Titelaufnahme

Titel
Btrfs filesystem forensics / von Andreas Juch
VerfasserJuch, Andreas
Begutachter / BegutachterinWeippl, Edgar ; Mulazzani, Martin
Erschienen2014
UmfangX, 94 S.
HochschulschriftWien, Techn. Univ., Dipl.-Arb., 2014
Anmerkung
Zsfassung in dt. Sprache. - Literaturverz. S. 65 - 67
SpracheEnglisch
DokumenttypDiplomarbeit
Schlagwörter (EN)Digital Forensics / File System Forensics / Btrfs / Sleuthkit
URNurn:nbn:at:at-ubtuw:1-68261 Persistent Identifier (URN)
Zugriffsbeschränkung
 Das Werk ist frei verfügbar
Dateien
Btrfs filesystem forensics [0.58 mb]
Links
Nachweis
Klassifikation
Zusammenfassung (Deutsch)

Btrfs (B-tree file system) ist ein ständig weiterentwickeltes, neues Dateisystem für Linux mit fortschrittlichen Funktionen, die derzeit von keinem existierenden Linux-Dateisystem abgedeckt werden. Es unterstützt Snapshots, Subvolumes, hat sein eigenes Volume-Management und verwendet weitgehend Prüfsummen. Der Kontext dieser Arbeit liegt in der Digitalen Forensik und das Ziel der Arbeit ist die Entwicklung neuartiger forensischer Methoden um Daten aus Dateisystemen zu extrahieren, die im Rahmen forensischer Ermittlungen sichergestellt wurden. Diese Arbeit definiert sechs verschiedene Artefakte die aus den Dateisystemdaten extrahiert werden sollen. Diese Artefakte sind unter den wichtigsten Daten, an denen ein forensicher Ermittler während einer Analyse interessiert ist. Diese Artefakte beinhalten unter anderem die Metadaten von Dateien und den Inhalt gelöschter Dateien. Die Hauptfrage dieser Arbeit ist inwiefern diese Artefakte aus den Dateisystemdaten extrahiert werden können und warum. Um diese Frage zu beantworden, wird zunächst eine eingehende Literaturrecherche und reverse-engineering des Btrfs Dateisystemformats - welches nicht im für diese Arbeit benötigten Ausmaß wissenschaftlich dokumentiert ist - durchgeführt. Anschließend werden die gefundenen Datenstrukturen analysiert um forensische Methoden spezifizieren zu können, die die oben genannten Artefakte extrahieren können. Diese forensischen Methoden werden dann im de-facto wichtigsten forensischen Open Source Toolkit "The Sleuthkit" implementiert. Dies ermöglicht sowohl die Evaluierung der forensischen Methoden als auch die forensische Analyse von Btrfs Dateisystemen im Rahmen von Ermittlungen, was vorher auf Grund der fehlenden Werkzeuge nicht möglich war. Die Ergebnisse zeigen, dass von den sechs Artefakten fünf auf Grund von explizit vorhandenen Daten gefunden werden können, was zu einem vollständigen Ergebnis führt. Das letzte Artefakt, die Inhalte von gelöschten Dateien, wird auf Basis von Heuristiken extrahiert, da die Daten unvollständig sind. Die Ergebnisse zeigen aber, dass das in der Praxis trotzdem zu guten Resultaten führt.

Zusammenfassung (Englisch)

The Btrfs (B-tree file system) is a steadily evolving new filesystem for Linux with advanced features not covered by existing filesystems in Linux. It brings new features such as snapshots, subvolumes, it's own volume management and uses checksums extensively. The context of this thesis lies in the field of Digital Forensics and is aimed at the development of novel forensic methods to extract data from forensic filesystems collected during an investigation. This thesis therefore defines six distinct artifact types that shall be retrieved from such filesystem images. These artifacts are believed to be among the most important data an investingator typically wants to extract during an investigation. These artifacts cover - among others - the metadata of files and the contents of deleted files. The main question to answer is to what extent the individual artifacts can be recovered from the filesystem data and why this is the case. This question is answered after performing an extensive literature research as well as reverse-engineering the Btrfs disk format, which has not yet been covered in detail by the scientific community to an extent that is required by this thesis. After this process an analysis of the data structures was conducted with the goal of describing them well enough to specify the actual forensic methods suitable to extract the desired artifacts. These forensic methods are later implemented in the de-facto Open Source standard forensics toolkit "The Sleuthkit". This makes it possible to evaluate the methods using test filesystem images. Besides serving the purpose of evaluating the forensic methods, the implementation enables forensic investigators to perform forensic analysis of Btrfs filesystems, which was not possible before due to the lack of tool support. The results show that five out of the total six artifacts can be extracted by using existing Btrfs filesystem data, thus getting a complete result based on the data. The last artifact, namely the contents of deleted files, are extracted based on heuristics due to incomplete data. The evaluation and related literature shows that in practice this also yields good results.