Forensik und Analysetools

Mitunter sehen einige Mitmenschen in der Computer Forensik als eine modernere Form der schwarzen Magie, die vermeintlich vernichtete Daten wiederherstellt und entschlüsselt.

Forensik mit Linuxanwendungen

Linux unterstützt schon von Haus aus eine sehr große Zahl von Dateisystemen. Der Einsatz von Loopback Devices, das Um- und Weiterleiten von Standard Input und Output sowie die Möglichkeit, Prozesse und Kommandos zu überwachen und zu protokollieren, sind weitere Pluspunkte.

Da die nach einem IT-Sicherheitsvorfall zu untersuchenden Systeme sowie deren Betriebssysteme in der Regel nicht mehr vertrauenswürdig sind - Systemkomponenten könnten ausgetauscht oder manipuliert worden sein -, sollten diese nicht für eine forensische Untersuchung benutzt werden. Linux kann auch in diesem Bereich glänzen, da es relativ einfach möglich ist, bootfähige Medien mit integrierten, statisch gelinkten Tool-Sets zu erstellen. Vele Tools beinhalten Datenrettung und Datenanalysetools.

Eine Übersicht über alle derzeit öffentlich verfügbaren Linux-Live-CDs werden hier dargestellt.

Anwendungen aus einiger bootfähigen Medien

KNOPPIX

Kali Linux

F.I.R.E Forensic
Helix
The Penguin
Trinux
PHLAK
Local Area
INSERT
FCCU
Farmer’s