Die Kombination aus find und file ermöglicht eine Suche nach Dateien über Header Analyse. In der Forensik besteht häufig der Wunsch, image Files von virtuellen Betriebssystemen zu finden. Während images von xen, kvm, qemu und Virtualbox (linux-version) problemlos gefunden werden, liefern Virtualbox unter Microsoft und Virtual PC lediglich den unbekannten Typ data. Legt man folgende Zeilen in die Datei /etc/magic (nicht /usr/share/file/magic!), so werden auch diese Header mit passenden Erkennungstexten gefunden:

# Sun VirtualBox unter Microsoft
4 string Sun\ xVM\ VirtualBox Sun VirtualBox Microsoft
#
# Microsoft Virtual PC
0 string conectix Microsoft Virtual PC
>28 string vpc

Ein geeigneter Suchbefehl um nach Images zu suchen:

find . -type f -print0 | xargs -0 file | egrep -i –color ‘(VMware4|VMware3|Qemu Image|Sun VirtualBox|innotek Virtualbox|Microsoft Virtual PC|x86 boot sector)’

Images die im Expert Witness Format (EWF) vorliegen können mit mount_ewf unter Linux gemountet werden. Dazu muss libewf und mount_ewf installiert werden. Diese Programme befinden sich nicht im Debian Repository und müssen manuell installiert werden.

Bezugsquelle: http://www.uitwisselplatform.nl/projects/libewf

libewf kann über mein Repository bezogen werden. Dazu ist folgender Eintrag in /etc/apt/sources.list notwendig:

deb http://www.hpmerkel.com/debian/ ./

mit aptitude install libewf libewf-tools können die Programme (i386) dann installiert werden.

Howto zum Download: mount_ewf.pdf

Brian Carriers Sleuthkit arbeitet auf der Kommandozeile und findet bei “Maus-Schubsern” wenig Gegenliebe. Autopsie als GUI ist eher zäh zu bedienen. Seit Ende Mai 2008 ist nun das Open Source Projekt PTK verfügbar. Es baut auf Apache2, PHP5 und Mysql-Server 5 auf. PTK steht hier zum Download bereit.

Für Debian Anwender müssen noch Perl Module nachinstalliert werden:

aptitude install libdbd-mysql-perl libdbi-perl

Live Distributionen gibt es viele. Von Knoppix über Helix zu GRML, alle sind wertvolle Hilfsmittel im Bereich Administration, Backup, Recovery und Forensik. Nicht immer steht ein CD-ROM Laufwerk zur Verfügung, der Stick will auch nicht booten. Wie wäre ein Linux im Arbeitsspeicher, einfach über die Netzwerkkarte gestartet? PXE macht’s möglich. Dieser Artikel zeigt was zu tun ist: grml_pxe.pdf

Seit Version 8.04 liefert Edubuntu keinen “out-of-the-box” Terminalserver mehr aus. Die Serverfunktionen müssen manuell nachinstalliert werden. Am Beispiel unseres Projektes Linux4Afrika wird gezeigt, wie unsere Musterlösung aufgebaut ist. Hier die Dokumentation.

Der eeePC kann im BIOS auf PXE gestellt werden. Leider hängt sich der Bootvorgang bei Edubuntu 7.10 und 8.04 (Beta) auf. Ursache ist der fehlende Treiber atl2 in der Initial RAM Disk.
Dieser lässt sich aber nachträglich leicht einbinden:

chroot /opt/ltsp/i386
vim /etc/initramfs-tools/modules
Eine Zeile mit dem Eintrag atl2 hinzufügen
update-initramfs -k all -c
exit

Nun muss die initrd.img Datei von /opt/ltsp/i386 nach /var/lib/tftpboot kopiert werden:

cp /opt/ltsp/i386/boot/initrd.img-2.6.22-14-default /var/lib/tftpboot/ltsp/i386/

Der eeePC benötigt eine andere VGA Auflösung als die anderen clients. Deshalb spendiert man ihm über eine MAC Reservierung einen individuellen Wert:

In /var/lib/tftpboot/ltsp/i386 wird die Datei lts.conf erzeugt, wenn nicht schon vorhanden:

[00:1E:8C:AA:23:45]
X_MODE_0 = 1280*800
X_SERVER = intel

Die meisten Debian Installationen werden über CD/DVD durchgeführt. Ein USB-Stick kann diese Aufgabe aber auch erledigen. Dazu wird der Stick (hier sdb) zuerst mit cfdisk partitioniert:
cfdisk /dev/sdb
Es wird eine Partition (sdb1) mit FAT16 erstellt. Nun wird der Stick formatiert:
mkfs -t msdos /dev/sdb1
Vom Debian Repository wird boot.img.gz besorgt:
wget ftp://ftp2.de.debian.org/debian/dists/etch/main/installer-i386/current/images/hd-media/boot.img.gz
Das image wird auf den Stick übertragen:
zcat boot.img.gz > /dev/sdb1
Nun wird das ISO Image von netinst besorgt:
wget http://cdimage.debian.org/debian-cd/4.0_r2/i386/iso-cd/debian-40r2-i386-netinst.iso
Der Stick wird gemountet und das ISO Image wird kopiert:
mount /dev/sdb1
cp debian-40r2-i386-netinst.iso /mnt

Das wars! Nun kann Debian per USB Stick installiert werden.

Das Programm ewfacquire zum Erstellen von forensischen Images befindet sich im Paket libewf. Seit Dezember 2007 steht eine neue Beta Version zur Verfügung. Leider ist die Installation auf Debian basierten Systemen nicht ganz problemlos. Die folgenden Schritte sollten eine problemlose Installation ermöglichen. Getestet wurde unter Debian Etch und Ubuntu 7.10.

aptitude install libcrypto++-dev zlib1g-dev libssl-dev

Anschließend kann der tarball entpackt werden und mit ./configure make und make install installiert werden.

Will man nun ewfacquire testen, so erscheint folgende Fehlermeldung:

ewfacquire: error while loading shared libraries: libewf.so.1: cannot open shared object file:

Sucht man mit whereis nach der Library, so findet man diese in /usr/local/lib. echo $PATH zeigt jedoch, daß es keinen Pfad in dieses Verzeichnis gibt. Entweder fügt man diesen Pfad hinzu, oder man kopiert die Libraries von /usr/local/lib nach /lib. Anschließend kan man ewfacquire benutzen:

Grüße an Martin B.

Single point of authentication, einewünschenswerte Einrichtung in einem Netzwerk. Wie aber die Microsoft Clients in eine heterogene Landschaft einbeziehen, wenn die Server auf Linux Plattformen laufen? Das PDF zeigt, wie Samba und OpenLDAP auf einem Debian Etch Server als Domain Controller eingesetzt werden kann.
Howto
Server Konfigurationsdateien

Die Atheros PCI Karten (25-35 EUR) eignen sich hervorragend um normale und virtuelle Access Points für diverse Einsatzbereiche einzurichten. Dazu müssen hostapd und madwifi installiert werden. Unter Debian sieht die Konfigurationsdatei /etc/network/interfaces für 3 APs (open, wep und wpa) folgendermaßen aus:

Download PDF: atheros_ap.pdf