Peter Titus
Bachelor Thesis, Hochschule Wismar, September 2020
Autor: Peter Titus
Titel: Vergleichende Analyse der Leistungsfähigkeit der Open-Source Software „The Sleuth Kit“ und deren Forks bei der physischen Auswertung der poolbasierten Dateisysteme APFS, ZFS, Btrfs und ReFS
Abstrakt:
Die Beweise in einem Strafverfahren müssen höchsten Ansprüchen genügen. Eine lückenlose Beweisbarkeit der erzielten Ergebnisse einer forensischen Untersuchung von Computersystemen kann mit proprietären „Closed Source“ Softwarelösungen jedoch prinzipbedingt nicht erreicht werden, da der Prozess der Auswertung selbst nicht anhand des Quellcodes nachvollzogen werden kann. Die Sammlung forensischer Tools „The Sleuth Kit“® bietet hier seit vielen Jahren eine Lösung im Bereich der Post-mortem Analyse von Dateisystemen. Sie ermöglicht eine solche Beweisbarkeit da der Quelltext frei verfügbar ist. Neben klassischen Dateisystemen wie z.B. NTFS haben neuartige Dateisysteme mittlerweile eine relevante Verbreitung erfahren[1]. Viele dieser Dateisysteme bieten Features die es erlauben, mehrere Partitionen auf Dateisystemebene zu einem einzelnen Volume zusammenzufassen. Diese können verallgemeinernd als „poolbasierte“ Dateisysteme bezeichnet werden. „The Sleuth Kit“® wurde in verschiedenen Varianten weiterentwickelt, um auch derartige Dateisysteme analysieren zu können. Diese Arbeit soll konkrete Aussagen über die Leistungsfähigkeit dieser Software machen, welche es dem Praktiker in der IT Forensik ermöglichen, die Reife der Software für den praktischen Einsatz zu beurteilen.
Abstract
Evidence in criminal proceedings must meet the highest standard. Proprietary closed source software solutions cannot provide a complete chain of evidence for the results of forensic examinations on computer systems, since the process of the evaluation itself cannot be traced on the basis of the source code. The collection of forensic tools "The Sleuth Kit"® has been offering a solution in the field of post-mortem analysis of file systems for many years. It enables such provability as the source text is freely available. Besides traditional file systems like NTFS, new types of file systems have emerged and are widely used[1]. Many of these file systems offer features that allow multiple partitions to be combined into a single volume at the file system level. These can generally be referred to as pool based file systems. "The Sleuth Kit"® has been further developed in various versions in order to be able to analyze such file systems. This work should make concrete statements about the usability of this software, to enable the practitioner in IT forensics to assess the maturity of the software for practical use.
Quellcode: https://github.com/ptitus/bt