AA_mirror_thoursie_freeimages_762271.jpg

© Thoursie, Freeimages.com

Mit Guymager Abbilder von Festplatten anlegen

Im Ganzen gespiegelt

Hat sich ein Schädling im System eingenistet, dann gilt es, Beweise zu sichern. Mit Guymager erstellen Sie verifizierte Abbilder von Datenträgern.

Programme zur forensischen Datensicherung kommen überall dort zum Einsatz, wo eine Analyse am originalen Speichermedium nicht ratsam ist, weil diese eventuell Strukturen verändert. Möchten Sie ein Speichermedium als Beweis oder zum Nachweis von Schadsoftware duplizieren, um an der Kopie zu arbeiten, gilt es, ein originalgetreues Duplikat anzufertigen. Außerdem muss es möglich sein, dieses als solches zu verifizieren.

Software zum Anfertigen eines herkömmlichen Images eignet sich für ein solches Unterfangen in der Regel nicht, weil schlicht die Möglichkeiten zum Verifizieren fehlen. Hier springt das Tool Guymager [1] in die Bresche, das nicht nur flugs Images anfertigt, sondern gleichzeitig den Nachweis identischer Datenstrukturen erbringt.

Auf die Platte

Guymager befindet sich bei Debian und Ubuntu sowie deren Derivaten bereits in den Repositories. Für OpenSuse [2] und Fedora [3] erhalten Sie Pakete online. Zusätzlich enthalten auch einige Live-Distributionen wie Deft- oder Kali-Linux das Tool. Für alle anderen Systeme bleibt nur der Griff zum Quellcode. Diesen mitsamt einer detaillierten Anleitung zum Bau der Software finden Sie auf der Webseite des Projekts.

Image

Nach einem Klick auf den Starter fragt das Programm zunächst das Passwort ab, um sich Administratorrechte zu verschaffen. Anschließend öffnet sich ein übersichtliches Fenster (Abbildung 1).

Abbildung 1: Die Oberfläche der Software stellt einige Informationen zu den Datenträgern im System bereit, gibt aber auf den ersten Blick keine Hinweise, wie sich ein Abbild erstellen lässt.

Das Programm scannt dabei bereits das System nach Massenspeichern. Es berücksichtigt sowohl interne als auch externe Datenträger, wobei optische Laufwerke nur dann in der Liste auftauchen, wenn sich ein Medium in ihnen befindet. Dass die Software die einzelnen Laufwerke zusätzlich zum Namen der Gerätedatei mit Modellnamen anzeigt, erleichtert die Auswahl.

Um ein Image zu erzeugen, klicken Sie zunächst auf das gewünschte Quellmedium in der Liste. Anschließend wählen Sie im Kontextmenü die Option Image-Datei erstellen. Nun öffnet sich ein Eingabefenster mit sehr detaillierten Einstellmöglichkeiten (Abbildung 2).

Abbildung 2: Der Dialog zum Erstellen des Abbilds bietet zahlreiche Parameter, über die Sie das Anlegen des Images und eventueller Prüfsummen detailliert steuern.

Im Bereich Dateiformat geben Sie zunächst an, in welchem Format Sie das Image anlegen möchten. Die Applikation gibt hier EWF vor, wie es professionelle forensische Anwendungen verwenden. Alternativ bietet Guymager an, ein dem Tool dd entsprechendes Image anzulegen.

Sofern Sie das Format EWF beibehalten, können Sie zusätzliche Angaben wie Asservatennummer, Fallnummer, Bearbeiter und eine Beschreibung hinterlegen. Bei Einsatz von dd deaktiviert die Software diese Felder, da die Syntax des Kommandozeilentools solche Metadaten nicht unterstützt.

Je nach Größe der Quelldaten und des Zieldatenträgers kann es helfen, das Image in einzelne Teile zu splitten. In diesem Fall geben Sie oben rechts im Fenster eine Größe im Feld Image splitten an. Bei Einsatz des Formats EWF stellt die Software an dieser Stelle automatisch einen Wert ein. Beim Sichern mithilfe von dd besteht die Möglichkeit, das Häkchen vor Image splitten zu entfernen und so ein Abbild in einem Rutsch zu erstellen.

In der Gruppe Ziel mittig im Fenster geben Sie neben dem Pfad zum Speichern des Images und dessen Namen eine Bezeichnung für die automatisch generierte Infodatei an. Diese enthält in Form von Text eine genaue Dokumentation der Arbeitsschritte, die zum Anlegen des Images nötig waren.

Beachten Sie bitte, dass bestimmte Zeichen wie Binde- oder Unterstriche nicht im Namen der Infodatei vorkommen dürfen. Guymager zeigt in solchen Fällen einen Hinweis an, ändert den Dateinamen aber zusätzlich eigenständig ab. Die Datei mit den Infos erhält üblicherweise den gleichen Namen wie das Image, wobei die Software jedoch automatisch das Suffix .info vergibt, um einer möglichen Verwechslung vorzubeugen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 3 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Forensik-Distribution Caine 2.0
    Caine 2.0 ist ganz auf den Einsatz in der IT-Forensik zugeschnitten. Es enthält zahlreiche Werkzeuge, um zum Beispiel gelöschte Daten aufzuspüren.
  • Deft Linux 7.1

    Deft Linux, eine Ubuntu-basierte Live-DVD mit Tools für IT-Forensik und Penetration Tests, ist in Version 7.1 verfügbar.
  • ISO-Images erzeugen und bearbeiten
    Um ISO-Images zu erzeugen und zu bearbeiten, braucht man spezielle Tools. AcetoneISO bietet dabei Funktionen, die sogar das Bearbeiten von Multimedia-Dateien ermöglichen.
  • Echte und virtuelle Partitionen grafisch verwalten
    Emount erleichtert mit seiner intuitiven grafischen Benutzeroberfläche das Erstellen und Verwalten auch verschlüsselter Partitionen und Images.
  • Rettungsring
    Auch optische Speichermedien unterliegen einem Verschleiß. Mithilfe von Dvdisaster beugen Sie mit überschaubarem Aufwand Datenverlusten durch defekte CDs, DVDs oder Blu-rays vor.
Kommentare

Infos zur Publikation

LU 05/2017: Linux unterwegs

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Knoppix-Live-CD (8.0 LU-Edition) im Uefiboot?
Thomas Weiss, 26.04.2017 20:38, 0 Antworten
Hallo, Da mein Rechner unter Windows 8.1/64Bit ein Soundproblem hat und ich abklären wollte, o...
Grub2 reparieren
Brain Stuff, 26.04.2017 02:04, 5 Antworten
Ein Windows Update hat mir Grub zerschossen ... der Computer startet nicht mehr mit Grub, sondern...
Linux open suse 2,8
Wolfgang Gerhard Zeidler, 18.04.2017 09:17, 2 Antworten
Hallo.bitte um Hilfe bei. Code fuer den Rescue-login open suse2.8 Mfg Yvo
grep und sed , gleicher Regulärer Ausdruck , sed mit falschem Ergebnis.
Josef Federl, 15.04.2017 00:23, 1 Antworten
Daten: dlfkjgkldgjldfgl55.55klsdjfl jfjfjfj8.22fdgddfg {"id":"1","name":"Phase L1","unit":"A",...
IP Cams aufzeichnen?
Bibliothek der Technischen Hochschule Mittelhessen / Giessen, 07.04.2017 09:25, 7 Antworten
Hallo, da nun des öfteren bei uns in der Nachbarschaft eingebrochen wird, würde ich gern mein...