Wenn man in die Verlegenheit kommt, ein angeschaltetes System zu analysieren, auf das man keinen root-Zugriff hat und auch keine weiteren forensischen Werkzeuge draufbügeln kann, muss man sich mit Tricks behelfen, um z. B. eine Zeitleiste der Dateisystemaktivitäten zu erstellen.
Für eine Analyse habe ich letztens dieses Kommando für die Kommandozeile mit find gebastelt, das ein sog. Body File für The Sleuth Kit erstellt.
| |
Der Befehl holt sich dabei die Zeitstempel atime, mtime und ctime für alle Dateien, auf die der Nutzeraccount Zugriff hat. Gelöschte Dateien und Dateien, auf die man nicht zugreifen kann, bleiben also in der Zeitleiste unsichtbar.
Wenn man nun, z. B. auf ein entferntes System per SSH zugreift, möchte man nicht erst eine Datei auf dem Server ablegen. Dafür kann man einfach folgendes ausführen:
| |
Das Body File kann man dann im Nachgang einfach in eine Zeitleiste umwandeln:
| |