Neue Windows-Kompression erschwert forensische Ermittlung

Owned by Carsten Rehberg
May 10, 2017
2 min read

Grund

Windows 10 hat eine neue Form der dateibasirten Kompression namens "Compact OS" eingeführt, welches derzeit von den klassischen Forensik-Tools nicht gelesen werden kann.

Problem

Standardmäßig wird die Kompressiuon nur genutzt, wenn das System auf einer SSD installiert wird. Angreiger können jedoch gezielt einzelne Dateien mit der neuen Kompressionsmethode komprimieren. Dazu zählen natürlich auch Schadprogramme. Das geschieht etwa mit dem Befehl

compact /c /exe <dateiname>

Unter Windows 10 lässt sich die Datei ohne Probleme ansehen und ändern. Andere (externe) Filesysteme können damit allerdings nicht umgehen. Dieses wurde von Heise getestet, die Ergebnisse finden Sie im Artikel im beigefügtem Permalink.

Getestet wurde unter anderem die Carving-Funktionalität, bei der eine Datei zuerst komprimiert und dann gelöscht wurde. Die Datenwiederherstellung hat mit keinem Produkt funktioniert. Untersucht wurden dabei die Tools Magnet Forensic Axiom, Belkasoft Evidence Center, X-Ways Forensics, EnCase, Autopsy (Sleuthkit) und Blacklight in den jeweiligen aktuellen Versionen.

Tipps für die Analyse

Für einen ersten Überblick kann man nach "ReparsePoints" oder "SparseFiles" oder nach den Alternate Data Streams "WofCompressedObjects" suchen. Die gefundenen Dateien muss man derzeit manuell überprüfen bzw. bearbeiten.

Dabei können zum Beispiel die gefundenen Dateien in ein Windows-10 gemountetes E01-Image in eine leere Partition kopieren und ein "Logical Evidence File" erstellen. Tests haben gezeigt, dass die Dateien beim Kopieren transparent entpackt werden. Bitte achten Sie jedoch drauf, dass die Metadaten der kopierten Dateien unverändert für die Kopien übernommen werden.

Dies wird sich derzeit aufgrund des fehlenden Carvings auf nicht gelöschte Dateien beschränken müssen. Eine Anpassung der Forensik-Tools an die neue Komprimierung wird aber hoffentlich diesen Nachteil bald wettmachen.

Den vollständigen Artikel finden Sie in der Quelle auf Heise.

(Quelle: Heise Security vom 13.04.2017 7:00 Uhr - Heiko Rittelmeier)

Forensik-Tools patzen bei neuer Windows-Kompression (Heise Security, 13.04.2017 - Heiko Rittelmeier)