Vordruck

Aus Labor für Echtzeitsysteme

Wechseln zu: Navigation, Suche

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

x Einleitung x

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Die Helix CD:

Bei der Helix CD handelt es sich um eine Linux Live CD. Von einer Live CD kann direkt ein Betriebssystem gebootet werden. Der PC muss hierzu in seinem BIOS so eingestellt sein, dass von der CD gebootet wird. Hat dies alles geklappt erscheint der Bootloader der Helix CD. Hier sollte für das Praktikum die Option "GUI" ausgewählt werden. Der Start von der CD dauert meist etwas länger als von einer Festplatte.

Hat das System vollständig gestartet, erscheint ein übersichtlicher Desktop. Sämtliche Laufwerke werden angezeigt und können durch simples draufklicken eingehangen werden. In der Leiste unten befinden sich die wichtigsten Menüs. Von hier kann man ein Root Terminal öffnen. Sollte man Speicherplatz brauchen um Dateien irgendwo zu speichern, so ist bitte die Ramdisk zu benutzen. Ein leerer Ordner mit genug Speicherplatz wäre: /ramdisk/home/helix/

Die Linux Shell:

Zu Linux findet man jede Menge Informationen im Internet. Unter Linux kann man zu jedem Befehl mit "man BEFEHL" das Manual lesen. Sollte zu einem Befehl kein Manual vorhanden sein, hilft ein "BEFEHL --help" In diesem Praktikum wird hauptsächlich mit der Shell gearbeitet. Hierzu sollte man mit Linux und den folgenden Befehlen vertraut sein:

"man", "df", "fdisk", "find", "losetup", "mount", "echo", "setxkbm", "firefox", "chkrootkit", "mork.pl", "more"

Zusätzlich solte man wissen, wie und wo Firefox 2 seine history speichert!


xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

x Vorbereitung x

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

  • 2.1 Wie kann man heraus finden, wie viel Speicherplatz (in kB, MB oder GB !) unter /ramdisk noch frei ist ?
  • 2.2 Was bewirkt die Taste TAB in einer Linuxshell ?
  • 2.3 Welcher Befehl würde eine Liste aller Dateien in /tmp/files.txt schreiben ?
  • 2.4 Wie findet man ein freies Loop-Device (losetup) ?
  • 2.5 Wie ruft man das Manual von ls auf ?
  • 2.6 Wie listet man alle Dateien (auch versteckte) auf ?

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

x Durchführung x

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

Nachdem das Live System gestartet wurde, muss zuerst mal die Festplatte mit dem Image eingehangen werden. Das Image befindet sich unter /media/XXXXXXXX. Zum einhängen des Images ist ein freies Loop Device erforderlich. Der Befehl "dfisk -l IMAGE" zeigt an, wie die Festplatte, von der das Image stammt partitioniert ist.

Dieses Image kann nun mit den Befehlen
losetup -o $((63*512)) /dev/loopX IMAGE
mount -o ro,noatime,noexec /dev/loopX /mnt" nach /mnt
eingehangen werden.

Nun können die Dateien aus dem Image unter /mnt/ gelesen und bei Bedarf kopiert werden.

Da unter /mnt nun alle Dateien erscheinen kann man diese mit chkrootkit nach Rootkits durchsuchen. Da die Ausgabe eine lange Liste ist, ist es empfehlenswert die Ausgabe mit Hilfe von more seitenweise anzuzeigen.

Etwas mehr Komfort als die Konsolenbefehle bietet das Tool Autopsy. Es kann per Mausklick gestartet werden. Bedient wird es per Browser. Um das Image zu analysieren legt man ein neues Case an: Der Case Name ist Praktikum, die restlichen Felden können leer bleiben. Man kann sich nun ohne zusätzliche Eingaben durchklicken bis der Button für "Add Image File" erscheint. Das Image mit vollem Pfad eingeben und weiter durch klicken, bis man eine Liste der Partitionen sieht. Hier die ext Partition auswählen und analysieren. Unter FileAnalysis kann man die Datteien auf dem Image sehen. Autopsy zeigt bei den Dateien an, ob diese gelöscht sind oder nicht. Manche gelöschten Files kann man wiederherstellen. Mit Hilfe von Export können (gelöschte) Dateien bei Bedarf vom Image heruntergeladen werden. Bitte hierfür das Verzeichniss /ramdisk/home/helix/ nutzen. Ob man die Dateien per Konsole oder per Browswer sichtet ist egal. Gelöschte Dateien erscheinen nicht auf der Konsole.

Sobald man die history.dat vom Firefox gefunden hat, kann man sich den Verlauf ansehen. Dazu bietet Helix den Befehl mork.pl an. Die Ausgabe wird in einer von Menschen lesbaren Zeit benötigt. Es wird dringend empfohlen eine HTML-Ausgabe zu machen, diese in eine temporäre Datei zu schreiben und sich das Ergebniss im Firefox anzusehen. Die normale Ausgabe, vorallem das Zeitformat hierbei, ist zu unübersichtlich.


xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx


Grepmail - ist ein leistungsfähiges Kommandozeilen-Tool zum unter- bzw. durchsuchen von Mailboxen welche im mbox Format gespeichert werden wie beispielsweise Thunderbird dies tut.

Durch eine vielzahl von Optionen und die geschickte Kombination der grepmail Ausgabe mit anderen Kommandozeilen-Befehlen kann nahezu jede Information aus einer Mailbox gewonnen werden.

Hierzu nun einige Beispiele:

Nachdem zum Pfad des Inbox-File navigiert wurde

cd /home/'user'/.mozilla-thunderbird/Mail/'Postfach'

dient der Befehl

grepmail -rh  “Suchwort“ Inbox

dazu die Häufigkeit des gesuchten Wortes in den Headern aller mails anzugeben der Befehl

grepmail -h(-b) “Suchwort“ Inbox | grep  “^From: “ | sort >/ramdisk/home/helix/target.txt

ermittelt welche Header(Bodys) ein bestimmtes Suchwort enthalten und schreibt die Absender nach Namen sortiert in eine Liste

der Befehl

grepmail -h “Absender“ Inbox | grep “^Date: “

ermittelt die Daten an denen E-Mails eines bestimmten Absenders empfangen wurden

der Befehl

grepmail -B “Absender“ Inbox > /ramdisk/home/helix/target.txt

erstellt eine Textdatei mit allen E-Mails eines bestimmten Absenders

Persönliche Werkzeuge