewerkzeugen weiter 

untersucht 

• Jetzt die Fragen: 

– Welche Strukturen existieren in den Images? 

– Wie analysiert man diese Strukturen?

• Festplattenanalyse 

– Festplatten und Partitionen 

• Dateisystemanalyse 

– NTFS 

• Tools 


Übersicht 

• Dieser Teil umfasst in der Vorlesung an der Uni 

Mannheim mindestens vier Doppelstunden!


Laufwerk vs. Partition 

• Laufwerk, Festplatte, Partition, ... terminologische 

Vielfalt 

• Carrier schlägt als Begriffe vor: 

– Volume (Laufwerk) = Menge von adressierbaren Sektoren, 

die ein Betriebssystem oder eine Anwendung zur 

Speicherung von Daten verwenden kann 

– Partition (Partition) = Menge von aufeinanderfolgenden 

Sektoren in einem Laufwerk 

• Eine Partition ist immer auch ein Laufwerk, aber ein 

Laufwerk ist nicht immer eine Partition 

– Laufwerke können mehrere Partitionen beinhalten


Wozu Partitionen? 

• Manche Dateisysteme haben eine Maximalgröße, die 

kleiner ist als die Festplatte 

• Laptops benötigen manchmal Bereiche auf der Platte, 

um Speicherinformationen abzulegen (hibernation) 

• Partitionen können verwendet werden, um die 

Auswirkungen von defekten Sektoren auf die 

Integrität des Dateisystems einzuschränken 

– Viele Unix-Systeme verwenden eine Partition für 

Systemdateien und eine Partition für Benutzerdateien 

• Partitionen können verwendet werden, um 

verschiedene Betriebssysteme auf einer Festplatte zu 

betreiben (dual boot)


Klassischer Laufwerksaufbau 

• Aufbau eines Laufwerks besteht üblicherweise aus 

– einer Partitionstabelle, die das Layout des Laufwerks 

beschreibt 

– eine oder mehrere Partitionen


Details 

• Partitionstabelle organisiert das Layout des Laufwerks 

• Wichtige Einträge sind Start- und Endsektor jeder Partition 

– Start- und Endsektor heben sich nicht notwendigerweise durch ihre 

Inhalte von anderen Sektoren ab 

– Man kann sie manchmal erraten, wenn man weiss, was in der 

Partition gespeichert wurde 

• Alle anderen Einträge sind unwichtig und müssen nicht 

notwendigerweise stimmen 

• Analogie: Grundstücksgrenzen 

– Blick ins Gelände reicht oft nicht aus 

– Man braucht die Akten des Grundbuchamtes 

– Manchmal kann man raten, wo ein Gründstück aufhört, wenn man 

weiss, wem es gehört 

• Partitionssysteme sind abhängig vom Betriebssystem und nicht 

von der Rechnerhardware 

– Gleiche Partitionen auf ATA und SCSI


Exkurs: Laufwerke in Unix 

• Unix kennt keine Laufwerke C:, D:, etc. wie Windows 

• Laufwerke werden in einen einzigen Verzeichnisbaum 

hineinmontiert (mount) 

– Basisverzeichnis /


Addressieren von Sektoren 

• LBA-Adresse ist die physische Adresse (physical address) 

eines Sektors auf einer Festplatte 

– Beginnt bei 0, 1, 2, ... 

• Logische Laufwerksadresse (logical volume address) ist die 

Adresse des Sektors relativ zum Beginn des Laufwerks 

– Da jede Festplatte ein separates Laufwerk ist, ist die logische 

Laufwerksadresse gleich der physischen Adresse 

– Start- und Endsektoren einer Partition werden durch ihre logischen 

Laufwerksadressen spezifiziert 

• Logische Partitionsadresse (logical partition volume address) 

ist die Adresse des Sektors relativ zum Beginn der Partition 

– Falls ein Sektor in keiner Partition liegt, hat er keine logische 

Partitionsadresse

Vorgehensweise bei der Laufwerksanalyse 

• Zunächst Prüfen der Partitionstabelle 

– Ist sie konsistent? 

– Gibt es Sektoren, die keiner Partition angehören? 

– Anschließend Partitions- und Dateisystemanalyse 

• Konsistenzprüfung 

– Partitionen in der Partitionstabelle müssen nicht 

entsprechend ihrem Layout auf der Platte sortiert sein 

– Prüfen der Start- und Endsektoren auf Lücken 

– In Lücken können Daten versteckt sein 

– In Lücken können sich Daten von vorhergehenden 

Dateisystemen befinden 

Digitale Forensik, Schulung Bundespolizeiakademie, März 2009


Analyse der Partitionstabelle 

• Analyse der Partitionstabelle z.B. mittels mmls (Sleuthkit) 

• Umfangreiches Beispiel: 

# mmls -t dos disk2.dd 

Slot Start End Length Description 

00: ----- 0000000000 0000000000 0000000001 Primary Table (#0) 

01: ----- 0000000001 0000000062 0000000062 Unallocated 

02: 00:00 0000000063 0001028159 0001028097 NTFS (0x07) 

03: 00:01 0001028160 0001648394 0000620235 Win95 FAT32 (0x0B) 

04: ----- 0001648395 0001654694 0000006300 Unallocated 

05: 00:02 0001654695 0002072384 0000417690 Linux (0x83) 

06: 00:03 0002072385 0019984859 0017912475 DOS Extended (0x05) 

07: ----- 0002072385 0002072385 0000000001 Extended Table (#1) 

08: ----- 0002072386 0002072447 0000000062 Unallocated 

09: 01:00 0002072448 0002698919 0000626472 NTFS (0x07) 

10: 01:01 0002698920 0003116609 0000417690 DOS Extended (0x05) 

11: ----- 0002698920 0002698920 0000000001 Extended Table (#2) 

12: ----- 0002698921 0002698982 0000000062 Unallocated 

13: 02:00 0002698983 0003116609 0000417627 Linux (0x83) 

#

• Standardvorgehen: Jede Partition wird mittels dd in eine eigene 

Datei extrahiert 

– Nützlich: dd-Optionen skip und count (siehe Übung) 

• Befehle: 

dd if=disk1.dd of=part1.dd bs=512 skip=63 count=1028097 

dd íf=disk1.dd of=part2.dd bs=512 skip=2570400 count=1638630 

dd if=disk1.dd of=part3.dd bs=512 skip=4209030 count=2056320 


Extraktion der Partitionen



Übersicht 



– NTFS 

• Tools


Partitionstypen 

• Die am häufigsten anzutreffenden Partitionssysteme 

sind DOS-Partitionen 

– Standard im Desktop-Bereich für Windows und Linux 

– Mehr Infos zu anderen Systemen bei Carrier, Kap. 5 und 6 

• Apple Partitionen: Carrier pp. 101ff 

• Server-Partitionen (BSD, Solaris, GPT): Carrier Kap. 6 

• Es gibt keine echte Referenz für das Layout 

– Carrier-Buch wird oft als de facto Referenz zitiert 

• DOS-Partitionen gehören zu den ältesten und 

kompliziertesten Partitionstypen 

– „They were originally designed in the 1980s for small 

systems and have been improved (i.e. hacked) to handle 

large modern systems.“ [Carrier p. 82]


Generelles Laufwerkslayout 

• Erster Sektor enthält MBR (Master Boot Record) 

• MBR enthält 

– Boot Code 

– Partitionstabelle 

– „Signaturwert“ 

• Boot Code enthält Instruktionen zur „Decodierung“ 

der Partitionstabelle 

– Lädt den Boot Loader oder direkt das Betriebssystem 

• Partitionstabelle hat vier Einträge 

– Jeder Eintrag kann genau eine DOS-Partition beschreiben


Angaben der Partitionstabelle 

• Starting CHS address, Ending CHS address 

– Nur bei Platten mit weniger als 8 GB 

• Starting LBA address 

• Number of sectors in partition 

• Type of partition (z.B. FAT, NTFS, FreeBSD) 

– Wird von unterschiedlichen Betriebssystemen unterschiedlich 

verwendet 

– Linux ignoriert dieses Feld beim mounten 

– Windows erzeugt automatisch einen Laufwerksbuchstaben für alle 

Partitionstypen, die es unterstützt 

– Deswegen „sieht“ man die Linux-Partitionen auch nicht in Windows 

• Flags 

– „Bootable“: Zeigt an, wo ein bootbares Betriebssystem liegt


Beispiel 

• Festplatte mit zwei Partitionen und MBR


Primäre Partitionen 

• Maximal vier Partitionen ist zu wenig für moderne Systeme 

– Erweiterte Partitionen = „Hack“ für mehr als vier DOS-Partitionen 

• Idee: 

– Erstelle ein, zwei, drei Einträge im MBR für „normale Partitionen“ 

– Packe zusätzliche Partitionen in eine „erweiterte“ Partition am Ende 

der Platte 

• Begriffe: 

– Primäre Dateisystempartition (primary file system partition) = 

Partition im MBR mit Dateisystem 

– Primäre erweiterte Partition (primary extended partition) = 

Partition im MBR, die weitere Partitionen enthält 

• In einer erweiterten Partition gelten ganz andere Regeln als in 

normalen Partitionen 

– Partitionen sind als verkettete Liste organisiert 

– Jede Partition hat einen Kopf, der beschreibt wie groß sie ist und 

wo die nächste Partition zu finden ist


Sekundäre Partitionen 

• Sekundäre Dateisystempartition (secondary file 

system partition) = Partition innerhalb einer primären 

erweiterten Partition mit einem Dateisystem 

– Werden in Windows auch logische Partitionen genannt 

– Aufbau wie primäre Dateisystempartitionen, nur innerhalb 

einer erweiterten Partition 

• Sekundäre erweiterte Partition (secondary 

extended partition) = Partition mit einer 

Partitionstabelle und einer sekundären 

Dateisystempartition 

– „Wrapper“ um sekundäre Dateisystempartitionen 

– Zeigen auf nächste sekundäre erweiterte Partition 

• Uff!


Beispiel 

• Festplatte mit 12 GB und 6 Partitionen à 2 GB


Sonderfälle 

• Das Partitionsformat ist schlecht dokumentiert 

– Man kann viele Sonderfälle erzeugen, die weder erlaubt 

noch verboten sind 

• Beispiel: 

– Mehr als eine sekundäre Dateisystempartition in der 

Partitionstabelle einer erweiterten sekundären Partition 

– Wird von vielen Betriebssystemen korrekt verarbeitet 

– Erzeugt Verwirrung bei forensischen Tools


Boot Code 

• Die ersten 446 Byte im MBR gehören dem Boot Code 

• Standard Microsoft Boot Code: 

– Analysiert die Partitionstabelle 

– Identifiziert die erste bootbare Partition 

– Lädt Daten aus dem ersten Sektor dieser Partition und führt sie aus 

• Boot-Sektor-Viren nisten sich in die ersten 446 Bytes ein 

– Werden bei jedem Systemstart ausgeführt 

• Bootloader: 

– Entweder als Teil des Betriebssystems (Code liegt dann innerhalb 

einer Partition) 

– Oder als Teil des Boot Code im MBR 

• Meist unter Nutzung einer oder mehrerer Sektoren hinter dem MBR vor 

dem Beginn der ersten Partition

Byte 

Nummern 


Datenstrukturen MBR 

Beschreibung Notwendi 

g 

0-445 Boot Code Nein 

446-461 Erster Eintrag Partitionstabelle Ja 

462-477 Zweiter Eintrag Partitionstabelle Ja 

478-493 Dritter Eintrag Partitionstabelle Ja 

494-509 Vierter Eintrag Partitionstabelle Ja 

510-511 Signatur Nein

Datenstrukturen Eintrag Partitionstabelle 

Byte 

Nummern 


Beschreibung Notwendig 

0-0 Bootable Flag Nein 

1-3 Starting CHS Addess Ja 

4-4 Partitionstyp Nein 

5-7 Ending CHS Address Ja 

8-11 Starting LBA Address Ja 

12-15 Size in Sectors Ja


Partitionstypen: Beispiele 

• 0x00: leere Partition 

• 0x01: FAT12, CHS 

• ... 

• 0x07: NTFS 

• ... 

• 0x82: Linux Swap 

• 0x85: Linux Extended 

• ... 

• 0xfb: Vmware File System 

• ... 

• Vollständige Liste bei Carrier, p. 90f


Fallstudie 

• Erstes Digital Forensics Tool Testing Image 

– Quelle: http://dftt.sourceforge.net/test1/ 

– Autor: Brian Carrier 

– „This test image is a 'raw' disk image (i.e. 'dd'). The disk is 

150MB and is compressed to 160KB. This image is released 

under the GPL, so anyone can use it.“ 

• Datei herunterladen, auspacken 

• Partitionstabelle anschauen mit Hexeditor 

– xxd ext-part-test2.dd | less


Decodierung der ersten Partition 

• Eintrag beginnt bei Byte Nummer 446 (0x1be) 

– Insgesamt 16 Bytes 

– Bis Byte 461 (0x1cd) 

• Hier: 

– Bootable Flag: 0x0 

– Starting CHS: 0x010100 

– Partition Type: 0x04 (FAT16, 16-32 MB, CHS) 

– Ending CHS: 0x1f3f19 

– Starting LBA: 0x0000003f (Dezimal 63, little-endian!) 

– Size in Sectors: 0x0000cc81 (Dezimal 52353, little-endian!) 

• Check mit mmls 




Nützliche Tools: Hex-Editoren 

• xxd (bereits erwähnt) 

• Winhex: www.winhex.de 

– Kommerziell aber kostenlose Testversion erhältlich 

• LDE: http://lde.sourceforge.net/ 

• BVI: http://bvi.sourceforge.net/ 

– „binary vi“ 

• BIEW: http://biew.sourceforge.net/en/biew.html 

• HIEW: http://www.hiew.ru/




– NTFS 

• Tools 


Übersicht

Dateisysteme und Dateisystemanalyse 

• Dateisysteme organisieren abgespeicherte Daten in einer 

Hierarchie von Dateien und Verzeichnissen 

– Benutzerdaten vs. Strukturdaten (für die Organisation der 

Benutzerdaten) 

– Dateisystemanalyse betrachtet die Daten in einem Laufwerk und 

interpretiert sie als ein Dateisystem 

• Dateisysteme sind in der Regel unabhängig von einem 

speziellen Computer oder Betriebssystem 

– Man kann FAT32 sowohl unter Linux als auch unter Windows 

verwenden 

– Kenntnis der Manipulationsregeln ermöglicht Zugriff 

• Interne Struktur von Dateien ist anwendungsabhängig 

– Wird hier deshalb nicht weiter betrachtet 



Kategorien von Daten 

• Abstraktes Referenzmodell für Dateisysteme 

– Erlaubt einen einfacheren Vergleich konkreter Dateisysteme 

– Ermöglicht abstrakte Vorgehensweisen bei der Analyse zu 

beschreiben 

• Fünf Kategorien von Daten: 

– Dateisystem 

– Inhalt 

– Metadaten 

– Dateiname 

– Anwendung 

• Alle Daten in einem Dateisystem gehören einer dieser fünf 

Kategorien an 

– Manche Dateisysteme passen besser in das Raster als andere 

– Aber die Tools aus dem Sleuth Kit verwenden diese Kategorien


Analyse von Inhaltsdaten 

• Man kann sich spezielle Datenblöcke direkt im Hex-Editor 

anzeigen lassen 

– Beispiel: dcat (Sleuthkit) 

• Man kann eine Suche über alle Datenblöcke machen 

– Beispiel: Suche nach einer Telefonnummer 

– Vorsicht vor Fragmentierung: 

• Suchstring könnte sich gerade auf Datenblockgrenzen befinden 

• Manche Tools finden diesen String nicht 

• Spezielle „keyword search test images“ im DFTT zum Testen der 

eigenen Werkzeuge verwenden 

• Suche auf allen unbenutzten Datenblöcken 

• Konsistenzchecks: 

– Suche nach „Waisen“ (benutzten Datenblöcken ohne Metadaten) 

– Suche nach Datenblöcken mit mehreren Metadateneinträgen

Techniken zum Löschen von Dateien 

• Die meisten Betriebssysteme löschen nur den Verweis auf die 

Datenblöcke und setzen ihren Status auf „unbenutzt“ 

– Dateien sind leicht wiederherzustellen 

• Heute vermehrt Werkzeuge im Umlauf für „sicheres Löschen“ 

– Beliebte Technik: Überschreibe Datenblöcke mit Nullen oder Zufallsdaten 

• Werkzeuge auf Anwendungsebene haben oft Schwächen: 

– Machen Annahmen über spezielles Verhalten des Betriebssystems, die nicht 

gelten müssen 

– Beispiel: Linux-Tool, welches Nullen in die Datenblöcke schrieb 

• Datenblock wurde nicht direkt geschrieben, zwischengespeichert (buffer cache), 

und als gelöscht markiert 

• Linux „optimierte“ das Schreiben weg: Warum sollte auch eine als gelöscht 

markierte Datei noch geschrieben werden 

• Ob derartige Werkzeuge verwendet wurden, ist in der Regel schwer 

festzustellen 

– Es sei denn, man findet sie selbst auf der Festplatte 

– Dann sind ihre Zeitstempel (Zeit der letzten Verwendung) interessant 


• Slack Space entsteht immer dann, wenn eine Datei 

einen Datenblock nicht vollständig ausfüllt 

• Slack Space kann wertvolle Informationen enthalten 


Exkurs: Slack Space


Zwei Arten von Slack Space 

• Slack Space im „restlichen Sektor“: 

– Betriebssysteme füllen beim Schreiben des Sektors Slack 

Space nicht notwendigerweise mit Nullen auf 

– DOS und frühe Windows-Versionen kopierten Werte aus dem 

Hauptspeicher in den Slack Space 

• Slack Space im „restlichen Datenblock“: 

– Wird von Betriebssystemen in der Regel nicht überschrieben 

• Analogie: VHS-Videokassette kann verräterische 

Spuren enthalten 

– Erst den Musikantenstadl am Samstag aufnehmen (ca. 120 

min.) 

– Anschauen, zurückspulen. 

– Dann das Auslandsjournal am Donnerstag (ca. 60 min)

Ausblick: konkrete Dateisysteme 

• Die drei bekanntesten Dateisysteme sind: 

– FAT: einfaches und frühes Dateisystem aus der DOS-Welt 

– NTFS: Nachfolgedateisystem in Windows 

– Ext2/Ext3: Standarddateisysteme der Unix-Welt 

• Wir werden uns nur eins anschauen: NTFS 


Communications of the ACM, 48(8), 2006 

Name und Datumwww.uni-mannheim.de Seite 

Ausblick 

• Probieren Sie die 

Werkzeuge aus 

• Fragen?

Partitionen - Lehrstuhl Praktische Informatik I - Universität Mannheim

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?