Franz Zeilhofer
Projektarbeit, Hochschule Wismar,Oktober 2023
Author: Franz Zeilhofer
Titel: DISSECT Tools zur effizienten Triage von DISK-Images
Aufgabenstellung
Diese Arbeit beschäftigt sich mit der raschen und effizienten Extraktion von relevanten Informationen aus forensischen Datenträger-Abbildern, sogenannten Disk-Images. Die extrahierten Informationen sollen dazu dienen einen schnellen Überblick über eine Vielzahl von zu untersuchenden Datenträgern zu erhalten, um eine Sortierung nach Relevanz bzw. Dringlichkeit zu ermöglichen. Dieser als Triage bezeichnete Vorgang soll den Arbeitsablauf in Digitalen Forensik Laboren erleichtern und dies im Idealfall ohne großen Mehraufwand oder Verursachung von Kosten.
Hierzu wurden diverse auf dem Markt verfügbare Softwarelösungen zur Auswahl herangezogen. Nach Filterung der Optionen fiel der Fokus dabei auf die Open Source Tools „Dissect“ von Fox-IT, die auf den ersten Blick alle gewünschten Kriterien erfüllen.
Diese Arbeit widmet sich daher der Fragestellung, ob sich die „Dissect Tools“ als Triage- Werkzeug im forensischen Alltag eignen und sie die benötigten Anforderungen hierfür erfüllen können.
Nicht Gegenstand dieser Ausarbeitung sind hingegen die Darstellung und Bewertung aller Funktionen die von der Dissect Toolsammlung zur Verfügung gestellt werden. Die forensischen Möglichkeiten der Dissect Toolsammlung, der durch die Entwickler darüber hinaus auch noch laufend erweitert wird, ist weitaus umfangreicher, als wie er für die Triage von Disk-Images benötigt wird.
Für die Betrachtung wurden die benötigten Anforderungskriterien definiert und mithilfe eines Testaufbaus mit unterschiedlichen Disk-Images geprüft. Hierfür wurden Referenzwahrheiten aus den Disk-Images manuell extrahiert und analysiert, um die Ergebnisse aus Dissect damit abgleichen zu können. Die daraus gewonnenen Erkenntnisse sollen Aufklärung darüber bringen, ob sich Dissect als Triage-Werkzeug im forensischen Alltag eignet und in einen bestehenden Arbeitsablauf ohne großen Mehraufwand integrieren lässt. Die Ergebnisse dieser Untersuchung sollen dazu beitragen, die Korrektheit und die Effizienz von Dissect in der IT-Forensik zu bewerten und die Entscheidungsfindung über die Integration von Dissect in bestehende Workflows für die digitale Forensik zu unterstützen.
