From the course: Computer-Forensik lernen
Mounting verstehen
From the course: Computer-Forensik lernen
Mounting verstehen
Mounting nennt man den Prozess, mit dem das Betriebssystem eine Partition einbindet und für den Nutzer benutzbar macht. Dies ist für digitale Forensiker wichtig, da auch Image-Files gemountet werden müssen, damit man diese analysieren können. Schauen wir uns so einen Mounting-Vorgang an. Ich habe dafür Kali gestartet. Damit wir damit besser arbeiten können, stellen wir die Tastatur mal auf das deutsche Tastaturlayout um. Als Nächstes können wir mal betrachten, welche Block-Devices, also Festplatten, USB-Sticks und ähnliche Geräte verbunden sind. Wir sehen, da ist eine Festplatte verbunden, das ist die Hauptdisk, und dann unser USB-Stick. Als Nächstes können wir uns anschauen, welche Geräte gemountet sind. Da sehen wir, dass die Festplatte zwar gemountet ist, aber nicht der USB-Stick. Es liegt daran, dass Kali das nicht sofort mountet. Wir könnten es natürlich jetzt mit einem Rechtsklick mounten, wir wollen aber ein paar Parameter mitgeben, zum Beispiel dass nur "read only" gemounted wird und daher verwenden wir die Kommandozeile. Bevor wir das machen, müssen wir noch einen Mountpoint erstellen. Das heißt, hinter dem wir dann auf diese Partition zugreifen können. Ich nehme hier /media/usb_evidence. Das Ganze müssen wir noch als Administrator ausführen, deswegen müssen wir hier "sudo" davor fügen. Wann immer wir sudo verwenden, läuft der Befehl als Root oder als Administrator für die Windows-Welt. Als Nächstes verwenden wir den Befehl "mount", um die Festplatte einzubinden, mit den Optionen "ro" (read only). Als Loopback Device nehmen wir dann das Device, das wir vorher oben bei den Block-Devices gesehen haben, "sdb1" und mounten es auf unseren Punkt: "usb_evidence". Keine Fehler bekommen. Können das jetzt auch verwenden. Wenn wir jetzt schauen wollen, ob das auch mit dem "read only" gut funktioniert hat, habe ich ein Test-File schon vorbereitet: "test.txt". Können dort schauen, was passiert, wenn ich versuche, dieses auf das Device zu kopieren, und hier sieht man, man kann nicht drauf kopieren, weil es nur als "Read-only file system" gemountet ist. Wenn wir das wieder unmounten wollen, dann schauen wir uns hier wieder an, als was es gelistet ist. Wir sehen jetzt das Loopback Device 0. Das heißt, "sudo umount" -- wichtig "umount" und nicht "unmount" -- und geben dann das Device ein: "loop0" und haben es erfolgreich ungemountet. Wie gesagt, wenn man das für forensische Zwecke verwendet, bitte immer einen Rat-Blocker dazwischen stellen, weil oftmals das Betriebssystem, sobald man den USB-Stick ansteckt, versucht den USB-Stick einzubinden oder schon auf den USB-Stick zugreift, und Dinge verändert, was bei forensischen Untersuchungen natürlich nicht passieren sollte. Im nächsten Video zeige ich Ihnen dann, wie man das Ganze auch mit einem Image-File machen kann, was der übliche Vorgang der forensischen Untersuchungen ist.
Practice while you learn with exercise files
Download the files the instructor uses to teach the course. Follow along and learn by watching, listening and practicing.
Download courses and learn on the go
Watch courses on your mobile device without an internet connection. Download courses using your iOS or Android LinkedIn Learning app.