Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery...
Transcript of Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery...
![Page 1: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/1.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Data-Recovery und forensische Methoden zurWiederherstellung von Daten1
Timo Minartz
Seminar Speichermedien WS 2008/2009
13. Januar 2009
1betreut von Olga Mordvinova, Julian Kunkel1 / 52
![Page 2: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/2.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Inhalt
1 Motivation
2 Vorgehensweise
3 Optische SpeichermedienCompact Disk
4 Magnetische SpeichermedienFestplatte
5 Elektronische SpeichermedienFlashDRAM
6 Zusammenfassung
7 Literatur
2 / 52
![Page 3: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/3.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Motivation
• Wie kann man versehentlich geloschte Daten wiederherstellen?
• Wie konnen Daten von einer defekten CD/Festplatte gesichertwerden?
• Welche Daten konnen von einer USB-Disk gesichert werden?
• Wie konnen forensische Daten gesichert werden?
• Welche Tools konnen genutzt werden?
• Welche Chance auf Erfolg kann garantiert werden?
• Wie konnen sensible Daten geschutzt werden?
• Wie konnen Daten sicher geloscht werden?
3 / 52
![Page 4: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/4.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Einleitung / Relevanz
Datensicherheit
• gebrauchte Festplatten werden weiterverkauft
• Studien zeigen ca. 60% nicht ausreichend geloscht
• z.B. militarische Zugangscodes wurden versteigert [Onl]
Hardwarefehler
• Hardware ist generell langlebig
• aber: Fehler moglich• Materialermudung• falsche Lagerung• Disk fallenlassen, CD zerkratzen, . . .
4 / 52
![Page 5: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/5.jpg)
Einleitung / Relevanz
Datensicherheit
• gebrauchte Festplatten werden weiterverkauft
• Studien zeigen ca. 60% nicht ausreichend geloscht
• z.B. militarische Zugangscodes wurden versteigert [Onl]
Hardwarefehler
• Hardware ist generell langlebig
• aber: Fehler moglich• Materialermudung• falsche Lagerung• Disk fallenlassen, CD zerkratzen, . . .2
00
9-0
1-1
4
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Motivation
Einleitung / Relevanz
Datensicherheit:
• einfaches Formatieren nicht ausreichend, um Daten zu loschen
• oft Datentrager noch nicht einmal formatiert
![Page 6: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/6.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Unterschied Recovery - forensische Methoden
Recovery
• Wiederherstellung geloschter Daten
• Aufgrund von Defekten oder Benutzerfehlern
Forensik
• Wiederherstellung geloschter Dateien
• Untersuchung von Benutzerverhalten
• Durchsuchen nach versteckten Dateien
Folgerung
Recovery ist Speziallfall von Forensik, da mehr Wissen uberwiederherzustellende Dateien vorhanden
5 / 52
![Page 7: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/7.jpg)
Unterschied Recovery - forensische Methoden
Recovery
• Wiederherstellung geloschter Daten
• Aufgrund von Defekten oder Benutzerfehlern
Forensik
• Wiederherstellung geloschter Dateien
• Untersuchung von Benutzerverhalten
• Durchsuchen nach versteckten Dateien
Folgerung
Recovery ist Speziallfall von Forensik, da mehr Wissen uberwiederherzustellende Dateien vorhanden
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Motivation
Unterschied Recovery - forensische Methoden
Die forensische Informatik beschaftigt sich mit der Rekonstruktion vonDaten mit dem Ziel, Aussagen uber Benutzerverhalten zu finden. Umauch vor beispielsweise einem Gericht eine Beweiskette vorlegen zukonnen ist es unabdingbar, dass der Verlauf der Untersuchungdokumentiert wird und die Datenintegritat nicht gefahrdet wird. Generellwird versucht, vom Benutzer geloschte oder versteckte Dateien zu finden,die Aufschluss uber die konkrete Tat geben (z.B. Bilder auf einem Handy,Chatprotokolle auf der Festplatte, . . . ).
Recovery ist somit ein vereinfachter Prozess mit forensischen Methoden,
da keine Beweiskette aufrechterhalten werden muss. Weiterhin sind in der
Regel mehr Informationen daruber vorhanden, was wann von wo geloscht
wurde (Dateiname, Dateityp, Loschzeitpunkt, . . . ).
![Page 8: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/8.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Defekte (1)
Hardwaredefekt
• Ursache: Head-Crash, Kratzer, Verschmutzung, . . .
• viele spezialisierte Firmen zur Datenrettung
• von eigenem Offnen von Festplatten ist aufgrund von Staub,Unwissen etc. abzuraten
• bei CD’s / DVD’s konnen Hausmittel durchaus helfen
6 / 52
![Page 9: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/9.jpg)
Defekte (1)
Hardwaredefekt
• Ursache: Head-Crash, Kratzer, Verschmutzung, . . .
• viele spezialisierte Firmen zur Datenrettung
• von eigenem Offnen von Festplatten ist aufgrund von Staub,Unwissen etc. abzuraten
• bei CD’s / DVD’s konnen Hausmittel durchaus helfen
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Vorgehensweise
Defekte (1)
• Kosten fur Datenrettung: CD/DVD’s fur einige Euros
• Oft erfolgsabhangige Bezahlung fur Recovery bestimmter Dateien(z.B. Abschlussarbeit)
![Page 10: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/10.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Defekte (2)
Logischer Defekt
• Ursache: Daten versehentlich geloscht, Folge vonHardwaredefekt
• Image von Datentrager erstellen• um Uberschreiben und weitere Beschadigung der Daten zu
verhindern• z.B. mit dd oder ddrescue, Auslesen von (defekten)
Byteblocken ohne Interpretation moglich• es existieren Hardwaretools fur Festplatten, um Schreibzugriffe
zu unterdrucken
7 / 52
![Page 11: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/11.jpg)
Defekte (2)
Logischer Defekt
• Ursache: Daten versehentlich geloscht, Folge vonHardwaredefekt
• Image von Datentrager erstellen• um Uberschreiben und weitere Beschadigung der Daten zu
verhindern• z.B. mit dd oder ddrescue, Auslesen von (defekten)
Byteblocken ohne Interpretation moglich• es existieren Hardwaretools fur Festplatten, um Schreibzugriffe
zu unterdrucken20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Vorgehensweise
Defekte (2)
• dd fur Flash-Speicher erstmal nicht brauchbar, da Blocke durchMapping des Flash-Controllers in der Regel nicht zusammenhangendausgelesen werden konnen
• Schreibzugriffe zu unterdrucken ist wichtig, um die Beweisketteaufrecht zu erhalten (kein Modifizieren der Daten beim Erstellen desAbbildes). Fur die Recovery ist dies weniger relevant, hier reicht inder Regel das Benutzen eines 2. Betriebsystem (Live-Distribution,z.B. Ubuntu, Knoppix, BartPE, . . . ).
![Page 12: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/12.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Recovery Techniken
einfacher Fall
• Backup nutzen
Normalfall
• Konsistenzuberprufung (consistency checking)
• Sezieren der Daten (data carving)
8 / 52
![Page 13: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/13.jpg)
Recovery Techniken
einfacher Fall
• Backup nutzen
Normalfall
• Konsistenzuberprufung (consistency checking)
• Sezieren der Daten (data carving)
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Vorgehensweise
Recovery Techniken
Alternative zum “normalen” Backup: continuous data protection. Um zu
verhindern das falsche Daten vom Backup erfasst und uberschrieben
werden (z.B. bei Virenbefall), werden die einzelnen Backupinformationen
wie in einer Versionsverwaltungsoftware (SVN, CVS, . . . ) abgespeichert,
um verschiedene Versionen der Dateien zu erhalten. Dieses Konzept ist in
Microsofts Windows Vista bereits als “Schattenkopie” integriert.
![Page 14: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/14.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Consistency checking
Vorausetzungen
• Metadaten vorhanden
Vorgehensweise
• Partitionierungstabelle mit Partitionen vergleichen
• Allokierte und freie Blocke uberprufen
• Metadatenknoten auswerten
• Checksummen nutzen (z.B. bei CD’s)
Tools
• fsck, chkdisk, Disk fist Aid, sleuthkit
• Vorsicht: Tools “reparieren” evtl. an der falschen Stelle ⇒richtige Optionen setzen
9 / 52
![Page 15: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/15.jpg)
Consistency checking
Vorausetzungen
• Metadaten vorhanden
Vorgehensweise
• Partitionierungstabelle mit Partitionen vergleichen
• Allokierte und freie Blocke uberprufen
• Metadatenknoten auswerten
• Checksummen nutzen (z.B. bei CD’s)
Tools
• fsck, chkdisk, Disk fist Aid, sleuthkit
• Vorsicht: Tools “reparieren” evtl. an der falschen Stelle ⇒richtige Optionen setzen
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Vorgehensweise
Consistency checking
Suche in Metadaten nach Informationen wie
• Dateiname
• Anderungszeitpunkt, . . .
Vorgestellte Tools zur Konsistenzuberprufung sind eigentlich Tools zur
Konsistenzsicherung, d.h. die Programme versuchen das Dateisystem
wieder in einen konsistenten Zustand zu uberfuhren. Dies kann so
geschehen, dass die beschriebenen Blocke, die allokiert aber nicht
referenziert sind, entgultig deallokiert werden. Zweck der Recovery ist es
aber, die Allokierung aufrecht zu erhalten und Referenzierung wieder
herzustellen. Da beide Verfahren in einen konsistenten Zustand fuhren ist
zu uberprufen, welches Verfahren vom jeweiligen Tool genutzt wird (in
der Regel ist es das erste Verfahren, da einfacher zu realisieren. Also nur
nutzen, um die inkonsistente Stelle zu finden, nicht zur Reparatur).
![Page 16: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/16.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Data carving
Vorausetzungen
• Auswertung von Rohdaten auf dem Medium
• keine Kenntnisse uber Dateisystem notig, aber vorteilhaft
Vorgehensweise
• Suche in Blocken nach Fingerprints (Signaturen) bestimmterDateitypen oder Dateinamen etc.
• z.B. PDF’s, JPG’s und viele andere Dateitypen habensogenannte Fingerprints• Headereintrage bzw. -strukturen• Footereintrage bzw. -strukturen• typischer Dateiaufbau
Tools
• foremost, lazarus, magic rescue, photorec10 / 52
![Page 17: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/17.jpg)
Data carving
Vorausetzungen
• Auswertung von Rohdaten auf dem Medium
• keine Kenntnisse uber Dateisystem notig, aber vorteilhaft
Vorgehensweise
• Suche in Blocken nach Fingerprints (Signaturen) bestimmterDateitypen oder Dateinamen etc.
• z.B. PDF’s, JPG’s und viele andere Dateitypen habensogenannte Fingerprints• Headereintrage bzw. -strukturen• Footereintrage bzw. -strukturen• typischer Dateiaufbau
Tools
• foremost, lazarus, magic rescue, photorec
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Vorgehensweise
Data carving
eine gute Dokumentation der Tools und Vorgehensweise zur Nutzung
findet sich unter [com09]. Auch hier ist es durchaus sinnvoll, mehrere
Tools zu probieren, da mit unterschiedlichen Methoden gearbeitet wird
um Daten wiederherzustellen. Generell ist je nach Recoveryfall Motivation
gefragt, bis die Daten wieder hergestellt sind.
![Page 18: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/18.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Compact Disk
Hardwaredefekt
Lesefehler durch Kratzer / Verschmutzung
• Oberflache des Mediums verunreinigt / zerkratzt
• Laser wird abgelenkt, kann an dieser Stelle nicht lesen
• ⇒ CRC Error (cyclic redundancy check)
Durch Entfernen des Kratzers / Reinigen kann das Medium wiedergelesen werden, wenn eigentliche Daten hiervon nicht betroffen
Tools
• warmes Wasser
• feines Sandpapier, Zahnpasta
• Fensterreiniger, Silberpolitur
• Bananen, Vaseline
Wichtig: Von Innen nach Aussen polieren (nicht in Kreisen)11 / 52
![Page 19: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/19.jpg)
Hardwaredefekt
Lesefehler durch Kratzer / Verschmutzung
• Oberflache des Mediums verunreinigt / zerkratzt
• Laser wird abgelenkt, kann an dieser Stelle nicht lesen
• ⇒ CRC Error (cyclic redundancy check)
Durch Entfernen des Kratzers / Reinigen kann das Medium wiedergelesen werden, wenn eigentliche Daten hiervon nicht betroffen
Tools
• warmes Wasser
• feines Sandpapier, Zahnpasta
• Fensterreiniger, Silberpolitur
• Bananen, Vaseline
Wichtig: Von Innen nach Aussen polieren (nicht in Kreisen)
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Optische Speichermedien
Compact Disk
Hardwaredefekt
Kombination der Tools zur Optimierung: Zahnpasta fur tiefe Risse, feinesSandpapier fur feinere Risse. In einigen Foren wurde die Benutzung vonAlkohol zur Reinigung propagiert, allerdings sollte Alkohol aufgrundseiner aggressiven Wirkung nicht zur Reinigung eingesetzt werden, daeine weitere Beschadigung der Disk hierdurch nicht auszuschliessen ist.
Generell sollte der spezielle Fall entschieden werden, ob sich eine eigene
Reperatur lohnt. Handelt es sich hierbei um wichtige Daten, die nur auf
diesem Medium vorhanden sind, ist eine professionelle Recovery (da
kostengunstig) wahrscheinlich der bessere Weg. Weiterhin werden Medien
von vielen Herstellern kostenlos erneuert (z.B. Softwaredatentrager), was
auch vor der Reparatur zu erwagen ist.
![Page 20: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/20.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Compact Disk
Hardwaredefekt (2)
12 / 52
![Page 21: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/21.jpg)
Hardwaredefekt (2)
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Optische Speichermedien
Compact Disk
Hardwaredefekt (2)
• Kratzer kann nicht repariert werden, wenn Pits beschadigt
• Bruchstellen konnen in der Regel nicht repariert werden
• Problem bei DVD’s: 2 Seiten konnen zerkratzt werden
• Professionelle Reparatur
– Abschleifen der CD mit speziellen feingranularenAbschleifgeraten
– Geratkosten zwischen 300 und 5000 Dollar– oft bei CD-Laden durchfuhrbar
![Page 22: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/22.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Compact Disk
Fehlererkennung und Fehlerkorrektur
CIRC
• cross-interleaved Reed-Solomon code
• zwei verschiedene Reed-Solomon-Code Konfigurationenverschachtelt
• Fehlererkennung und Fehlerkorrektur moglich
• nicht-lesbare Sektoren konnen wiederhergestellt werden
• 2 Byteblocke pro 32 Byteblocke wiederherstellbar
Funktionsweise Reed-Solomon-Code
• Modellierung der Daten als Koeffizienten fur ein Polynom
• Division des Polynoms durch einen festen Term
• Speicherung des Divisionsergebnisses als redundanteInformation
13 / 52
![Page 23: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/23.jpg)
Fehlererkennung und Fehlerkorrektur
CIRC
• cross-interleaved Reed-Solomon code
• zwei verschiedene Reed-Solomon-Code Konfigurationenverschachtelt
• Fehlererkennung und Fehlerkorrektur moglich
• nicht-lesbare Sektoren konnen wiederhergestellt werden
• 2 Byteblocke pro 32 Byteblocke wiederherstellbar
Funktionsweise Reed-Solomon-Code
• Modellierung der Daten als Koeffizienten fur ein Polynom
• Division des Polynoms durch einen festen Term
• Speicherung des Divisionsergebnisses als redundanteInformation
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Optische Speichermedien
Compact Disk
Fehlererkennung und Fehlerkorrektur
Verschachtelung = Interleaving. Mehr Informationen unter [Var09]
![Page 24: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/24.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Compact Disk
Softwarelosungen
Funktionsweise
• Fehlerkorrektur der Hardware unterschiedlich ausgepragt
• Lesen der defekten Blocke und Korrektur “per Hand”
• Interpolation der defekten Blocke falls nicht mehrrekonstruierbar (idR. nur bei Audio und Video)
Tools
• Testen mit mehreren Tools/Laufwerken sinnvoll
• Recover Disk,CD Recovery Toolbox, . . .
14 / 52
![Page 25: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/25.jpg)
Softwarelosungen
Funktionsweise
• Fehlerkorrektur der Hardware unterschiedlich ausgepragt
• Lesen der defekten Blocke und Korrektur “per Hand”
• Interpolation der defekten Blocke falls nicht mehrrekonstruierbar (idR. nur bei Audio und Video)
Tools
• Testen mit mehreren Tools/Laufwerken sinnvoll
• Recover Disk,CD Recovery Toolbox, . . .20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Optische Speichermedien
Compact Disk
Softwarelosungen
Zur Funktionsweise der Softwarelosungen konnten leider keine Quellen
gefunden werden, insofern handelt es sich hier um eine Annahme zur
Funktionsweise. Letztendlich heisst das, dass die Daten von der CD auf
einem moglichst niedrigem Level ausgelesen werden (z.B. mit ddrescue)
und dann mit den bereits bekannten Methoden zur Recovery weiter
verarbeitet werden konnen. Hierfur lasst sich dann der Reed-Solomon
Code und weitere Informationen wie der Dateiname etc. nutzen.
![Page 26: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/26.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Compact Disk
Loschen von Daten auf der CD-RW
schnelles Loschen
• Nur Inhaltsverzeichnis (TOC) geloscht
• Daten sind potentiell wiederherstellbar
normales Loschen
• komplette CD geloscht
• Daten nicht wiederherstellbar
15 / 52
![Page 27: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/27.jpg)
Loschen von Daten auf der CD-RW
schnelles Loschen
• Nur Inhaltsverzeichnis (TOC) geloscht
• Daten sind potentiell wiederherstellbar
normales Loschen
• komplette CD geloscht
• Daten nicht wiederherstellbar
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Optische Speichermedien
Compact Disk
Loschen von Daten auf der CD-RW
Unter Vorbehalt, keine Quellen gefunden die Verfahren aufzeigen, umschnell-geloschte CD-RW Medien wieder herzustellen. Jedoch sind dieDaten definitiv noch auf dem Medium vorhanden, d.h. wahrscheinlichdurch irgendwelche Verfahren auch wieder herstellbar. Fur das normaleLoschen wird allgemein angenommen, dass die Daten nicht wiederausgelesen werden konnen. Allerdings sind auch hierfur keine Quellen miteindeutiger Aussage gefunden worden.Zum sicheren Loschen von CD’s bzw. CD-RW’s wird vom NIST(National Institute of Standards and Technology) empfohlen:
• Pulverisieren oder
• Shreddern
![Page 28: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/28.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Compact Disk
Zusammenfassung Compact Disk
• Daten konnen von defekten CD’s wieder hergestellt werden
• gute eingebaute Fehlererkennung und Korrektur
• Hausmittel haben gute Erfolgswahrscheinlichkeiten
• professionelle Datenrettung erschwinglich
• zum sicheren Loschen CD shreddern oder verbrennen
• Pravention: Backup, bessere Rohlinge
16 / 52
![Page 29: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/29.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Hardwaredefekt
Beschadigungen
• Gehause (insbesondere Stecker) beschadigt
• Disk beschadigt
• Controller beschadigt
Losungen
Bauteiletausch: defekten Controller austauschen, Gehauseaustauschen, . . .
17 / 52
![Page 30: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/30.jpg)
Hardwaredefekt
Beschadigungen
• Gehause (insbesondere Stecker) beschadigt
• Disk beschadigt
• Controller beschadigt
Losungen
Bauteiletausch: defekten Controller austauschen, Gehauseaustauschen, . . .
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Magnetische Speichermedien
Festplatte
Hardwaredefekt
Die vorgestellten Losungen sind nicht immer empfehlenswert, da sie
potentiell nicht einfach durchzufuhren sind. Je nach Wichtigkeit der
Daten auf dem Medium ist eine professionelle Recovery die bessere Wahl,
da sonst die Gefahr besteht, durch den Reparaturversuch die Disk weiter
zu beschadigen (z.B. durch Staub im Gehause oder Unwissen).
![Page 31: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/31.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Logische Defekte
Datenfehler
• Boot Sektor defekt ⇒ Boot Sektor neu schreiben
• Betriebsystem defekt ⇒ Recovery Funktion desBetriebssystems oder Herstellers, Neuinstallation
• Virenbefall ⇒ Integritat der Daten nicht mehr gewahrleistet
• unabsichtliches Loschen Dateien / Ordnern
• unabsichtliches Loschen von Partitionen• reversibel durch Recoverytechniken• Tools: parted, sleuthkit, photorec, testdisk
Im Folgenden
Am Beispiel von Dateisystem ext3, fur andere Dateisystemeahnliche Vorgehensweise
18 / 52
![Page 32: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/32.jpg)
Logische Defekte
Datenfehler
• Boot Sektor defekt ⇒ Boot Sektor neu schreiben
• Betriebsystem defekt ⇒ Recovery Funktion desBetriebssystems oder Herstellers, Neuinstallation
• Virenbefall ⇒ Integritat der Daten nicht mehr gewahrleistet
• unabsichtliches Loschen Dateien / Ordnern
• unabsichtliches Loschen von Partitionen• reversibel durch Recoverytechniken• Tools: parted, sleuthkit, photorec, testdisk
Im Folgenden
Am Beispiel von Dateisystem ext3, fur andere Dateisystemeahnliche Vorgehensweise
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Magnetische Speichermedien
Festplatte
Logische Defekte
Auch bei denn logischen Defekten ist eine Vorabeinschatzung des Nutzendes Aufwandes fur die Recovery zu treffen. So ist bei gangigenBetriebssystemen schnell der Bootsektor neu geschrieben undkonfiguriert, Recoverymassnahmen sind in der Regel uberflussig. Beieinem defekten Betriebssystem lasst sich meist nicht absehen, an welchenStellen / Dateien der Fehler auftritt. Wenn also Nutzer- undSystemdaten getrennt sind, bzw. ein Backup der Nutzerdaten erstelltwurde, ist es meist sinnvoller, eine neues, sauberes System zu installieren.
Das gleiche gilt bei Virenbefall, da die Integritat der Dateien nicht mehr
gewahrleistet ist. Um eine erneute Infektion auszuschliessen, sollte die
Wichtigkeit der Daten gegen eine Neuinstallation abgewagt werden.
![Page 33: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/33.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Dateisystem ext3
Generell
• Nachfolger von ext2
• Blockbasiertes Dateisystem
• unterstutzt Journaling
Journaling
• Konsistenzsicherung
• jedes Update als Transaktion
• gesamter Block wird ins Journal geschrieben
⇒ Bei Abbruch des Anderungsvorgangs kann die inkonsistenteStelle gefunden werden
19 / 52
![Page 34: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/34.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Aufbau ext3
20 / 52
![Page 35: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/35.jpg)
Aufbau ext3
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Magnetische Speichermedien
Festplatte
Aufbau ext3
• Superblock: Konfigurationsdaten (Anzahl Blocke pro Blockgruppe,Gesamtzahlblocke, Große reservierter Bereich)
• Blockgruppe: aufgeteilt in Gruppendeskriptor und Datenblocke
• Gruppentabelle: Verweise auf alle anderen Blockgruppen
• Block Bitmap: Belegtstatus der Datenblocke
• Inode Bitmap: Belegtstatus der Inodeblocke
• Inodes: Blocke mit Metainformationen zu den Datenblocken(Verzeichniseintrage, Dateinamen, etc.)
Moglichkeiten um Daten zu verstecken:
• Bootcode-Block (wird meist von Betriebssystemen nicht mehr genutzt)
• Res. Vereich, Superblock und seine Kopien
• ungenutze Datenblocke ⇒ Gefahr das Daten uberschrieben werden
• Block Bitmap editieren ⇒ Daten werden nicht uberschrieben und sindnicht in Verzeichnissstruktur eingebunden, somit nicht mit einfachenMitteln zu finden, aber durch Methoden des Data Carving
![Page 36: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/36.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Erstellen einer Datei
21 / 52
![Page 37: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/37.jpg)
Erstellen einer Datei
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Magnetische Speichermedien
Festplatte
Erstellen einer Datei
Die Datei /dir1/file1.dat soll erstellt werden.
Im Inode Table wird zu Zuordnung Inode - Block des Inodes gespeichert.
Um die Datei anzulegen werden die Verzeichniseintrage des
Root-Verzeichnisses nach dem Ordner dir1 durchsucht. Dieser Eintrag
beinhaltet die Nummer des Inodes, der die Metainformationen fur dieses
Verzeichnis verwaltet (4711). In den Verzeichniseintragen des Inodes
4711 wird dann die Datei hinzugefugt und ein neuer Inode zur
Verwaltung der Dateimetadaten der neuen Datei erstellt (1313). Dieser
Inode enthalt dann einen Verweis auf die Datenblocke, die angelegt
werden. In den Bitmaps werden die zugehorigen Eintrage der Datenblocke
und des Inodes auf 1 gesetzt.
![Page 38: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/38.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Loschen einer Datei
Verzeichniseintrage
• liegen in Datenblocken von Verzeichnissen
• bilden eine Liste (ext2) oder einen Baum (ext3)
• enthalten Dateiname und Verweis auf Indexknoten mit Daten
Loschen
• Dateigroße wird auf 0 gesetzt und alle Blockverweise geloscht
• Zeiger in linearer Liste bzw. Baum der Verzeichniseintragewird einfach weitergeschaltet
• kompletter Datenblock bleibt erhalten
⇒ Dateiname und Inodenummer noch vorhanden
22 / 52
![Page 39: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/39.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Loschen einer Datei (2)
23 / 52
![Page 40: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/40.jpg)
Loschen einer Datei (2)
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Magnetische Speichermedien
Festplatte
Loschen einer Datei (2)
Der Verweis auf den Inode 1313 wird aus dem Inode Table geloscht(genullt), der Zeiger in deem Baum der Verzeichniseintrage fur dasVerzeichnis /dir wird einfach weitergeschaltet. In den Bitmaps werden diezugehorigen Eintrage fur die Datenblocke des Dateiinhalts und des Inodes1313 auf 0 gesetzt. Also weiterhin vorhanden (aber dereferenziert) sind:
• der Inode 1313 mit den Metadaten zur Datei file1.dat
• die Datenblocke zur Datei
• der Verzeichniseintrag /dir1/file1.dat
![Page 41: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/41.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Loschen einer Datei (3)
Zustand
• Inode in Inode Bitmap als unbelegt markiert
• Datenblocke in Block Bitmap als unbelegt markiert
• Verweise auf Blocke genullt
• Loschzeitpunkt im Inode aktualisiert
24 / 52
![Page 42: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/42.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Zitat von Andreas Dilger, Entwickler von ext3
How can I recover (undelete) deleted files from my ext3partition?
“In order to ensure that ext3 can safely resume an unlink after acrash, it actually zeros out the block pointers in the inode, whereasext2 just marks these blocks as unused in the block bitmaps andmarks the inode as deleted and leaves the block pointers alone.”
25 / 52
![Page 43: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/43.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Wiederherstellen
Suche nach geloschtem Dateinamen
• gehe komplettes Verzeichnis durch
• Betrachtung der Zwischenraume zwischen den Eintragen
• ein kurzer Dateiname ist eher vorhanden als ein langerDateiname
Suche nach Blockverweisen
• Inodes mit korrekten Verweisen konnen noch im Journalstehen
• Vorgehen evtl. wiederholen
• Suche nach Inodes mit Loschzeitpunkt
Tool
• ext3grep26 / 52
![Page 44: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/44.jpg)
Wiederherstellen
Suche nach geloschtem Dateinamen
• gehe komplettes Verzeichnis durch
• Betrachtung der Zwischenraume zwischen den Eintragen
• ein kurzer Dateiname ist eher vorhanden als ein langerDateiname
Suche nach Blockverweisen
• Inodes mit korrekten Verweisen konnen noch im Journalstehen
• Vorgehen evtl. wiederholen
• Suche nach Inodes mit Loschzeitpunkt
Tool
• ext3grep
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Magnetische Speichermedien
Festplatte
Wiederherstellen
ext3grep: Mischansatz Data Carving und Consistency Checking
Das generelle Vorgehen ist abhangig vom konkreten Dateiystem und
dessen Belegungsstrategie.
![Page 45: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/45.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Wiederherstellen (2)
Problem
• Blocke bereits wieder uberschrieben
• Journal wieder uberschrieben
weitere Moglichkeiten
• aufgrund der Belegungstrategie liegen die Blocke einer Dateimeist in einer Blockgruppe
• evtl. weitere Blocke in der Blockgruppe als geloscht markiert
27 / 52
![Page 46: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/46.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Daten sicher geloscht durch Uberschreiben?
Zusammenfassung normales Loschen
• eigentliche Daten nicht geloscht
• nur Verweise auf Daten geloscht
Uberschreiben
praktizierter Ansatz: Blocke in mehreren Durchlaufen mitZufallsbits uberschreiben
nach Gutmann [Gut96]
Durch Ansatz “scanning transmission electron microscopy”uberschriebene Daten wiederherstellbar
28 / 52
![Page 47: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/47.jpg)
Daten sicher geloscht durch Uberschreiben?
Zusammenfassung normales Loschen
• eigentliche Daten nicht geloscht
• nur Verweise auf Daten geloscht
Uberschreiben
praktizierter Ansatz: Blocke in mehreren Durchlaufen mitZufallsbits uberschreiben
nach Gutmann [Gut96]
Durch Ansatz “scanning transmission electron microscopy”uberschriebene Daten wiederherstellbar2
00
9-0
1-1
4
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Magnetische Speichermedien
Festplatte
Daten sicher geloscht durch Uberschreiben?
Unter Unix: Tool shred zum Uberschreiben
![Page 48: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/48.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Loschen durch Uberschreiben (1)
“scanning transmission electron microscopy”
• Vorherige gespeicherte Bits hinterlassen elektromagnetischeFelder, die die neuen Felder uberlagern. Durch Auslesen desanalogen Signals und Berechnung der Differenz zumoptimalen digitalen Signal (selbstberechnet) kann dasvorherige Feld bestimmt werden ⇒ Wiederherstellung vonuberschriebenen Daten
• Keine praktische Verifikation fur Funktionalitat des Verfahrens
• Wissenschaft ist uber Theorie strittig
29 / 52
![Page 49: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/49.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Loschen durch Uberschreiben (2)
Tatsachen
• einmaliges Uberschreiben auf jedem Fall sinnvoll, da Datennicht geloscht werden
• aber: Uberschreiben auf Low-Level Ebene; aufDateisystemebene ist nicht garantiert, dass die eigentlichenBlocke uberschrieben werden
• durch Festplattencontroller werden defekte Sektoren fur denBenutzer nicht sichtbar versteckt ⇒ Abschalten dieserFunktionalitat
30 / 52
![Page 50: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/50.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Loschen durch Uberschreiben (3)
sicheres Loschen
• Tools uberschreiben Blocke mehrfach mit Zufallsbits
• nicht sicherer als einmaliges Uberschreiben mit Zufallsbitsnach einem bestimmten Muster um Felderdifferenzunbrauchbar zu machen [Gut96]
31 / 52
![Page 51: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/51.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Festplatte
Zusammenfassung Festplatten
Recovery Aspekte
• generell konnen Daten wiederhergestellt werden, aber:Zeitintensiv, Wissen erforderlich
• Erfolg kann nicht garantiert werden, bei zeitnaher Recoverywahrscheinlich
forensische Aspekte
• Daten hinterlassen Spuren auf der Festplatte
• Ruckschluss auf Benutzerverhalten moglich
Pravention
• Datensicherung (Recovery)
• Nutzung kryptographischer Ansatze (Forensik)• wichtige Dateien verschlusseln• Datentrager verschlusseln
32 / 52
![Page 52: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/52.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
Verwendung
NAND-Flash
• Datenspeicherung in USB-Flash Disks, digitalen Kameras etc.
NOR-Flash
• Speicherung und Ausfuhrung von Firmware
33 / 52
![Page 53: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/53.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
forensische Problematik
Problem
Nur lesender Zugriff auf Flash-Medien schwierig
• garbage collection
• wear levelling
Ansatze nach [BJK+07]
• forensisches Image erstellen• Herstellertools zum Auslesen der Chips / Gerate (Flasher
Tools)• Nutzen der JTAG-Schnittstelle anderer Hardware (z.B. des
Prozessors)• Physikalisches Auslesen des Chips
• Filesystemanalyse
• Anschliessend mit bekannten Methoden auswerten
34 / 52
![Page 54: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/54.jpg)
forensische Problematik
Problem
Nur lesender Zugriff auf Flash-Medien schwierig
• garbage collection
• wear levelling
Ansatze nach [BJK+07]
• forensisches Image erstellen• Herstellertools zum Auslesen der Chips / Gerate (Flasher
Tools)• Nutzen der JTAG-Schnittstelle anderer Hardware (z.B. des
Prozessors)• Physikalisches Auslesen des Chips
• Filesystemanalyse
• Anschliessend mit bekannten Methoden auswerten
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Elektronische Speichermedien
Flash
forensische Problematik
Die Algorithmen fur wear levelling und garbage collection sind in der
Regel nicht offentlich und somit ist nicht feststellbar, durch welche
Kriterien Operationen auf der Flashdisk ausgelost werden. Dies erschwert
den nur-lesenden Zugriff auf die Disk, was wichtig ist um die Beweiskette
aufrecht zu erhalten. Um diese Problematik zu losen werden 3 Ansatze
vorgestellt. Nach der erfolgreichen Erstellung der Imagedatei der
Flashdisk ist ein weiteres Problem zu losen: Das Mapping der
System-LBA zur Flash-Disk-LBA muss gelost werden (LBA = Logical
Byte Address, s. folgende Folien). Wenn diese beiden Schritte
abgeschlossen sind, kann das konvertierte Image mit den bekannten
Methoden ausgewertet werden. Zur Recovery (wo das Schreiben der
Daten zwar nicht egal ist, aber nicht generell unterdruckt werden muss)
existieren bereits Tools, die die Blocke des Flash-Dateisystems mit
Methoden des Data Carving durchsuchen.
![Page 55: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/55.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
Aufbau
35 / 52
![Page 56: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/56.jpg)
Aufbau
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Elektronische Speichermedien
Flash
Aufbau
spare-Area:
• Status des Blocks, der Page
• Error Correction Codes
• Mapping Informationen
• . . .
Loschprozess: Erase Block als geloscht markiert ⇒ wird vom garbage
collector erfasst, kompletter Block mit ’1’ gefullt. Der Zeitpunkt des
wirklichen Loschens ist somit nicht bekannt.
![Page 57: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/57.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
Warum ist lesender Zugriff schwierig?
36 / 52
![Page 58: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/58.jpg)
Warum ist lesender Zugriff schwierig?
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Elektronische Speichermedien
Flash
Warum ist lesender Zugriff schwierig?
• USB Flash Disk ubersetzt LBA des Systems zu einer anderen LBAauf der FlashDisk
• Mapping ist im Allgemeinen unbekannt, im Flash Memory abgelegt
• Problem: Auslesen physikalisch zusammenhangender Blocke nichtmoglich
![Page 59: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/59.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
Flasher Tools
Prinzip
• Hardware mit verschiedenen Adapter fur verschiedene Medien(Handys, Kameras, Kartenleser)
• Softwareschnittstelle zur Erstellung eines Images auf einanderes Medium (z.B. Festplatte)
Vorteil
• zu untersuchendes Medium kann einfach angeschlossen werden
Nachteile
• einige Tools bilden nicht den gesamten Flash-Speicher ab(z.B. ohne “spare-area”)
• es ist ungewiss, ob Schreiboperationen auf dem Mediumangestossen werden
37 / 52
![Page 60: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/60.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
JTAG Schnittstelle (1)
Prinzip
• Zugriff uber “JTAG test access port” (JTAG: Joint TestAction Group)
• Beim Zugriff uber den Prozessor (Extest Mode):• Nutzung eines Testlesebefehls, dem eine Adresse ubergeben
werden kann• Durch Wiederholung mit allen Adressen kann gesamtes
Medium ausgelesen werden
• weiterer Zugriff uber Debug Mode moglich (Prozessorenunterstutzen mehrere oder nur einen Modus)
38 / 52
![Page 61: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/61.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
JTAG Schnittstelle (2)
Vorteile
• keine Schreibzugriffe im Extest bzw. Debug Mode
• aber: Bis der Mode erreicht wird, konnen theoretischSchreibzugriffe angestossen werden
• Image kann erstellt werden, ohne Flash-Speicher von derPlatine zu losen
• komplettes forensisches Image inklusive “spare area” und “badblocks”
Nachteile
• langsame Kommunikation
• Finden der JTAG Zugriffstellen
• nicht jede Hardware unterstutzt JTAG
39 / 52
![Page 62: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/62.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
Physikalisches Auslesen
Prinzip
• Auslosen des Flash-Chips aus der Platine
• Chip mit “flash memory chip programmer” / “reader”auslesen
Vorteile
• kein Schreibzugriff, da kein Strom
• defekte Systeme konnen ausgelesen werden
• komplettes forensisches Image
Nachteile
• Schwieriges Auslosen des Chips
• Hardware evtl. beschadigt
• Gefahr den Chip selbst zu zerstoren40 / 52
![Page 63: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/63.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
Filesystemanalyse (1)
Fragestellung
Image vorhanden, doch wie ist die Zuordnung der physikalischenAdressen zu den logischen Blocken?
Probleme
• Zuordnung unterschiedlich
• Verwendbarkeit des Images• bad blocks
41 / 52
![Page 64: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/64.jpg)
Filesystemanalyse (1)
Fragestellung
Image vorhanden, doch wie ist die Zuordnung der physikalischenAdressen zu den logischen Blocken?
Probleme
• Zuordnung unterschiedlich
• Verwendbarkeit des Images• bad blocks
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Elektronische Speichermedien
Flash
Filesystemanalyse (1)
Um das Mapping der Adressen zu bestimmen, muss das komplette Image
inkusive bad blocks vorliegen, da ansonsten Verschiebungen stattfinden.
![Page 65: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/65.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
Filesystemanalyse (2)
USB Memory Sticks
• NAND-Speicher
• meist kein wear-leveling
• dann Blockgroße des Flash-Dateisystems = Erase-Block Große
• Erase-Block Großen: 16 kByte, 128 kByte
• Page Großen: 528 Byte, 2112 Byte
Konvertierung des Images zu Filesystem
1 Granularitat des Flash Dateisystems?
2 Wo sind die Metadaten?
3 Wie konnen die Metadaten interpretiert werden?
42 / 52
![Page 66: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/66.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
Filesystemanalyse (3)
Smart media flash file system
• Beispiel zur Speicherung eines FAT-Clusters in einem FlashSpeicher
• “End Of Life”
• Zuordnung FAT-Cluster - Erase-Block
• Informationen hierzu in den Metadaten in der spare-Area furjede Page
Konvertierung eines Smart media flash Filesystems
• Sortierung der Erase-Blocke nach ihrer logischen BlockNummer (innerhalb jeder Zone)
• Bei jeder Page die spare-Area abschneiden
43 / 52
![Page 67: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/67.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
Filesystemanalyse (4)
Unbekanntes Dateisystem
• Reverse-Engineering
• Auswertung der Metadaten in den spare-Areas
• je nach Granularitat: Page/Erase-Block
• Suche nach identischen Blocken in den Metadaten, dieCounter innerhalb einer Zone indizieren (Blocknummer)
Mobiltelefone
• neue Problematik: nicht alle Pages werden fur Dateisystemgenutzt
• z.B. Nutzung einzelner Abschnitte zur Speicherung /Ausfuhrung von Firmware
• wieder andere Vorgehensweise [BJK+07]
44 / 52
![Page 68: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/68.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Flash
Zusammenfassung Flash
Komplexitat
• liegt (noch) in der Interpretation des physikalischen Speichers
• wird im Laufe der Zeit aber besser erforscht / dokumentiertsein
• momentan kaum Moglichkeiten fur Privatanwender, Datenwiederherzustellen
Zusammenfassung
• forensische Methoden weiterhin anwendbar
• Daten und Nutzerverhalten kann rekonstruiert werden
• garbage collection und wear leveling bringen zusatzlicheKomplexitat
• keine Aussage daruber, wann Daten wirklich geloscht werden
45 / 52
![Page 69: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/69.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
DRAM
Dynamic Random Access Memory
Verwendung
• Schneller elektronischer Speicher
• Verwendung z.B. als Arbeitsspeicher im PC
• muss in kurzen Zeitabstanden aufgrund von Leckstromenelektronisch “aufgefrischt” werden, um Daten zu erhalten
Motivation Recovery
• eigentlich kein Szenario vorstellbar
• aber: forensischer Nutzen
• Passworter, Schlussel und andere geheime Informationen imArbeitsspeicher abgelegt
46 / 52
![Page 70: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/70.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
DRAM
forensische Methoden DRAM (1)
Szenario Cold-Boot-Attack [HSH+08]
• DRAM bis zu einigen Sekunden nach Abschalten noch lesbar(bei Raumtemperatur)
• bei entsprechender Kuhlung bis zu mehreren Minuten /einzelnen Stunden haltbar (-50 Grad)
• 2. Betriebssystem booten (Coldboot) und Image des Speicherserstellen
• Alternativ: RAM kuhlen, dann ausbauen und spezielleHardware zum Auslesen nutzen
• beide Methoden einfach durchfuhrbar, benotigen aberphysikalischen Zugang zum Rechner
• auch bei Rechnern im Hibernate- oder Sleep-Modus moglich
47 / 52
![Page 71: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/71.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
DRAM
forensische Methoden DRAM (2)
Nutzen
• Auslesen von Betriebssystempasswortern (Mac OS X)
• RSA-Schlussel auslesen (Apache)
• Key fur verschlusselte Dateisysteme auslesen
48 / 52
![Page 72: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/72.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
DRAM
Warum bleiben Speicherzellen ohne Refresh erhalten?
Leckstrome
• treten im Kondensator auf
• Elektronensprunge zwischen den beiden dotierten Schichten
• werden im Betrieb durch Refresh kompensiert (32-64 ms,herstellerabhangig)
• temperaturabhangig
Eigenschaften DRAM
• ohne Refresh der Speicherzellen nicht mehr erkennbar welchesBit gespeichert wurde
• bei niedriger Temperatur mit geringer Fehlerrate auch nachMinuten noch auslesbar
49 / 52
![Page 73: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/73.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
DRAM
DRAM-Chip im Laptop
Abbildung: http://www.bizzntech.com/2008/02/24/freeze-memory-chips-steal-encrypted-data
50 / 52
![Page 74: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/74.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
DRAM
Gegenmaßnahmen
nach [HSH+08]
• Memory Scrubbing
• Bootmedien einschranken
• Suspend-Modus optimieren
• Hardware unzuganglich machen
• Verschlusselung im Disk-Controller
51 / 52
![Page 75: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/75.jpg)
Gegenmaßnahmen
nach [HSH+08]
• Memory Scrubbing
• Bootmedien einschranken
• Suspend-Modus optimieren
• Hardware unzuganglich machen
• Verschlusselung im Disk-Controller
20
09
-01
-14
Data-Recovery und forensische Methoden zur Wiederherstellungvon Daten
Elektronische Speichermedien
DRAM
Gegenmaßnahmen
• Memory Scrubbing: Daten im RAM uberschreiben, sobald nichtmehr benotigt
• Bootmedien einschranken: reversibel
• Suspend-Modus optimieren: RAM-Inhalt sichern, z.B.Bildschirmsperre lasst Hauptspeicher unverandert, Suspend-Moduskopiert Arbeitsspeicher auf Festplatte
• Hardware unzuganglich machen: RAM-Riegel kann nichtausgebaut oder gekuhlt werden, Sensoren zum Schutz
• Verschlusselung im Disk-Controller: Write-Only-Memory imDiskcontroller, Key wird in den Speicher geschrieben und mitdiesem Key verschlusselt bzw. entschlusselt bei jeder Schreib- oderLeseoperation der Festplatte. Dieser Speicher muss dann naturlichvom Diskcontroller gelesen werden, insofern verschiebt sich nur derAngriffspunkt.
![Page 76: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/76.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Zusammenfassung
• geloschte Daten wiederherstellbar
• fur Festplatten und CD’s viele Tools vorhanden
• Erfolgswahrscheinlichkeit abhangig vom Recoveryzeitpunkt
• einfacher: Pravention
• Datenverschlusselung ist sinnvoll, aber auch angreifbar
52 / 52
![Page 77: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/77.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Breeuwsma, Marcel ; Jongh, Martien de ; Klaver, Coert ;Knijff, Ronald van d. ; Roeloffs, Mark:Forensic Data Recovery from Flash Memory.In: Small Scale Digital Device Forensics Journal (2007), Juni.http://www.ssddfj.org/papers/SSDDFJ_V1_1_Breeuwsma_et_al.pdf
Carrier, Brian:Why Recovering a Deleted Ext3 File Is Difficult... /linux.sys-con.com.
Version: August 2005.http://linux.sys-con.com/node/117909.2005. –Forschungsbericht
community, Ubuntu:DataRecovery / www.ubuntu.com.
Version: 2009.52 / 52
![Page 78: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/78.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
https://help.ubuntu.com/community/DataRecovery.2009. –Forschungsbericht
Freiling, Prof. Dr. F.:Computerforensik Vorlesung / Hochschule Mannheim -Lehrstuhl fur praktische Informatik 1.
Version: 2007.http://pi1.informatik.uni-mannheim.de.2007. –Forschungsbericht
Getchell, Abe:Data Recovery on Linux and ext3 / www.securityfocus.com.
Version: August 2008.http://www.securityfocus.com/infocus/1902/2.2008. –Forschungsbericht
52 / 52
![Page 79: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/79.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Gutmann, Peter:Secure Deletion of Data from Magnetic and Solid-StateMemory.In: Sixth USENIX Security Symposium Proceedings (1996),Juli.http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html
Halderman, J. A. ; Schoen, Seth D. ; Heninger, Nadia ;Clarkson, William ; Paul, William ; Calandrino,Joseph A. ; Feldman, Ariel J. ; Appelbaum, Jacob ;Felten, Edward W.:Lest We Remember: Cold Boot Attacks on Encryption Keys.In: USENIX Security Symposium (2008), Februar.http://citp.princeton.edu.nyud.net/pub/coldboot.pdf
Online, Welt:
52 / 52
![Page 80: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/80.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
Militarische Zugangscodes bei EBAY versteigert.In: www.welt.de http://www.welt.de/webwelt/article1155141/Militaerische_Zugangscodes_bei_Ebay_versteigert.html
Unknown:Recover Deleted Files with Foremost,scalpel in Ubuntu /www.ubuntugeek.com.
Version: September 2008.http://www.ubuntugeek.com/recover-deleted-files-with-foremostscalpel-in-ubuntu.html.2008. –Forschungsbericht. –User Post
Various:Data recovery.
52 / 52
![Page 81: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/81.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
In: Wikipedia.org (2008).http://en.wikipedia.org/wiki/Data_recovery
Various:Gutmann method.In: Wikipedia.org (2008).http://en.wikipedia.org/wiki/Gutmann_method
Various:Reed–Solomon error correction.In: Wikipedia.org (2009).http://en.wikipedia.org/wiki/Reed\OT1\textendashSolomon_error_correction
Wood, Carlo:Howto recover deleted files on an ext3 file system /www.xs4all.nl.
Version: Marz 2008.
52 / 52
![Page 82: Data-Recovery und forensische Methoden zur Wiederherstellung … · 2018-04-17 · Data-Recovery und forensische Methoden zur Wiederherstellung von Daten Optische Speichermedien Compact](https://reader030.fdocuments.net/reader030/viewer/2022040808/5e4d242f6da9cb1ef5310ac8/html5/thumbnails/82.jpg)
Motivation Vorgehensweise Optische Speichermedien Magnetische Speichermedien Elektronische Speichermedien Zusammenfassung Literatur
http://www.xs4all.nl/~carlo17/howto/undelete_ext3.html.
2008. –Forschungsbericht
52 / 52