Liegt ein verstecktes System vor?

Tryndamere · 4 Juni 2016

Hallo Zusammen,

Ich habe hier ein geerbtes System vor mir. Das sollte ich nur checken ob irgendwelche interessanten Informationen und Daten draufliegen, bevor man die Kiste platt macht. Amüsanterweise bootete die Geschichte nicht durch. Es soll auch 'gesichert' geworden sein. Also Linux Live USB Stick rein und einmal angeschaut.

Vorab: Aktuell vermute ich, dass hier eine Straftat vorliegt und ich deswegen besonders behutsam mit dem System umgehen möchte, aber ich will vorher sicherstellen, dass ich mich nciht täusche bevor ich ein Fass aufmache.
Der Verdacht: Eine Datenbereinigung NACH dem Tod des ursprünglichen Besitzers um ein paar ERbteile zu verstecken/verschleiern. Ursprünglich sollte ich drauf, weil noch Andenkenfotos drauf sind

Warum poste ich das hier also. Ich möchte nur Sicherstellen, dass ich absolut richtig liege oder andere Punkte nicht vernachlässige.

Das System besitzt eine physikalische 1 TB Festplatte.
GParted zeig diese auch an mit der Größe von 1TB aber alles als nicht zugewiesener Speicher.

wenn ich aber nun in /dev/ schaue gibts es neben sda auch noch sdb-sde.
sdb ist der USB Stick vondem Linux aus läuft
SDC-SDE würde ich vermute als die 3 Kartenleser vorne (bin mir da nciht sicher)

Warum ich das nun in Security poste und nicht unter Linux ist folgendes:
Könnte es möglich sein, dass die ganze Festplatte hidden Partitions hat und z.B. nur mithilfe eines speziellen USB Sticks gebootet werden kann? (Glaube Truecrypt konnte so etwas in der Art)
Wenn ja: Wie prüfe ich das.

2. Wenn es nicht möglich ist bzw. nicht der Fall ist, wie kann ich den Zeitpunkt der Formatierung herausfinden (Ich vermute, dass dieser Zeitpunkt zwischen dem Todestag und heute liegt)

MfG

sia · 4 Juni 2016

Tryndamere schrieb:
dass hier eine Straftat vorliegt und ich deswegen besonders behutsam mit dem System umgehen möchte, aber ich will vorher sicherstellen, dass ich mich nciht täusche bevor ich ein Fass aufmache.

Ist es dann nicht so, dass du hier mit Beweismitteln rum spielst? Übergib das doch an die Polizei.

Ansonsten wird es relativ schwer zu beweisen, dass du die Beweise nicht dort platziert hast. Durch das Hochfahren des Systems hast du vermutlich schon diverse Zeitstempel gesetzt. Normalerweise mountet man das mit einer forensischen Linux-Distribution (Kali ist z.B. dafür geeignet, WENN man das Dateisystem ro mountet) oder mittels eines Hardware-Write-Blockers.

Versteckte Partitionen sind entweder riesige Dateien ohne Inhalt oder große freie Blöcke im Dateisystem oder freier Speicherbereich auf der Festplatte selbst (also unpartitioniert).

Also falls da wirklich was strafrechtlich im Argen liegt, hast du deine Chance vermutlich schon verspielt. Falls es nur um's Nachvollziehen und nicht um eine Verurteilung geht, würde ich zuerst ein komplettes Image des Datenträgers mit dd auf eine externe Festplatte anlegen. Dann kopierst du die Datei noch einmal. Die Kopie der Datei, die da entsteht, kannst du so behandeln wie die ursprüngliche Festplatte (also einhängen, Partitionen bearbeiten/suchen mit testdisk etc.).

Wann das System installiert wurde, steht in [kw]HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate[/kw] als Zeitstempel mit den Sekunden nach dem 1.1.1970. Da das natürlich manipuliert werden kann, kannst du auch diverse Dateien unterhalb von [kw]Windows\[/kw] nach Erstelldatum sortieren und findest so eventuell Hinweise auf die Installationszeit.

keinbenutzername · 4 Juni 2016

wie hoch schätzt du denn die Chance ein das die Polizei oder wer auch immer da dann wirklich fachlich kompetent ermittelt wenn er das Teil ohne Beweise hinbringt und erzählt er habe die Vermutung da wurde was relevantes gelöscht?
Sicher das die dann wirklich so genau suchen bzw. die Möglichkeiten dazu haben?

Und was will man denn finden?
Wurde was gelöscht/formatiert usw. das sich nicht wiederherstellen lässt beweist das gar nichts und bringt keinem was.

Lässt sich ein Testament per Word geschrieben wiederherstellen bringt das auch nichts.

sia · 4 Juni 2016

Die Polizei bzw das LKA hat dazu Computerforensik-Spezialisten. Natürlich muss das mit einer Anzeige dahergehen.

Noch zwei Tools, der Vollständigkeit halber: scalpel, foremost. Kali bringt schon einiges in der Richtung mit, ist iirc sogar kategorisiert.

keinbenutzername · 4 Juni 2016

phre4k schrieb:
Die Polizei bzw das LKA hat dazu Computerforensik-Spezialisten. Natürlich muss das mit einer Anzeige dahergehen.
.

und die werden sicher nicht bei jeder Anzeige tätig.
Vor allem wenn da auch erstmal der PC beschlagnahmt werden muss.
Der TS ist ja sicher nicht der Besitzer...

Tryndamere · 4 Juni 2016

Doch das Gerät ist offiziel in unserem Besitz. Also indirekt bin ich der Besitzer.

Uns geht es halt darum, dass uns vorallem Dokumente fehlen und ine nciht erbberechtigte Person Zugriff auf den PC sowie zugriff auf diverse Private Geldbestandteile hatte. Also geht es ersteinmal für uns selbst zu belegen, ob hier etwas verschleiert wird von der Person oder nicht. Eine Formatierte Festplatte wäre def. ein Indiz dafür, dass hier Informationen lagen, die wir nicht sehen sollten.

Das System selbst wurde ja nicht gebootet, weil das MB einfach keinen Bootloader findet. Die ganze Festplatte schaut für mich einfach leer aus. Deswegen kam ich ja auf die Vermutung, jemand hat entweder mit einem Tool die ganze Festplatte bereinigt oder das ganze System ist vollverschlüßelt und verschleiert (was für mich keinen Sinn ergibt, eine Person um die 80 tut sowas eher nicht). Die Festplatte sieht wie gesgat so aus, als würde man in Gparted alles formatieren und die Partitionen löschen. Es ist einfach kein Betriebssystem usw. mehr drauf.

Deswegen kam ja bei mir die vermutung mit dem evtl USB-Stick auf. Also Boot vom USB Stick, welcher dann das PW Encryption PW abfrägt und das System erst bootet.

Das Ding zur Polizei zu bringen hat erstmal wenig Sinn.
Wir können A nichts beweisen oder belegen.
B: Wird das ganze vermutlich eh unter den Tisch fallen gelassen, wenn kein exakter Verdacht besteht. Immerhin müsste man eine Anzeige erstatten, ohne das man weiß ob wirklich etwas vorliegt.

Deshalb wollte ich erst mit Linux über USB drauf und prüfen was vorliegt: verschlüsseltes System oder Formatiertes System. Bei dem formatierten System haben wir zumindest einen Verdacht und damit kann man überlegen das Ding zur Polizei zu bringen.

MfG

keinbenutzername · 4 Juni 2016

ich würde mir vor allem mal Platten kaufen und die vorhandenen 1:1 clonen und dann mit dem clon arbeiten.

Tryndamere · 4 Juni 2016

Also einmal die Platte klonen und dann ein Rescure Tool versuchen?

sia · 4 Juni 2016

Ich hatte doch schon geschrieben, wie man das macht. 1:1 klonen, kopieren und mit der Kopie des Klons arbeiten.

Und auf keinen Fall die ursprüngliche Platte oder das 1:1-Image r/w mounten.

Das Thema hatten wir hier im Board auch schon so oder so ähnlich. Alles, was ich hier noch schreiben würde, würde das lediglich wiederholen.

https://ngb.to/threads/14943-Fragen-zu-einer-möglichen-Datenrettung
https://ngb.to/threads/14347-Fragen-bezüglich-meiner-Festplatte
https://ngb.to/threads/13964-Überschriebene-(NICHT-nur-gelöschte)-Daten-wiederherstellen

Tryndamere · 6 Juni 2016

So Kopie ist durch auf den 2 Anlauf durch (dd ist abgekracht) und die erste Analyse mit Testdisk läuft auf der Klon Festplatte. Ich bin gespannt was dabei rauskommt :-)

sia · 6 Juni 2016

Deswegen ddrescue, aber ja, dd geht auch. Sorry, vergessen, aber verlinkt

dexter · 6 Juni 2016

phre4k schrieb:
Deswegen ddrescue

das kommt ja reichlich früh ins Spiel

aber ja, dd geht auch. Sorry, vergessen, aber verlinkt

Nein, dd "geht nicht." Kann mich nicht erinnern, wann das mal durchlief bei Datenträgern grösser 250GB und älter 3-4 Jahre.

sia · 6 Juni 2016

@dexter: und was sagt uns dein Beitrag jetzt neues? dd ist durch gelaufen.

Ja, ich hätte das erwähnen sollen, aber hat ja sonst auch niemand geschrieben.

Tryndamere · 6 Juni 2016

hm scheint wohl alle Hoffnung vergebens.

testdisk hat nichts rausbekommen und ddrescue lief flott durch... die gesammte Festplatte als Errorsize. Mein ddrescure Befehl
(sda = Orignale Platte sdb = Zielplatte)

ddrescue -v -d -n -r0 --force /dev/sda /dev/sdb logfile.log

Fesplatte einfach sehr gut formatiert oder liegt doch ein verstecktes/verschlüsseltes System vor?

--- [2016-06-06 16:04 CEST] Automatisch zusammengeführter Beitrag ---

Neue Infos, wir haben in den Unterlagen eine Rechnung von steganos gefunden. Hat jemand Ahnung, ob das eine solche Festplatte verursachen kann? Ich kenne das Teil als reinen Datencontainer aller True Crypt etc.

dexter · 6 Juni 2016

Tryndamere schrieb:
ddrescue -v -d -n -r0 --force /dev/sda /dev/sdb logfile.log

Geht sowas neuerdings? Ich meine, dass ddrescue (zurecht) nicht auf platten sondern nur nach images spiegeln kann. (images sind in dem Fall auch leichter handhabbar, da man vorm rumtesten dann schneller kopien machen kann)

Edit: ok, das geht scheinbar, sollte man aber nicht machen s.o.

Tryndamere · 6 Juni 2016

ja gehen tuts aber ändert nichts daran, dass er beim lesen der Festplatte 100% als Errorsize deklariert hat.
Hm hat aber einer Informationen über ein voll hidden system von Steganos? Ich habe in deren Produktsparte leider nichts gefunden. Wir haben immerhin eine Passwortliste hier zum durchtesten :-)

sia · 6 Juni 2016

Auch ich empfehle die Spiegelung in eine Datei auf einer anderen Festplatte, wie schon erwähnt.

steganos

Consumer-only-Software. Verschlüsselt keine Festplatten.

https://www.steganos.com/de/

ComputerBILD empfiehlt eigentlich immer TrueCrypt.

testdisk hat nichts rausbekommen

Hast du nur nach Partitionen gesucht? Testdisk/PhotoRec kann auch Dateien:
http://www.cgsecurity.org/wiki/Undelete_files_from_NTFS_with_TestDisk

Und auch scalpel, foremost, carver, Diskinternals NTFS Recovery oder GetDataBack können Dateien alleine mit ihrem Header wiederherstellen.

Rakorium-M · 6 Juni 2016

Mal ein paar Ideen:
Wenn du ein verschlüsseltes System hast, brauchst du einen nicht verschlüsselten Bootloader, der das Ganze startet. Der müsste dann im MBR der Festplatte zu finden sein, oder eben auf einem externen Medium (ich erinnere mich dunkel, dass Truecrypt auch CDs gebrannt hat). Den MBR (=master boot record) könnte man mit passenden Tools auslesen. Hast du einen Truecrypt-Datenträger gefunden? Dann könnte man damit weitersuchen.
Ansonsten könntest du mal ins BIOS schauen, wie die Boot-Reihenfolge eingestellt ist (falls du die nicht schon geändert hast). Wobei das auch jemand nachträglich geändert haben könnte (bspw. um die Platte über ein Live-Linux zu formatieren).

Andere Idee: Weiß jemand hier, welche Daten die verschiedenen Betriebssysteme beim Formatieren zum Überschreiben nutzen?
Wenn deine Platte bspw. ausschließlich 0-Bytes enthält, liegt dort definitiv kein verschlüsseltes Laufwerk (dort wären zumindest einzelne Blöcke zufällig wirkender Bytes zu erwarten).

Konkrete Tools kann ich dir keine nennen, phre4k hat da aber schon ein paar nette verlinkt.

sia · 6 Juni 2016

Rakorium-M schrieb:
Weiß jemand hier, welche Daten die verschiedenen Betriebssysteme beim Formatieren zum Überschreiben nutzen?

Sowohl unter Windows als auch unter Linux: NTFS-Schnellformatierung überschreibt nichts, sondern löscht nur das Dateisystem. Die normale NTFS-Formatierung überschreibt einmal mit Nullen.

Mac ist hier ja irrelevant.

Die jeweiligen Betriebssysteme haben natürlich noch Tools verfügbar, die nach dem unnötigen DoD-Standard 35x überschreiben, unter Linux würde ich persönlich für HDDs [kw]dd if=/dev/zero of=/dev/sdx[/kw] oder folgendes nutzen:

[src=bash]tr '\000' '\377' < /dev/zero | dd bs=4M status=noxfer | sudo dd of=/dev/sdx[/src]

Ersteres überschreibt mit Nullen, zweiteres mit Einsen. Wüsste jetzt nicht, was sicherer wäre, aber sollte eigentlich gleich sein. Bei SSDs oder Verfügbarkeit ATA Secure Erase.

Wenn deine Platte bspw. ausschließlich 0-Bytes enthält, liegt dort definitiv kein verschlüsseltes Laufwerk (dort wären zumindest einzelne Blöcke zufällig wirkender Bytes zu erwarten).

Das stimmt und das könnte man mit einem Hex-Editor prüfen. Ich nutze dazu unter Linux GHex (GTK+), gibt auch noch Okteta (Qt) und Bless (Gtk#).

Tryndamere · 11 Juni 2016

Also ich habe das ganze noch einmal versucht mit in eine Datei usw, bis jetzt kam nichts raus. Ich vermute leider, dass hier richtig formatiert worden ist und fertig. Da wollte jemand etwas ganz dringend verstecken. Wird auch inzwischen durch andere Taten belegt wie ein einloggen in entsprechnde E-Mail Accounts, abfangen von Post etc. Näcchste Woche haben wir einen Termin mit dem Anwalt und dann lassen wir uns auch einmal belehren, ob eine Anzeige etwas bringt bei so etwas oder eh nur ignoriert wird.

Danke für eure Hilfe.

Liegt ein verstecktes System vor?

Neu angemeldet

gesperrt

gesperrt

gesperrt

gesperrt

Neu angemeldet

gesperrt

Neu angemeldet

gesperrt

Neu angemeldet

gesperrt

Cloogshicer®

gesperrt

Neu angemeldet

Cloogshicer®

Neu angemeldet

gesperrt

NGBler

gesperrt

Neu angemeldet