Forensisch onderzoeksgereedschap op basis van bestandssignatuur

Forensisch onderzoeksgereedschap op basis van bestandssignatuur Karel Demeyer

Promotor: prof. dr. ir. Koen De Bosschere Begeleiders: Georges Lichtenstein (RCCU), dr. ir. Michiel Ronsse Masterproef ingediend tot het behalen van de academische graad van Master in de toegepaste informatica

Vakgroep Elektronica en informatiesystemen Voorzitter: prof. dr. ir. Jan Van Campenhout Faculteit Ingenieurswetenschappen Academiejaar 2008-2009

Woord vooraf

1 Woord vooraf Telkens iemand me vroeg welk scriptieonderwerp ik had gekozen, kon ik al naar de volgende vraag raden: hoe ik op dit onderwerp gekomen was. Vergezocht is het echter helemaal niet. Ongeveer een jaar geleden was ik druk bezig met mijn vorige masterproef, in de hoop daarmee een diploma Master in de Criminologie in de wacht te slepen. Omdat ik die opleiding jaren terug begonnen was dankzij mijn interesse voor opsporing en onderzoek, was de criminoloog in mij dan ook bij de eerste keer dat ik de lijst met scriptieonderwerpen zag, op zoek gegaan naar iets dat in de trend van die interesses lag. Geen van de voorgestelde onderwerpen kon mij echter volledig bekoren en tegelijkertijd uitdagen ... Dan maar zelf op zoek naar iets anders. Ik heb in mijn zoektocht onder andere contact opgenomen met mijn promotor van vorig jaar, prof. dr. Marc Cools, met enkele ideeën voor onderwerpen die ik had en de vraag of hij iemand kende die me kon verderhelpen. Ik werd door hem aan de heer Lichtenstein, diensthoofd van de regionale computercriminaliteitseenheid van Antwerpen, voorgesteld en de bal was aan het rollen gebracht. Een heen-en-weer reisje naar Antwerpen later had ik een mogelijk meesterproefonderwerp. Ik kon de dienst van de heer Lichtenstein helpen door het ontwikkelen van een gereedschap dat (snel) zou kunnen zoeken naar – al dan niet verwijderde – bestanden op digitale gegevensdragers. Een uitdaging, leek me dat! Ik wil, voor ik van wal steek met het uiteenzetten van wat ik gedaan heb en hoe ik dat aangepakt heb, nog even wat inkt laten vloeien om de mensen te bedanken die me geholpen hebben bij de totstandkoming van dit werk. In de eerste plaats dank ik prof. dr. ir. Koenraad De Bosschere voor het promotorschap voor deze masterproef. Zijn lessen brachten me in het algemeen enorm veel bij maar zorgden meer specifiek ook voor een solide kennisbasis om dit eindwerk aan te vatten.

i

Woord vooraf

Mijn dank gaat ook zeer specifiek uit naar dr. ir. Michiel Ronsse, bij wie ik dag in dag uit ten rade kon en die me niet alleen met raad maar ook met daden te hulp kwam. Zijn kennis over het interne raderwerk van op Linux gebaseerde systemen, omtrent shellscripten, webontwikkeltechnieken en zo veel meer, deed me uren en dagen tijd winnen die anders in opzoekwerk waren opgegaan. Oprecht bedankt! De heer Georges Lichtenstein wil ik mijn dank betuigen voor het aanreiken van een maatschappelijk relevant onderwerp voor dit eindwerk dat me dan ook nog eens enorm interesseert. Ook prof. dr. Marc Cools ben ik enorm dankbaar voor de hulp in mijn zoektocht naar dit onderwerp. Nen dikke merci gaat ook uit naar al die mensen in mijn omgeving die me gedurende deze studie steunden: mijn ouders, broers en zus, vriendenkring en ook leden van de jeugdbeweging. Bedankt voor de bemoedigende woorden, het vriendelijk weglachen van mijn stressgerelateerde uitlatingen, het nalezen van stukken tekst, het ter dienste stellen van je computer voor demonstratie-onderzoekjes, het geïnteresseerd kijken wanneer ik weer eens over mijn toepassing bezig was enz. Mijn vriendin, Sofie Keppens, verdient bovendien meer dan een erkenning omdat ze me steeds in mezelf blijft laten geloven, het niet erg zegt te vinden dat ik haar wakker hield als ik “nog snel iets wou implementeren”, me af en toe wat afleiding kon verschaffen d.m.v. haar eigen thesisperikelen en zo veel meer. Bedankt!

ii

Toelating tot bruikleen

2 Toelating tot bruikleen Mollem, 20/05/2009

De auteur geeft de toelating deze masterproef voor consultatie beschikbaar te stellen en delen van de masterproef te kopiëren voor persoonlijk gebruik. Elk ander gebruik valt onder de beperkingen van het auteursrecht, in het bijzonder met betrekking tot de verplichting de bron uitdrukkelijk te vermelden bij het aanhalen van resultaten uit deze masterproef.

Karel Demeyer

iii

Overzicht

3 Overzicht TITEL: Forensisch onderzoeksgereedschap op basis van bestandssignatuur

AUTEUR: Karel Demeyer

PROMOTOR: Prof. dr. ir. Koenraad De Bosschere

BEGELEIDING: Dr. ir. Michiel Ronsse (UGent) Georges Lichtenstein (Regionale Computer Crime Unit Antwerpen, federale politie)

Masterproef voorgelegd aan de Faculteit Ingenieurswetenschappen (Universiteit Gent), voor het behalen van de academische graad van Master in de Toegepaste Informatica. KORTE

SAMENVATTING:

In kader van deze masterproef werd een systeem ontwikkeld, op vraag van de computer crime unit van de gerechtelijke politie van Antwerpen, om onderzoek te verrichten op in beslag genomen digitale gegevensdragers. Het systeem zoekt op de gegevensdrager bestanden, zowel als restanten van verwijderde bestanden, die voldoen aan een aantal door de onderzoeker opgegeven voorwaarden, waaronder de bestandssignatuur. De bibliotheek met definities

voor

de

verschillende

bestandsformaten

is

hierbij

uitbreidbaar.

Verwijderde

bestanden kunnen vanuit het systeem hersteld worden naar een aparte gegevensdrager en voor alle bestanden worden de oorspronkelijke metagegevens bewaard t.v.v. het forensisch onderzoek.

TREFWOORDEN: forensisch onderzoek, bestandssignatuur, file header, bestandsherstel, data recovery

iv

Inhoudsopgave

4 Inhoudsopgave 1

Woord vooraf...............................................................................................1

2

Toelating tot bruikleen...................................................................................3

3

Overzicht.....................................................................................................4

4

Inhoudsopgave............................................................................................5

5

Voorstelling van het eindwerk: probleem- en doelstelling...................................1

6

Ontwerp en uitwerking..................................................................................4 6.1

De fundering: een verwijderbaar medium met aangepast besturingssysteem. 4

1

Contaminatie van de sporen vermijden.....................................................4

2

Een eigen gekozen besturingssysteem......................................................4

6.2

Het geraamte: het besturingssysteem installeren.......................................5

1

De Ubuntu Live CD aanpassen.................................................................6

2

CD-ROM ... of USB-stick ... of ?...............................................................8

6.3

De ruwbouw: een webserver en enkele (forensische) gereedschappen.........10

1

Gebruikte gereedschappen....................................................................11

2

Apache en PHP....................................................................................17

3

Het gebruik van shellscripts..................................................................18

4

Schrijven naar het RAM-geheugen.........................................................19

6.4

De Façade: een moderne gebruikersinterface...........................................19

1

Cascading Style Sheets........................................................................20

2

Scripten aan de client-kant: Javascript, jQuery, AJAX................................20

6.5

Het volledige plaatje.............................................................................22

1

Opstarten van de verdachte PC met de USB-stick.....................................22

2

De gebruikersinteractie met de keuzeinterface en het opstarten van het

onderzoek...............................................................................................26 7

Eindbedenkingen en mogelijke uitbreidingen..................................................43 v

Inhoudsopgave

In fine.....................................................................................................49 8

9

Verwijzingen..............................................................................................50 8.1

Handboeken........................................................................................50

8.2

Webkoppelingen...................................................................................50

Bijlage: Gebruik van de programmatuur........................................................51 9.1

Het opstarten van de verdachte computer met het verwijderbaar medium....51

9.2

De interface voor het instellen van de onderzoeken...................................53

1

Het kiezen van de onderzoeksdoelen en de soorten onderzoek...................54

2

Eventueel aanpassen van de zoekrestricties............................................55

3

Selecteer zogewenst bestandstypefilters.................................................57

9.3

De (interactie met de) interface van het onderzoek...................................58

vi

Voorstelling van het eindwerk: probleem- en doelstelling

5 Voorstelling van het eindwerk: probleem- en doelstelling Computer Crime Units: zo heten de diensten van de federale politie die zich bezig houden met politionele opsporing en onderzoeken op ICT-gebied. Deze CCU's zijn op twee niveaus uitgebouwd: naast de Federal Computer Crime Unit (FCCU) die op nationaal niveau ICT-criminaliteit bestrijdt, zijn er ook de regionale eenheden (RCCU's). Deze dienen “minimaal de garantie op een kwalitatief goed forensisch ICTonderzoek van PC-apparatuur, andere gegevensdragers en kleine netwerken” te bieden en “de sporen van internetcriminaliteit” te onderzoeken en daders te identificeren.1 De RCCU's doen dus onder andere onderzoeken op PC's die in beslag genomen zijn in het kader van een gerechtelijk onderzoek. Uit mijn gesprek met de heer Lichtenstein heb ik kunnen opmaken dat de hoofdmoot van het werk van zijn dienst (tot ongeveer 80%) onderzoek naar kinderpornografie is. De rest van hun activiteiten draait voornamelijk rond valse facturaties e.d. De meeste commerciële forensische onderzoekspakketten die de RCCU Antwerpen gebruikt of reeds heeft gebruikt, zijn voor beperkte onderzoeksopdrachten – bv. enkel nagaan of er kinderpornografisch materiaal op de gegevensdrager voorhanden is – eerder te log. De meeste programma's indexeren vooreerst al de gegevens die voorhanden zijn (wat zeer tijdsintensief kan zijn) en laten pas nadien onderzoek toe. Of ze zoeken niet naar 'gewiste' bestanden of kijken niet naar de bestandsinhoud – maar enkel naar de bestandsnaam - om het type bestand te bepalen. Voor een forensisch onderzoek kan snelheid soms heel belangrijk zijn. Onze wetteksten i.v.m. politioneel of gerechtelijk onderzoek2 bevatten namelijk – zoals het een

rechtsstaat

betaamt

-

verschillende

beslissende

tijdspannes

waarin

onderzoeksbeslissingen moeten worden genomen. Jammer genoeg kan het 'wissen'3 1

http://www.polfed-fedpol.be/org/org_dgj_FCCU_RCCU_nl.php, laatst geraadpleegd: 04/05/'09.

2

Bv. Wetboek van Strafvordering, Wet op het Politieambt

3

Nota: bij de gangbare bestandssystemen worden de bedoelde gegevens echter niet gewist maar enkel de verwijzing ernaar. Cfr infra.

1


van digitale gegevens tegenwoordig letterlijk met één druk op een toets en bovendien zeer snel gebeuren. Het zou dan ook niet slim zijn om enkel de door het bestandssysteem zichtbaar gemaakte gegevens in een onderzoek op te nemen. Tenslotte kan de door een gebruiker of een gebruikersprogramma opgegeven bestandsnaam een indicatie zijn voor het type van inhoud van een bepaald bestand, maar biedt dit geen zekerheid hieromtrent. Het zal dus nodig zijn om aan de hand van de bestandsinhoud te bepalen wat voor gegevens er in het spel zijn. Samengevat

kunnen

onderzoeksgereedschap

we

dus

waarbij

stellen de

dat

er

onderzoeker

nood kan

is

aan

bepalen

een in

forensisch wat

soort

(verwijderde) bestanden hij of zij is geïnteresseerd op basis van een aantal kenmerken zoals grootte, naam, type, inhoud, het tijdstip van aanmaak of laatste gebruik e.d. om de afwerktermijnen te beperken. De informatie benodigd voor het herkennen van een type bestand a.d.h.v. de inhoud moet hierbij ook op een uitbreidbare manier worden opgeslagen zodat het mogelijk is in de toekomst nieuwe bestandsformaten te herkennen. Het geheel moet ook nog eens onafhankelijk ten aanzien van het gebruikte bestandssysteem zijn, in die zin dat het zeker veelgebruikte bestandssystemen zoals FAT, NTFS en ext2 of ext3 moet ondersteunen. Het systeem moet de onderzoeker hiernaast in staat stellen de gevonden bestanden te kopiëren (en of reconstrueren) naar een andere gegevensdrager dan diegene die onderzocht werd. Daarenboven moet het de vindplaats van het bestand op het bestandssysteem of de gegevensdrager, net als de oorspronkelijke bestandsgegevens zoals creatiedatum en -tijd, datum en tijd van de laatste wijziging en toegang bijhouden. Dit alles moet aan de onderzoeker geserveerd worden in het jasje van een toegankelijke, overzichtelijke gebruikersinterface. Mijn eindwerk bestaat met andere woorden uit het onderzoek naar de wijze waarop een bestandssysteem gegevens bijhoudt, hoe gegevens kunnen worden opgespoord aan de hand van een aantal criteria, waaronder de bestandssignatuur, hoe verwijderde bestanden kunnen worden opgespoord en hersteld ... en hoe dit alles op een gebruiksvriendelijke manier te presenteren en mogelijk te maken. Ik ga de uitdaging aan!

2


Ik vat de rest van deze scripte aan met een overzicht van hoe de toepassing ontworpen en uitgewerkt is. Hierna sluit ik het hoofdgedeelte van dit werk af met een hoofdstuk waarin ik enkele bedenkingen maak over de gemaakte keuzes en mogelijke uitbreidingen en verbeteringen overloop. Achteraan dit schrijfsel is nog een hoofdstuk toegevoegd dat als handleiding voor de ontwikkelde toepassing fungeert.

3

Ontwerp en uitwerking

6 Ontwerp en uitwerking 6.1 De fundering: een verwijderbaar medium met aangepast besturingssysteem Ik heb ervoor geopteerd om mijn programma te laten lopen onder een aangepast besturingssysteem dat ingeladen wordt van op een verwijderbaar medium. Dit om enkele redenen die ik nu even schets.

1

Contaminatie van de sporen vermijden

Ten eerste is het van het grootste belang in een forensisch onderzoek om het sporenmateriaal niet (of zo min mogelijk) aan te tasten. De geschiedenis heeft ons namelijk

geleerd

bewijsmateriaal

dat werd

door

roekeloze

vernietigd

of

opsporingshandelingen aangetast

met

wel

mogelijk

al

eens

verkeerde

beschuldigingsbesluiten tot gevolg. Om deze reden kan er niet zonder meer opgestart worden met het besturingssysteem van een 'verdachte computer'. Tijdens het opstarten alleen al van de meeste – zoniet alle – moderne besturingssystemen zullen er nl. reeds bestanden worden beroerd. Bovendien worden er mogelijk bij het opstarten gebruikerstoepassingen opgestart waarvan we vooraf geen weet kunnen hebben. Het zou al te onbezonnen zijn om onbekende (en dus per definitie onbetrouwbare) programmacode uit te voeren aangezien ook deze voor contaminatie zou kunnen zorgen.

2

Een eigen gekozen besturingssysteem

Door een openbronbesturingssysteem te gebruiken kan ik naar wens het volledige opstartproces van het besturingssysteem zo aanpassen dat de gegevensdragers niet worden beroerd. Doordat ik het besturingssysteem zelf installeer op een verwijderbaar medium (bv een USB-stick of een CD-ROM) en daar mijn toepassing onder laat laden, is de omgeving waarin de toepassing loopt steeds dezelfde – onafhankelijk van het besturingssysteem dat op de verdachte computer zelf is geïnstalleerd - en kan ik de benodigde besturingssysteemonderdelen makkelijk tot het minimum beperken. 4


Mijn keuze voor besturingssysteem is op Ubuntu gevallen, de momenteel meest wijdverspreide GNU/Linux distributie. Het waarom hiervoor is vanzelfsprekend: ik gebruik het zelf al jaren als besturingssysteem en ken - dankzij mijn gezonde informaticainteresse - ook hier en daar wat van de interne werking van dit systeem. Bovendien kon ik mijn programma creëren en testen met dezelfde onderliggende programmatuur die ik gewoon was.

6.2 Het geraamte: installeren

het

besturingssysteem

Mijn oorspronkelijke bedoeling was om het Ubuntu systeem volledig te installeren op een USB-stick net zoals het op een gewone harde schijf kan geïnstalleerd worden, inclusief opstartlader etc. (door in het installatieproces het USB-medium als doel voor de installatie van het besturingssysteem en de opstartlader te kiezen). Het voordeel zou dan zijn dat alle nodige aanpassingen op de normale manier te maken zijn eens het systeem is opgestart en ook worden weggeschreven naar het USB-medium omdat de volledige bestandshuishouding van het besturingssysteem hier is ondergebracht. Het lot heeft er echter anders over beslist. Er blijkt namelijk een fout in verschillende op Debian GNU/Linux gebaseerde besturingssystemen te zitten in die zin dat een installatie op een USB-medium heel snel haar eigen bestandssysteem corrumpeert. Naar mijn intuïtie, en het idee van mijn begeleider, gebeurt dit waarschijnlijk omdat bij het afsluiten de in de cache opgenomen schrijfinstructies niet meer worden uitgevoerd. Deze fout maakt heel het systeem echter onwerkbaar omdat om de haverklap systeembestanden onleesbaar worden en het opstartproces in duigen valt. Op aanraden van mijn begeleider heb ik dan enkele andere GNU/Linux distributies uitgeprobeerd, terwijl ik ondertussen aan de ontwikkeling van de rest van mijn toepassing verder werkte. Ondanks het feit dat deze andere besturingssystemen de hierboven beschreven fout niet maken, konden ze me toch niet echt bekoren. Doordat de omgeving – als in: versies van de verschillende aanwezige gereedschappen en programmabibliotheken – niet overeenstemde met die van de Ubuntu-versie die ik reeds gebruikte, waren er heel wat aanpassingen nodig aan de programmacode en -concepten die ik reeds had geproduceerd. Daarenboven werden enkele eenvoudige operaties (zoals het aanpassen van een configuratie) weer een tijdrovende zoektocht.

5


Na dagenlang vloeken en met de handen in het haar zitten, kreeg ik een ander idee. De Ubuntu installatie-CD-ROM is tevens een zogenaamde Live CD. Met andere woorden, kan een computer met behulp van die CD-ROM opgestart worden waarbij een volledig werkend Ubuntu systeem wordt ingeladen, met de nodige ondersteuning voor de apparatuur van de computer. Mijn idee was dan om deze “Live CD” aan te passen zodat ook mijn toepassing er op staat en ingeladen wordt bij het opstarten. Bovendien is het mogelijk deze Live CD ook op een ander medium, zoals een USBstick te installeren.

1

De Ubuntu Live CD aanpassen4

De Ubuntu Live CD gebruikt isolinux5, een opstartlader voor gebruik met een CD-ROMbestandssysteem,

en

casper6,

een

systeem

dat

het

mogelijk

maakt

een

bestandssysteem dat gecomprimeerd is opgeslagen op een niet beschrijfbaar medium te gebruiken als basisbestandssysteem (root file system) voor een opstartbaar medium. Het basisbestandssysteem van het Ubuntu-systeem dat door de Live CD wordt ingeladen is squashfs, een gecomprimeerd alleen-lezen bestandssysteem, opgeslagen als bestand op het CD-ROM-bestandssyteem7. Bij het opstarten laadt isolinux

de

Linux

besturingssysteemkern

in

en

wordt

het

bestandssysteem

aangekoppeld in het geheugen van de computer. Verder wordt de normale opstartprocedure van Ubuntu uitgevoerd. Op het einde wordt een gebruiker aangemaakt voor de sessie en automatisch aangemeld bij de bureaubladomgeving. Om de Live CD aan te passen is het nodig eerst de inhoud van de CD (met andere woorden: het CD-ROM-bestandssysteem) uit te pakken. Er kunnen dan aanpassingen aan de (configuratie)bestanden worden gemaakt. Hierna is het slechts een kwestie van de bestanden terug in een CD-ROM-bestandssysteem te verpakken (bv. met mkisofs8) en op een CD te schrijven om een aangepaste Live CD te bekomen. De

4

https://help.ubuntu.com/community/LiveCDCustomization, laatst geraadpleegd 05/05/'09.

5

http://syslinux.zytor.com/wiki/index.php/ISOLINUX, laatst geraadpleegd 05/05/'09.

6

http://www.linuxcertif.com/man/7/casper/, laatst geraadpleegd 05/05/'09.

7

Verschillende

versies

van

dit

bestandssysteem

werden

door

ISO

en

ECMA

gestandaardiseerd.

Cfr.

http://www.ecma-international.org of http://www.iso.org, beiden laatst geraadpleegd op 05/05/'09. 8

http://freshmeat.net/projects/mkisofs/, laatst geraadpleegd 05/05/'09.

6


inhoud van de CD uitpakken kan op Ubuntu makkelijk door de CD aan te koppelen (d.m.v. het aanklikken in de gebruikersinterface of door gebruik van het mount gereedschap9) en dan de bestanden te kopiëren naar een tijdelijke map. Om veranderingen aan het besturingssysteem zelf te maken dienen we het basisbestandssysteem dat gecomprimeerd staat in het bestand filesystem.squashfs onder de map 'casper' op de Live CD te decomprimeren. Dit bestandssysteem kan op Ubuntu via het mount gereedschap met de “loopback” optie worden aangekoppeld op het bestandssysteem waarna de inhoud van dit bestandssysteem ook naar een tijdelijke map kan worden gekopieerd. Nu kunnen alle mogelijke aanpassingen aan de configuratie en de meegeleverde software worden gemaakt. Hierna dient het bestandssysteem enkel opnieuw m.b.v. mksquashfs gecomprimeerd te worden. Het bestand dat hieruit resulteert moet dan in de plaats komen van het oorspronkelijke filesystem.squashfs. Ik wil hierbij nog even opmerken dat het niet mogelijk is meteen aanpassingen te maken op de aangekoppelde bestandssystemen aangezien deze niet beschrijfbaar zijn. Om het besturingssysteem van de Live CD aan te passen is het dus mogelijk de verschillende configuratiebestanden op het basisbestandssysteem manueel aan te passen en uitvoerbare bestanden (programma's) toe te voegen of te verwijderen. Zonder gebruik te kunnen maken van de programmatuurinstallatie en -deïnstallatieroutines van Ubuntu of programma's om de configuratie aan te passen zou dit niet alleen een werk van lange adem maar ook een onoverzichtelijk kluwen kunnen worden. Gelukkig bestaat er een mogelijkheid om dit alles te vereenvoudigen: het chroot-gereedschap. Kort voor “Change root directory”, staat chroot er voor in om voor

een

bepaald

proces

(en

al

de

dochterprocessen

ervan)

een

ander

basisbestandssysteem te kiezen. Zo kan een commandolijnshell worden opgestart die als basisbestandssysteem de tijdelijke map van het uitgepakte squashfs heeft. Hierna is het mogelijk van op deze commandolijn de standaard Ubuntu-toepassingen te starten om programmatuur te installeren of te verwijderen, configuraties aan te passen etc. die dan inwerken op het bestands- (en dus ook besturings-) systeem van de Live CD in plaats van het gebruikte besturingssysteem.

9

Hier hoeft geen fysieke compact disk gebruikt te worden. Het is ook mogelijk een CD-ROM-afbeeldingsbestand d.m.v. de “loopback” optie aan te koppelen met het mount gereedschap.

7


Er zijn echter programmaatjes voorhanden die al het voorgaande werk voor hun rekening nemen. Één ervan heb ik voor deze masterproef ook ter hand genomen: Reconstructor10. Deze toepassing geeft de mogelijkheid een CD-ROM of CD-ROMafbeeldingsbestand

te

selecteren

en

zal

dan

automatisch

de

verschillende

bestandssystemen uitpakken in een door de gebruiker gekozen tijdelijke map. De toepassing geeft ook op een eenvoudige manier de mogelijkheid met enkele klikken veelgebruikte aanpassingen te doen (zoals het uiterlijk van het opstartscherm en de bureaubladomgeving, het al dan niet verwijderen of installeren van enkele veel gebruikte programma's, het aanpassen van de gebruikersnaam van het Live systeem

...)

of

een

commandolijn

binnen

een

automatisch

aangemaakte

chrootomgeving te starten en grafische of tekstuele toepassingen uit te voeren. Met een druk op een knop maakt de toepassing een nieuw CD-ROM-afbeeldingsbestand aan dat dan eenvoudig naar een CD-ROM kan geschreven worden.

2 In

CD-ROM ... of USB-stick ... of ? het

voorgaande

sprak

ik

de

hele

tijd

over

CD-ROM's

en

CD-ROM-

afbeeldingsbestanden ... maar was het niet de bedoeling het besturingssysteem op een USB-stick te installeren? Wel, ook hier maakt Ubuntu het ons makkelijk. Ubuntu levert namelijk standaard een programmaatje bij het besturingssysteem om een Live CD op een USB-Stick te installeren (om een zogenaamde “Live USB” - vergezocht hoeft zo'n naam niet te zijn natuurlijk - te maken). De inhoud van het CD-ROMbestandssysteem wordt dan op een partitie van de USB-Stick geschreven op een FAT bestandssysteem en er wordt een opstartlader geïnstalleerd die hetzelfde opstartproces als van de Live CD in gang trekt. Bovendien is deze techniek niet alleen geschikt voor USB-Sticks. Ook andere verwijderbare gegevensdragers, denk maar aan geheugenkaartjes, kunnen op deze wijze gebruikt worden.

10 http://reconstructor.aperantis.com/, laatst geraadpleegd 05/05/'09.

8


Het

is

hier

ook

mogelijk

om

een

“persistente” installatie te maken. Hierbij wordt de beschrijfbaarheid van het medium uitgebuit en zullen aanpassingen aan de configuratie e.d. opgeslagen worden op het medium en de volgende keer weer geladen. Onder de motorkap wordt hiervoor nog een tweede

bestandssysteem

als

bestand

opgeslagen op de USB-stick onder de naam casper-rw.

Het

beschrijfbaar

betreft

dit

keer

een

ext3-bestandssysteem

van

vaste grootte. De grootte kan door de gebruiker

worden

installeren

van

gekozen

de

“Live

bij

het

USB”

(zie

afbeelding). Dit bestandssysteem werkt als een

“laag”

over

het

basisbestandssysteem. bestand

op

het

onbeschrijfbare Wanneer

een

Afbeelding 1: Een 'Live USB' maken met het bijgeleverde programmaatje

basisbestandssysteem

wordt aangepast wordt het aangepaste bestand opgeslagen in het beschrijfbare bestandssysteem. Wanneer een bestand ingelezen dient te worden, wordt er eerst in het beschrijfbare bestandssysteem gekeken. Voor mijn toepassing heb ik ervoor gekozen op deze wijze een klein beschrijfbaar bestandssysteem te laten aanmaken, dat dan kan dienen om bv. de persoonlijke voorkeuren voor het uiterlijk van de gebruikersinterface van de onderzoeker bij te houden. Het is echter niet de bedoeling dat dit een thuis wordt voor de herstelde verwijderde bestanden die door mijn systeem worden gevonden. Hiervoor creëerde ik op de USB-stick een aparte gegevenspartitie met een FAT-bestandssysteem, dat door de meeste gebruikelijke besturingssystemen ondersteund wordt. Deze partitie kreeg een uniek bestandssysteemlabel “ccHERSTEL”, waardoor ze makkelijk door de applicatie kan herkend worden.

9


6.3 De ruwbouw: een webserver (forensische) gereedschappen

en

enkele

Voor de opbouw van mijn applicatie ben ik manieren beginnen zoeken om zoveel mogelijk bestaande gereedschappen te hergebruiken waar mogelijk. Want na een hoop kennis opgedaan te hebben over bestandssysteem en hun huishouding 11, leek het anders een onmogelijke opdracht om voor verschillende bestandssystemen al deze functionaliteit op te bouwen, beginnend van niets. Zoeken

dan

maar

naar

gereedschappen

om

bestanden

te

zoeken

op

een

bestandssysteem aan de hand van een hoop criteria, om verwijderde bestanden te vinden, om deze te herstellen, om in de slack space12 te gaan zoeken, om bestanden te herkennen aan hun signatuur etc. Na het bestuderen van de voorhanden zijnde gereedschappen (die ik ook onder dit deel bespreek) had ik natuurlijk nog een scala aan keuzes voor de manier waarop ik de toepassing zou opbouwen. In welke toolkit bouw ik een grafische interface? In welke taal schrijf ik de programmacode? In samenspraak met mijn begeleider heb ik gekozen om een webinterface te gebruiken voor mijn programma en achterliggend dus een webserver te draaien waarmee de gebruiker communiceert. Deze aanpak levert meteen een aantal voordelen. De applicatie kan bijvoorbeeld worden aangestuurd van op de computer die onderzocht wordt (door een webbladerprogramma te starten en naar de eigen webserver te bladeren) of kan van op een andere computer op het netwerk worden aangestuurd. In die zin is het niet nodig om een toetsenbord, muis of scherm aan de onderzochte computer te koppelen. Aangezien ik de netwerkfunctionaliteit van Ubuntu niet heb verwijderd van de installatie, is het eenvoudig om de verdachte computer in een netwerk op te nemen. Automatisch zal deze namelijk bij het aansluiten van een bekabeld netwerk proberen via het DHCP-protocol een IP-adres te verkrijgen. Een ander

voordeel

van

de

aanpak

is

dat

het

maken

en

aanpassen

van

de

gebruikersinterface zeer snel kan gebeuren. De webserver zal op basis van de te

11 door in een hoop online bronnen en wat cursusmateriaal te duiken (en af en toe van asfyxie naar adem te happen en terug te duiken) 12 Cfr infra

10


presenteren gegevens HTML-code aanmaken, die door het webbladerprogramma van de gebruiker automatisch zal aangepast worden aan de grootte van het gebruikte scherm etc.

1

Gebruikte gereedschappen

Om het warm water en het wiel niet opnieuw te moeten uitvinden, ben ik op het internet op zoek gegaan naar gratis bestaande openbrongereedschappen die vrij te gebruiken zijn. Een enorme bron aan informatie was een presentatie 13 die ik vond op een website van de FCCU over forensische gereedschappen voor GNU/Linuxsystemen, waarin enkele opzoeken opsporingsscenario's worden beschreven en waar ik dus kon zien welke programmaatjes ze daar gebruiken. Daarnaast ben ik nog enkele andere toepassingen tegen het lijf gelopen. Ik geef hieronder een overzicht van de verschillende kandidaten die ik vond, beschrijf ze kort en geef aan waarom en hoe ik ze al dan niet gebruik.

GNU FILE Het file-commando kan één ding, en het kan dat heel goed: bestanden herkennen aan de hand van hun inhoud. Standaard wordt file geleverd met een lijst van duizenden definities waar de inhoud van een bestand mee vergeleken moet worden. Voor elke definitie geeft het configuratiebestand in leesbare tekens een beschrijving van het bestandstype die moet worden weergegeven indien dit type overeenkomt met het onderzochte bestand. Hiernaast kan ook een MIME media type worden opgegeven zoals geregistreerd bij IANA14 dat ook weergegeven kan worden bij het herkennen van een bestand. Interessant is ook dat definities in aparte bestanden kunnen worden gezet en er dan bij het uitvoeren van file kan gekozen worden enkel dat bepaald bestand (of een lijst van verschillende definitiebestanden) te gebruiken bij het vergelijken van de bestandsinhoud. Zo is het al dan niet herkennen van een JPEG-afbeelding veel sneller wanneer moet vergeleken worden met een bestand met alleen de definitie voor het

13 http://lnx4n6.be/Downloads/hacklu.pdf, laatst geraadpleegd op 05/05/'09. 14 http://www.iana.org/assignments/media-types/, laatst geraadpleegd op 05/05/'09.

11


JPEG-formaat in, dan wel te vergelijken met alle aanwezige bestandsdefinities. Daarenboven kunnen de definitiebestanden gecompileerd worden tot een binair bestand waarmee nog sneller vergeleken kan worden. Het programma heeft ook enkele snelle ingeprogrammeerde controles aan boord – waarvoor het vergelijken met een definitie uit het bestand veel trager zou zijn (bv. het herkennen van sommige archiefformaten) – die echter desgewenst ook uitgeschakeld kunnen worden door enkele configuratieparameters mee te geven bij uitvoering. Wanneer er dan bv. sowieso niet met die bestandstypes moet worden vergeleken kan dit snelheidswinst opleveren.

GNU FIND De

bestaansreden

van

het

find-programmaatje

dat

bij

alle

POSIX-

besturingssystemen15 wordt geleverd, is het zoeken naar bestanden die aan een aantal voorwaarden voldoen. Find filtert op de zogenaamde metagegevens van een bestand,

maar

niet

op

de

inhoud

van

het

bestand

zelf.

De

belangrijkste

filtermogelijkheden zijn: •

het bestand zit in een bepaalde map

•

de grootte van het bestand ligt tussen bepaalde waarden

•

het bestand is laatst aangemaakt, aangepast of aangeraakt, of de metadata van het bestand (bv. de toegangsrechten) zijn laatst aangepast tussen bepaalde tijdsintervallen

•

de bestandsnaam voldoet aan een bepaalde reguliere expressie

Find zal dan de volledige mappenhiërarchie doorlopen en de paden van alle bestanden die aan de opgegeven voorwaarden voldoen, weergeven. Verder kan aan find ook een commando opgegeven worden als voorwaarde dat per bestand moet worden uitgevoerd. Indien dit commando via zijn exit code16 weergeeft dat het succesvol werd beëindigd, wordt het betreffende bestand als overeenkomend aan de voorwaarde

15 http://www.unix.org/version3/ieee_std.html, laatst geraadpleegd op 05/05/'09. 16 Een uitleg over exit codes kan U hier vinden: http://en.wikipedia.org/wiki/Exit_status, laatst geraadpleegd op 05/05/'09.

12


beschouwd. Het is dus mogelijk om hier een opdracht mee te geven die via file het bestandstype van een bestand nagaat en dan succesvol eindigt als dit een bepaald bestandstype blijkt te zijn. Het voorgaande in acht nemende lijkt het dat de combinatie van find en file me dus al heel ver kan brengen voor niet-verwijderde bestanden. Interessant!

SLEUTHKIT'S

ISTAT EN STAT

Istat maakt deel uit van The Sleuthkit (TSK), een collectie van verschillende commandolijnprogrammaatjes

voor

digitaal

(forensisch)

onderzoek.

Deze

gereedschappen worden o.a. - zoals ik kan uitmaken uit de presentatie (cfr supra) – door de FCCU gebruikt. De verschillende programmaatjes werken goed samen in de zin dat ze elkaars output als input kunnen gebruiken en dat de parameters op dezelfde wijze en in hetzelfde formaat worden opgegeven. Istat geeft voor een bepaalde inode (een metadatastructuur die verwijst naar een bepaald bestand17) een hele boel informatie weer. De uitvoer is te vergelijken met wat het stat commando op Ubuntu (en soortgelijke systemen) doet voor bestanden. Directory Entry: 14 Allocated File Attributes: File, Archive Size: 11 Name: P1.DAT Directory Entry Times: Written: Thu Jul 19:31:20 2005 Accessed: Mon May 00:00:00 2009 Created: Thu Jul 19:31:20 2005

inode: 7127215 Allocated Group: 870 Generation Id: 1123389051 uid / gid: 1000 / 1000 mode: rwrr size: 41525 7 num of links: 1

File: `usbcreator.png' Size: 41525 Blocks: 88 IO Block: 4096 normaal bestand Device: 804h/2052d Inode: 7127215 Links: 1 Access: (0644/rwrr) Uid: ( 1000/ karel) Gid: ( 1000/ karel) Access: 20090505 14:01:08.000000000 +0200 May 5 Modify: 20090505 14:01:05.000000000 +0200 May 5 Change: 20090505 14:01:05.000000000 +0200 Tue May 5

4 Inode Times: Accessed: Tue 7 14:01:08 2009 File Modified: Tue 14:01:05 2009 Sectors: Inode Modified: 27376 27377 27378 27379 27380 14:01:05 2009 27381 27382 27383 Direct Blocks: 28639860 29898159 29902575 29902576 29902580 29902581 29902582 29902600 29902601 29902602 29902603

Tabel 1: Uitvoer van 'istat' op een FAT- (links) en een ext-partitie (midden). Rechts de uitvoer van 'stat'

17 Opgelet: ik gebruik, net als de documentatie van TSK steeds het woord 'inode' voor de structuren in de verschillende bestandssystemen die naar bestanden verwijzen, ongeacht of de documentatie van dat bepaalde bestandssysteem het woord 'inode' gebruikt.

13


SLEUTHKIT'S

ILS EN VERWIJDERDE BESTANDEN

Met ils is het mogelijk een lijst te krijgen van inodes op een bestandssysteem, met voor iedere inode een aantal metagegevens zoals: het tijdstip van de laatste toegang tot de gegevens waarnaar de inode verwijst, de laatste aanpassing van de gegevens of de laatste aanpassing van de metagegevens, de ID van de gebruiker of groep waartoe het bestand behoort, de bestandsgrootte, of de inode al dan niet toebehoort aan een bestand in de hiërarchie van het bestandssysteem (of het m.a.w. “gealloceerd” is of niet) etc. Het is bovendien ook mogelijk om bv. enkel de informatie op te vragen voor enkel gealloceerde of ongealloceerde inodes, inodes die nog nooit gebruikt zijn door het bestandssysteem enz. De mogelijkheid om een lijst te maken van enkel ongealloceerde inodes die bovendien wel al eens door het bestandssysteem gebruikt zijn geweest, lijkt interessant voor het zoeken van verwijderde bestanden. Dat we deze lijst dan ook nog makkelijk kunnen filteren op basis van alle datumintervallen (aangezien deze gegevens meteen worden meegegeven) maakt de boel des te interessanter. Met verwijderde bestanden worden hier die bestanden bedoeld die niet meer op het bestandssysteem zichtbaar zijn, en bv. niet de bestanden die zich in de 'prullenmand' van een eindgebruikersbesturingssysteem bevinden. Deze “prullenmand” is vaak niet meer dan een systeem dat bestaat uit een aparte map waarin de bestanden worden bijgehouden (al dan niet gecomprimeerd) en een (of enkele) bestand(en)18 waarin metagegevens

over

deze

bestanden

worden

bijgehouden

zoals

de

originele

bestandslocatie e.d. Deze bestanden zijn dus wel nog in de hiërarchie van het bestandssysteem te vinden en zullen zodanig door find kunnen opgespoord worden. Voor het 'verwijderen' van bestanden worden op de meeste bestandssystemen de gegevens

zelf

niet

verwijderd

(het

bitpatroon

blijft

m.a.w.

bestaan

op

de

gegevensdrager) maar enkel de verwijzing naar het bestaan van het bestand in het bestandssysteem. Deze 'verwijzing naar het bestaan' is niet meer dan de al dan niet “gealloceerde” status van een bepaalde inode. Deze niet in gebruik zijnde inodes verwijzen (indien ze ooit in gebruik zijn geweest) echter nog steeds naar de positie van het verwijderde bestand.

18 Bv. een klein databank-bestand of per bestand in de prullenmand een XML-bestand

14


SLEUTHKIT'S

ICAT

Het icat-gereedschap is iets dat perfect na het vorig besproken programmaatje past. Icat kopieert namelijk bestanden bij opgave van hun inode. Het doet dat niet alleen voor bestanden op het bestandssysteem maar kan ook (bij opgeven van een parameter) bestandshersteltechnieken gebruiken om verwijderde bestanden zo goed en zo kwaad mogelijk terug te toveren. De puzzel voor het zoeken naar en herstellen van bestanden begint dus hier en daar al wat ineen te vallen. Icat kan ook bij het kopiëren van een bestand de slack space (cfr infra) van dat bepaalde bestand mee kopiëren.

SLEUTHKIT'S

FFIND

Ffind's taak bestaat er in voor een bepaalde inode te achterhalen welk de bestandsnaam (en het bestandspad) is van de gegevens die er achter schuilen ... of schuilden. En net voor verwijderde bestanden is dit dus een zeer bruikbaar gereedschap (voor niet verwijderde bestanden kan de bestandsnaam makkelijker worden gevonden). Maar zo gemakkelijk komen we er ook niet vanaf natuurlijk... ook ffind komt met een prijs, namelijk de tijd die het gereedschap kan nodig hebben om een bestandsnaam te vinden. Het moet namelijk alle mapstructuren afgaan om te zoeken naar verwijzingen naar die bepaalde inode waarbij een bestandsnaam is opgegeven. Sommige opdrachten duurden op mijn persoonlijke computer algauw enkele tot tientallen seconden. Hiermee moest ik dus zeker rekening houden wanneer ik het zou gebruiken in een routine waar een hele lijst aan inodes wordt onderzocht.

SLEUTHKIT'S

DLS

Na het bekijken van gealloceerde (met find) en ongealloceerde (via ils) inodes zijn er nog een aantal gegevens door de mazen van het net geglipt: de zogenaamde slack space. Slack space is de ruimte op een harde schijf die aan bestanden is gealloceerd maar

niet

door

dat

bestand

zelf

wordt

gebruikt.

Wanneer

een

bepaald

bestandssysteem de gegevens bv. opslaat in blokken van 512 byte (op Windowssystemen een 'cluster' genoemd, bij Linux noemt met dit 'blocks') en er een bestand van 600 byte wordt opgeslagen, zullen hiervoor 2 blokken gealloceerd worden (1024 byte) maar zal maar 88 byte van het tweede blok worden gebruikt. De overige 424 byte wordt de slack space van dat bestand genoemd. 15


Dls kan uit een bestandssysteem data extraheren op basis van hun status (gealloceerd, niet-gealloceerd, slack space). Het lijkt mij dan ook mogelijk dit gereedschap te gebruiken om de slack space uit een partitie te extraheren, waarna op deze gegevens bv. zoekopdrachten kunnen worden gedaan om te kijken of bepaalde tekenreeksen voorkomen. Bestanden proberen te herstellen uit data uit de slack space is echter onmogelijk. Per definitie begint de slack space niet aan het begin van een blok, en bestanden doen dit wel, waardoor we nooit het begin van een bestand zullen terugvinden (waar juist meestal de gegevens zitten om een bestandstype te herkennen19). Bovendien is de hoeveelheid slack space per bestand steeds kleiner dan de grootte van een blok in het bestandssysteem, wat op zich een kleine hoeveelheid data is om te visualiseren. Voornamelijk wanneer hier tekst wordt in opgeslagen kan dit nog waarde hebben voor onderzoek dus, me dunkt.

MAGICRESCUE Magicrescue is een gereedschap dat een hele partitie afgaat en wanneer het gegevens van enkele gekende bestandstypes tegenkomt, het bestand zal (proberen te) herstellen.

Bovendien

werkt

dit

volledig

onafhankelijk

van

het

gebruikte

bestandssysteem. Maar enkel rozengeur en maneschijn mag men ook niet verwachten van magicrescue... Het programmaatje werkt op basis van recipes die opgegeven worden in kleine configuratiebestanden. Deze bestandjes dienen enerzijds een definitie (gelijkend op wat bij file wordt opgegeven) te bevatten en anderzijds een opdracht waarmee het bestand dan moet worden gereconstrueerd. Er zijn standaard heel weinig van zulke “recipes” meegeleverd en gewoonweg 'definities' van file overnemen lijkt ook geen mogelijkheid. Nogal een groot minpunt dus. Hiernaast weet de handleiding ook te melden dat er weinig kans is op succes bij een eerder gefragmenteerd bestandssysteem. Het programma dient dan ook enkel voor het terugvinden van data op corrupte bestandssystemen, aldus de handleiding; voor bestandsherstel op een gezond bestandssysteem raadt het zelf The Sleuthkit aan. Aangezien ik me voor mijn masterproef enkel ga toeleggen op dit laatste, laat ik magicrescue verder voor wat het is.

19 Ik bedoel hiermee de bestandshoofding of file header

16


FOREMOST Foremost is een product van de U.S. Air Force Office of Special Investigations, dat net als magicrescue aan data carving doet: het herstellen van bestanden op basis van bestandssignatuur, onafhankelijk van het gebruikte bestandssysteem. Het heeft zowat dezelfde tekortkomingen als magicrescue. Daarenboven blijkt het enkel een vooraf bepaald aantal bytes van een bestand te herstellen en niet te herstellen tot het een bestandseinde tegenkomt. Om dezelfde redenen als bij magicrescue ga ik foremost links laten liggen.

NTFSUNDELETE NTFSundelete maakt deel uit van ntfsprogs, een aantal gereedschappen voor het behandelen van NTFS-partities. NTFSundelete kan een lijst genereren van alle inodes, kan bestanden herstellen op van een bestandsnaampatroon, kan bestanden voor bepaalde inodes herstellen, enz. Met de combinatie ils+icat kan echter hetzelfde worden bereikt, ook voor NTFS-bestandssystemen. Mogelijk is NTFSundelete sneller (omdat het toegespitst is op één bepaald bestandssysteem), al kon ik dat niet merken bij een paar pogingen. Om deze reden gebruik ik voor mijn eindwerk NTFSundelete niet.

2

Apache en PHP

Zoals ik reeds vermeld heb, gebruikt mijn systeem een webserver die door de gebruiker met zijn of haar webbladerprogamma wordt aangestuurd. De webserver op zijn beurt zal, naargelang de wensen van de gebruiker, een aantal dochterprocessen aansturen om de benodigde gegevens op te halen en deze dan terug aan de gebruiker te kunnen aanbieden. Om dit alles mogelijk te maken (dynamisch de opgehaalde gegevens in HTML-opmaak omzetten om naar de webbrowser van de gebruiker te sturen), maak ik gebruik van scripting aan de serverzijde met PHP. PHP, een recursief acroniem voor “PHP Hypertext Preprocessor”, is een server side scripting taal. Wanneer een gebruiker een PHP-pagina opvraagt van een webserver die over een PHP-motor beschikt, zal deze laatste de PHP-code omzetten naar HTML-code en deze wordt dan door de webserver aan de client doorgegeven. PHP laat het gebruik 17


van variabelen toe van verschillende datatypes, allerhande lusconstructies kunnen gebruikt worden om voor een groot aantal gegevens HTML-code te genereren (bv. alle elementen van een array als rij in een tabel opnemen), er kunnen externe commando's worden opgeroepen (denk bv. aan de in het stuk hiervoor beschreven gereedschappen) enz. Als webserver heb ik Apache gekozen. Nog steeds de de facto standaard zijnde voor webbrowsers in Linux-systemen (en volgens verschillende onderzoeken heeft het ook het grootste marktaandeel onder de webservers), valt Apache ook nog eens uitstekend uit te breiden – via modules – om bv. ondersteuning voor PHP te bieden. Apache maakt bovendien deel uit van de zogenaamde LAMP-stack20 (het samen gebruiken van Linux, Apache, MySQL en (in dit geval) PHP) die voor de Ubuntu server-uitgave gerenommeerde ondersteuning krijgt21.

3

Het gebruik van shellscripts

Sommige operaties van de gebruikte gereedschappen geven geen meteen bruikbare uitvoer of zouden al te vaak moeten heropgeroepen worden of hangen meteen af van de uitvoer van een ander gereedschap. Indien we zo'n operaties vanuit PHP zouden oproepen zou de PHP-motor mogelijk per opgeroepen operatie moeten wachten op uitvoer om dan verder te beslissen welke actie er moet ondernomen worden ... en ondertussen wacht de gebruiker op antwoord van de webserver. Dit is geen taak voor PHP en zou een al te onaangename gebruikerservaring kunnen betekenen. De oplossing? Shellscripts, zoals de titel al liet weten. Een shellscript is in se een opeenvolging van opdrachten in een tekstbestandje dat uitgevoerd kan worden. Op Ubuntu (net als bij andere moderne besturingssystemen) ondersteunt de standaard commandoshell (bash – kort voor Bourne again shell) echter veel meer dan dat. Met ondersteuning voor variabelen, lusconstructies e.d. kan het zo goed als opboksen tegen de wereld van 'echte' programmeertalen. Door gebruik te maken van shellscripts kunnen we bepaalde routines in één oproep door PHP laten uitvoeren in de achtergrond en bv. aan de oproepende PHP-pagina enkel snel een statusbericht teruggeven (bv. een code die voor “routine gestart” staat 20 Wat meer info: http://nl.wikipedia.org/wiki/LAMP, laatst geraadpleegd op 06/05/'09. 21 Trivia: de oprichter van het bedrijf achter Ubuntu, Mark Shuttleworth, stond zelf ooit in voor het onderhoud van Apache.

18


of voor “routine kan niet gestart worden”). We kunnen de shellscripts hun uitvoer laten schrijven naar bestanden die dan kunnen opgevraagd worden door een ander PHP-script dat de status weergeeft van de routine. Een voorbeeld van een gebruik van een shellscript in mijn systeem is het filter.shscript dat het uitvoerbestand van het vooraf opgeroepen find commando afgaat en voor ieder bestand kijkt of het aan de bestandssysteemvoorwaarde voldoet. De uitvoer van dit script komt zelf ook weer in een ander bestand terecht. Een ander PHP-script zal routinematig opgeroepen worden om dit bestandje te bekijken en de status van de opdracht terug te geven, die dan aan de gebruiker kan getoond worden.

4

Schrijven naar het RAM-geheugen

Een typische flessenhalssituatie bij computerprogramma's is de toegang tot het secundair geheugen22. Om vertragingen van deze soort te vermijden zullen de verschillende shellscripts hun uitvoer naar een zogenaamde RAMdisk schrijven. Een RAMdisk is een deel van het RAM-geheugen dat wordt gereserveerd en waar een bestandssysteem wordt op geïnstalleerd dat dan kan worden aangekoppeld. Ook hier worden we weer door het gekozen besturingssysteem verwend. Standaard creëert Ubuntu namelijk al een RAMdisk die dynamisch groeit naargelang de behoefte tot een bepaald percentage van het aanwezige geheugen is gebruikt. Deze wordt gebruikt voor tijdelijke bestanden van systeemtoepassingen. In de map waar ik mijn applicatieonderdelen heb ondergebracht heb ik dan ook een verwijzing aangebracht naar deze RAMdisk zodat de bestandshiërarchie duidelijk blijft.

6.4

De Façade: een moderne gebruikersinterface

Om het geheel te voorzien van een fris, gebruiksvriendelijk en toegankelijk jasje, heb ik gebruik gemaakt van moderne webontwikkeltechnieken zoals Javascript (met o.a. AJAX) en CSS.

22 Dit is ons dit schooljaar niet alleen in de lessen van prof. dr. ir. K. De Bosschere op het hart gedrukt geweest, maar ook in de practica voor deze vakken aan bod gekomen.

19


1

Cascading Style Sheets

Door het gebruik van CSS wordt de inhoud van een pagina van de stijlelementen gescheiden.

Op

deze

wijze

kan

men

makkelijk

uitbreidbare,

overzichtelijke

webpagina's creëren die daarenboven heel toegankelijk kunnen worden gemaakt. Er bestaat de mogelijkheid bv. een apart stijlblad te voorzien met hoge contrastkleuren of voor een afdrukweergave enz. De stijleigenschappen van zo goed als alle elementen in de webpagina's van mijn systeem zijn in het bestand stijlblad.css opgenomen.

2

Scripten aan de client-kant: Javascript, jQuery, AJAX.

Naast het gebruik van scripts op de webserver, wordt ook van de client wat rekenkracht genuttigd (dit zal echter in veel gevallen dezelfde computer zijn, nvdr.). Door het aanwenden van Javascript kan enerzijds de inhoud van het gedrag van de pagina's gescheiden worden en kan anderzijds al snel een gebruikersinterface worden gepresenteerd waar pas nadien die gegevens worden ingevoegd waarvoor het opvragen enige tijd vergt. Het eerste punt, het scheiden van de inhoud van het gedrag van webpagina's, is naast de scheiding t.a.v. de stijlgeving (cfr. supra), een moderne webontwerptechniek met het oog op onder andere de uitbreidbaarheid en overzichtelijkheid van de code. De naam die hieraan wordt gegeven is Unobtrusive Javascript23. Het idee bestaat eruit binnen het element van een HTML pagina geen enkele gedragseigenschap uit te drukken en enkel bepaalde elementen CSS-id's en -classes toe te kennen. In de sectie bevindt zich dan een Javascriptblok of wordt verwezen naar een bestand met Javascriptcode, dat uitgevoerd wordt wanneer de pagina wordt ingeladen. Deze code dient dan om (onder andere) aan de verschillende elementen (met bepaalde CSS-id's of -classes) de gespecificeerde gedragseigenschappen te binden.

23 Zie bv. BIBEAULT, B. en KATZ, Y. “jQuery in Action”, Manning Publications Co, Greenwich – CT - USA, 2008, p 3. of http://en.wikipedia.org/wiki/Unobtrusive_Javascript, laatst geraadpleegd op 05/05/'09.

20


Hiernaast maak ik gebruik van de zogenaamde Ajax-technieken om vanuit een webpagina asynchroon data op te vragen van de webserver. Ajax staat voor Asynchronous Javascript And XML, een naam die in 2005 door Jesse James Garrett het leven werd ingeroepen24 voor een techniek die echter al langer in gebruik was ... al heeft de aanstekelijke naam zeker geen windeieren gelegd wat de adoptie van de technieken betreft. Ajax wordt gebruikt om asynchroon gegevens, zij het in HTMLindeling, XML, platte tekst of JSON-formaat (Javascript Object Notation

25

) op te

vragen van een webserver en deze dan in een weergave van een pagina te verwerken. Bij klassieke webpagina's uit het pre-Ajax tijdperk (dat nog niet zo lang achter de rug is) dient een gebruiker die naar de webpagina bladert te wachten op het inladen van de pagina. Wanneer door een klik op een koppeling meer gegevens op de pagina moeten worden weergegeven, wordt door de webbrowser een nieuwe HTTP GETaanvraag verstuurd voor de aangepaste pagina en moet de gebruiker wederom wachten tot de pagina is ingeladen. Door het gebruik van de Ajax-technieken is dit allemaal verleden tijd. Maar wat betekent dat “asynchrone” nu juist? Het komt er op neer dat de browser geïnstrueerd kan worden op de achtergrond HTTP-verzoeken te versturen d.m.v. bepaalde Javascript Ajax-functies. Aan deze functies kan bovendien (als argument) een (anonieme) terugkoppelfunctie (callback function) worden meegegeven, die in de achtergrond wordt uitgevoerd eens het HTTP-verzoek is ingewilligd. Op deze manier dient de oproepende code niet te wachten op het beëindigen van de Ajax-oproep. Een voorbeeld van het gebruik van Ajax in mijn systeem is bijvoorbeeld bij het inladen van de eerste pagina (index.php). Bij het tonen van de keuzes aan de gebruiker moet hij of zij onder andere één of meerdere partities kunnen selecteren voor het onderzoek. De lijst met partities ophalen, samen met alle data om deze te identificeren, duurt echter op zich algauw enkele seconden. Om de gebruiker niet zonder enig teken van leven secondelang te laten wachten op een antwoord op het GET request van de webbrowser, zal de indexpagina zelf meteen worden doorgegeven, met alle informatie behalve deze waar op gewacht zou moeten worden. In de HTMLcode is er echter plaats gemaakt voor het partitieoverzicht door een
element te 24 http://www.adaptivepath.com/ideas/essays/archives/000385.php,n laatst geraadpleegd 11/05/'09. 25 JSON is de wijze waarop in Javascript allerlei geavanceerde gegevenstypes als een tekenreeks kunnen worden voorgesteld.

21


voorzien waar dit perfect inpast. Een stukje Javascriptcode zal dan meteen na het inladen op asynchrone wijze het overzicht van de partities opvragen met een nieuw GET request en deze dan invoegen in het voorziene
element op de pagina. Omdat de Javascriptimplementaties van verschillende webbladeraars - en de API voor Ajax-bevragingen in het bijzonder - niet altijd gelijklopen, maak ik gebruik van de Javascript-bibliotheek

jQuery.

Deze

programmacodebibliotheek

abstraheert

de

verschillen tussen verscheidene webbrowsers en zorgt ervoor dat veel stukken Javascriptcode kunnen vervangen worden door enkele korte oproepen. jQuery maakt het ook makkelijk om enkele grafische effecten te gebruiken op een webpagina (het laten inglijden van stukken van een pagina, stukken laten wegdeemsteren enz.) Het gebruik van deze moderne technieken heeft tot doel de applicatie, alhoewel ze d.m.v. een webbrowserprogramma met de gebruiker interageert, te laten lijken op een “echte” bureaubladtoepassing. Het is met dezelfde bedoeling dat de instellingen van de gebruikte webbrowser zijn aangepast zodat de werkbalken en menu's niet meer zichtbaar zijn. Ook het rechtsklikken en selecteren van tekst op de pagina is d.m.v. Javascript uitgeschakeld om dit te verwezenlijken.

6.5

Het volledige plaatje

Na het beschrijven van de gebruikte technologieën, methoden en technieken, tracht ik onder deze titel - aan de hand van een onderzoeksscenario in stappen - een overzicht te geven van de algehele werking van het systeem.

1

Opstarten van de verdachte PC met de USB-stick

In wat aan dit deel voorafging heb ik de mogelijkheid besproken om mijn systeem ook op een ander medium dan een USB-stick (bv. een CD-ROM) te installeren. Voor mijn eindwerk heb ik echter voor een USB-stick gekozen en is de programmacode hier ook op afgestemd. De code verwacht onder andere een tweede, beschrijfbare partitie op de USB-stick om de te herstellen bestanden op te plaatsen enz. Ik heb niet de tijd gehad de toepassing onafhankelijk te maken van het soort medium of verder te testen met andere media, waardoor enkel deze situatie ondersteund is.

22


Om een PC te onderzoeken moet dus eerst van de USB-stick opgestart worden. Tijdens het opstartproces wordt de Apache webserver gestart die verbindingen op poort 80 van de PC accepteert. Tegen het einde van het opstartproces wordt een grafische schil gestart waarin standaard een webbrowserkader wordt geopend dat een verbinding aanvraagt met http://localhost/ Dit adres wordt in het configuratie-bestand /etc/hosts van het besturingssysteem aan het IP-adres 127.0.0.1 gekoppeld, de eigen computer dus. Er wordt dus door de browser een GET-verzoek verstuurd naar de Apache webserver voor de root folder, die ingesteld staat als /var/www/. De webserver gaat dan, volgens de instelling, kijken of er in deze map al dan niet een indexbestand aanwezig is en vindt dit onder de naam index.php. Dit bestand wordt door de PHP-motor omgezet in HTML-code die naar de webbrowser wordt verzonden. Deze pagina bevat op zich reeds enkel HTML-code en zal door de PHP-motor dus niet eens aangepast worden. De reden hiervoor is om de mogelijkheid tot eventuele uitbreiding met stukjes PHP-script te behouden. Een blok met een 'rel="stylesheet"' attribuut in de sectie van de HTML-pagina, zorgt ervoor dat de browser het bestand stijlblad.css opvraagt met een nieuwe GET-aanvraag en als standaard stijlblad gebruikt. Hiernaast staan in deze sectie nog een resem <script> blokken die de browser instrueren een bepaald Javascript-bestand op te vragen en in te laden. Alle in mijn toepassing gebruikte Javascript-bestanden heb ik onder een submap “js” geordend. Één van deze bestanden, index.js, bevat de nodige functies voor controle en gedrag van de interface voor het maken van de keuzes, die door de index.php-pagina aan de gebruiker worden gegeven. Een ander bestand dat hier al wordt opgehaald is onderzoek.js. Dit bestand bevat functies die gebruikt worden voor de onderzoeken zelf. Het wordt al door index.php opgehaald omdat de interface, nodig voor het uitvoeren van de onderzoeken, toch op dezelfde pagina wordt ingeladen en de ophaalinstructies voor de verschillende Javascript-bestanden dan mooi bij elkaar staan. De andere opgevraagde Javascript-bestanden zijn bibliotheekbestanden (bijna allemaal van jQuery) met functionaliteit die in de eerstgenoemde bestanden wordt opgeroepen.

23


De opgevraagde HTML-pagina bevat reeds de statische elementen van de keuzeinterface van het programma, zijnde de keuzevakken voor het soort onderzoeken, het selecteren van minimum- en maximumbestandsgroottes, datumintervallen en het zoeken op basis van bestandsnaam of -inhoud. Het index.js-bestand bevat de jQueryoproep “$(document).ready(...)”. Deze oproep zorgt ervoor dat alle programmeercode die hierin vervat zit wordt uitgevoerd eens de pagina door de webbrowser is opgebouwd, net voor ze voor de gebruiker zichtbaar is. De oproep zorgt in chronologische volgorde voor volgende dingen: •

het onzichtbaar maken van de “Start onderzoek” knop,

•

het uitschakelen van het rechtermuisklikmenu,

•

het onzichtbaar maken van de paginasectie die voorzien is voor de interface van het onderzoek zelf,

•

het uitschakelen van de mogelijkheid tekst te selecteren op de pagina,

•

het oproepen van de functie bindHideShow() die de dynamiek van de in- en uitklapkoppelingen verzorgt,

•

het oproepen van de functie laadPartitiegegevens() die de te kiezen partities asynchroon invoegt in de pagina en het mogelijk maakt deze eenvoudig te selecteren,

•

het oproepen van laadBestandstypegegevens(), een functie die de keuzes voor de verschillende (op een uitbreidbare wijze gedefinieerde) bestandstypes tevens asynchroon invoegt,

•

de functie laadOptieChecks() oproepen die voor de verschillende keuzevakjes de weergave en dynamiek instelt,

•

laadDatumSelectie() oproepen, een functie die een datumselectiewidget bindt aan de verschillende datumkeuzevakken en

•

het klikken op de knop “Start onderzoek” aan het oproepen van de functie checkKeuzes() binden. Deze gaat na of de invoer voor de verschillende velden en keuzevakken correct is. Zoniet geeft ze een waarschuwing weer. Zowel trekt ze het onderzoek op gang door een asynchroon POST-request naar de server te versturen voor de onderzoek.php-pagina.

24


HET

INLADEN VAN HET PARTITIEOVERZICHT

De functie laadPartitiegegevens zal dus het deel van de pagina voor de weergave van de verschillende op het systeem aanwezige partities inladen. Er wordt op asynchrone wijze een GET-aanvraag verstuurd voor het bestand partitie-overzicht.php. Eens dit bestand ingeladen is, worden door deze functie ook de gedragseigenschappen van de ingevoegde blokken gedefinieerd (een klik op een partitie wordt aan de functie togglePartitieSelectie gebonden) en wordt de “Start onderzoek”-knop terug zichtbaar gemaakt. In het bestand

partitie-overzicht.php staan drie dingen: een PHP-oproep om het

bestand haal-schijfinfo.php in te voegen, een functie om een bestandsgrootte in een andere eenheid om te zetten en de code voor de weergave van de gegevens. Alle PHP-code voor het ophalen van de gegevens zit voor de overzichtelijkheid apart in haal-schijfinfo.php. Dit script geeft geen uitvoer maar creëert enkel een PHP-array met

de

nodige

systeeminformatie.

Hiervoor

zal

het

eerst

het

shellscript

alle_partities.sh oproepen. Dit script geeft een uitvoer weer met per lijn de apparaatnaam van een op het systeem aanwezige partitie, waarvoor het shellscript de inhoud van het systeembestand /proc/partitions uitleest en ontleedt. De uitvoer wordt door de PHP-oproep in een PHP-array bijgehouden. Vervolgens haalt het script de apparaatnaam op van de herstelpartitie door te kijken waarnaar /dev/disk/bylabel/ccHERSTEL verwijst en slaat dit op in een variabele. Het script zal hierna voor iedere partitie uit de opgeslagen array, met uitzondering van de herstelpartitie een shellscriptje (mount.sh)oproepen dat de partitie (her)aankoppelt op het systeem met enkel leesrechten. Op deze wijze kunnen we zeker zijn dat we de gegevens op de partitie niet contamineren. Vervolgens roept het script het parted-gereedschap op, een programma dat gebruikt kan worden om een schijfpartitionering aan te passen. Het scriptje roept het gereedschap echter enkel op om een machineleesbaar overzicht te krijgen van alle schijven en partities op het systeem, samen met informatie over de gebruikte bestandssystemen, de grootte van de partitie, hoeveel ruimte er gebruikt wordt, enz. De uitvoer van deze oproep wordt wederom in een PHP-array bijgehouden. De uitvoer

25


van een oproep van het df-gereedschap, dat voor de verschillende aangekoppelde partities nog een hoop informatie toont, wordt evenzo in een array opgeslagen en meteen ontleed. Al deze informatie wordt vervolgens samengebracht in één enkele array, door het ontleden van de uitvoer van de oproep van parted, waarbij per partitie waar mogelijk de andere opgezochte informatie wordt bijgevoegd. Deze array wordt dan door de code in partitie-overzicht.php omgezet in een HTML-weergave met tabellen. Op het einde van de functie laadPartitiegegevens in index.js wordt de functie bindPartitieTooltips opgeroepen. Deze functie zal voor iedere weergegeven partitie een asynchrone GET-oproep doen voor de pagina dirtree.php met als argument het aankoppelpunt van de partitie. Dit script maakt een kleine weergave van de aanwezige bestanden en mappen in de basismap van die bepaalde partitie waarbij d.m.v. de opmaak een verschil wordt gemaakt tussen mappen, bestanden, links en uitvoerbare bestanden. Deze informatie wordt door de Javascriptcode in de pagina ingevoerd in een verborgen
-element met als CSS-id de apparaatnaam van de partitie, onder een
-element met als CSS-klasse “dirtree”, dat door partitieoverzicht.php ingevoerd werd, net onder de partitieweergave. Deze verborgen elementen worden echter zichtbaar als zwevend kader wanneer de muiswijzer boven een partitie staat (cfr infra).

2

De gebruikersinteractie met de keuzeinterface en het opstarten van het onderzoek

2.1 De interactie van de gebruiker met de keuzewidgets Eens de pagina met alle keuze-elementen is ingeladen gebeurt er niets tot de gebruiker tot interactie overgaat. Er zijn enkele manieren waarop de interface reageert op de acties van de gebruiker.

26


A

De status van keuzevakken reflecteren

De status van de keuzevakken wordt gereflecteerd in de kleur van de tekst en invoervakken die erbij horen. Wanneer een keuzevak is aangevinkt zal de tekst die erbij hoort zwart van kleur zijn en zullen de invoervelden actief zijn en dus op invoer reageren. Indien de keuzevakken echter niet geselecteerd zijn wordt de tekst lichtgrijs weergegeven en worden de invoerelementen inactief. Dit

werd

gerealiseerd

d.m.v.

een

stukje

Javascriptcode

in

de

functie

laadOptieChecks(). Deze code zorgt ervoor dat voor ieder keuzevak met CSS-klasse optiecheck bij het aanklikken de status van elk element binnen een tag (bv. een <span> of
element) met een CSS-id dat bestaat uit het id van het keuzevak gevolgd door een liggend streepje, wordt aangepast. Onder aangepast verstaan we hier dat, aan de hand van de status van het keuzevak, de CSS-eigenschappen van de elementen worden veranderd. Hiernaast zal dit stukje code ook zorgen dat, indien er binnen deze tag invoervelden voorkomen, het eerste hiervan de invoeraandacht krijgt.

B

Inklapbare secties voor de zoekrestricties

Een andere manier van reageren op de invoer van de gebruiker is het gedrag van de titels en de “volgende” knoppen van de op te geven zoekrestricties. Wanneer op één van beide wordt geklikt zal de bijhorende keuzesectie worden “ingeklapt” of m.a.w. uit de interface verdwijnen, samen met de knop. Een nieuwe klik op de titel haalt de sectie weer van onder het stof en terug in de interface. Ik heb dit gedaan om verscheidene redenen. Enerzijds zou het bij een uitbreiding van het programma misschien nodig zijn dat de gemaakte keuzes nog zichtbaar zijn (wat nu dus niet het geval is). Zodoende zou de hoeveelheid te tonen informatie nogal groot kunnen worden. De minder gebruikte zoekrestricties zouden dan uit het zicht kunnen gehaald worden om het geheel overzichtelijk te maken. Anderzijds zou een uitbreiding nog meer zoekrestricties kunnen toevoegen en zou het handig zijn delen van de interface die voor het opzetten van het specifieke onderzoek niet (meer) van nut zijn te kunnen verbergen. En tenslotte kunnen weinig gebruikte zoekrestricties eventueel standaard toegeklapt worden maar met een klik door te gebruiker tevoorschijn te toveren zijn.

27


Hoe dit werkt is heel gelijklopend aan wat ik in de vorige sectie uit de doeken heb gedaan. Iedere sectie heeft een titel met CSS-klasse “hideshow” en een uniek CSS-id. Onder dit element zit in de paginaboom een element met een CSS-id dat gelijk is aan het vorige plus “_h”. In index.js zal de code van de bindHideShow-functie maken dat een klik op de titel of de “Volgende”-knop dit element in- of uitklapt.

C

Een zwevend kader tonen met de inhoud van de partitie met de muis boven

In een vorig deel werd beschreven hoe na het inladen van het partitieoverzicht per partitie ook een verborgen
-element wordt aangemaakt met een overzicht van de inhoud van deze partitie. De functie bindPartitieTooltips doet echter meer dan alleen ophalen van deze informatie. De functie zal namelijk ook blokjes code (anonieme functies) binden met de gebeurtenissen “mouseover”, “mousemove” en “mouseout” voor de verschillende partities. Wanneer de muisaanwijzer boven een partitie komt te staan, wordt de voorheen verborgen informatie zichtbaar gemaakt in een zwevend kader naast de aanwijzer. Bij elke beweging van de muis wordt de plaats van het kader aangepast zodat het de aanwijzer volgt en wanneer de muisaanwijzer de partitie verlaat, wordt het element weer onzichtbaar.

2.2 Het bijhouden en doorgeven van de keuzes van de gebruiker Alle invoerelementen van de pagina staan in een
-element waarvan de gegevens met deze POST-aanvraag naar de server worden gestuurd. Dit is vanzelfsprekend voor de keuzevakken en invoervelden maar krijgt toch een iets aparte invulling voor de keuze van de te onderzoeken partities. De interface voor het kiezen van een partitie is per schijf als in afbeelding 2.

28


Afbeelding 2: voorbeeld voor de keuzeinterface voor partities

De verschillende partities worden weergegeven als een balkje (een tabelcel in HTML) met daarin een grafische weergave voor het gebruik van de ruimte (weer een tabel met 2 cellen in verschillende kleur), en onderaan in tekst een weergave van het aankoppelpunt, het bestandstype en de grootte. Oorspronkelijk zijn alle partities een tikkeltje transparant weergegeven zodat ze minder duidelijk weergeven zijn. Wanneer een partitie wordt aangeklikt wordt de weergave

van

deze

tabelcel

veranderd

d.m.v.

het

aanpassen

van

de

CSS-

eigenschappen zodat de transparantie wegvalt en de rand anders wordt weergegeven. Dit alles gebeurt door de Javascript functie togglePartitieSelectie(). Deze functie houdt echter ook in een Javascript array bij welke partities geselecteerd zijn. Deze array wordt in een onzichtbaar invoerveld in het HTML -element ingevoerd zodat deze informatie meegegeven kan worden aan onderzoek.php.

2.3 Het verloop van het onderzoek Zoals reeds beschreven, wordt de functie checkKeuzes() uit index.js uitgevoerd wanneer de gebruiker, na het instellen van de verschillende onderzoeken, op “Start onderzoek” klikt. Indien er geen problemen werden gevonden zal het blokje Javascriptcode hier het formulier verzenden aan de server. Deze gegevens worden, volgens wat in de HTML -tag in index.php ingesteld staat, naar de pagina onderzoek.php gestuurd. Het antwoord van dit verzoek (de HTML weergave van onderzoek.php) wordt in de door index.php voorziene
ingevoerd. De weergave van de keuzes wordt door dezelfde Javascriptcode verborgen 26 en de voorheen onzichtbare
waarin de weergave voor het onderzoek werd ingevoegd wordt zichtbaar gemaakt. 26 Ze wordt echter niet verwijderd voor mocht het in een mogelijke uitbreiding wenselijk zijn de keuzes zichtbaar te houden

29


A

Onderzoek.php

In onderzoek.php worden drie dingen gedaan. Ten eerste worden de gegevens (de gemaakte keuzes) die door het POST-verzoek werden verzonden hier ontleed en in een formaat gezet dat makkelijk aan de verschillende onderzoeksfuncties kan doorgegeven worden. Hiernaast wordt per te onderzoeken partitie een skelet (d.m.v. enkele lege
-elementen) opgebouwd waar de verschillende elementen voor de weergave van het onderzoek kunnen ondergebracht worden. Ten laatste zorgt een stukje Javascript ervoor dat, wanneer de gebeurtenis “volgendOnderzoek” wordt afgevuurd, een onderzoek op poten wordt gezet voor een bepaalde partitie door het oproepen van een anonieme functie. Welke partities er dienen onderzocht te worden, wordt bijgehouden d.m.v. een Javascript-array. Per keer dat de anonieme functie wordt opgeroepen, wordt het eerste element uit de array

gehaald

onderzoek(...)

en uit

als

onderwerp

onderzoek.js

voor

wordt

het

onderzoek

opgeroepen

met

genomen. als

De

functie

argumenten

de

verschillende gegevens voor het onderzoek. Wanneer de array leeg is dienen er geen onderzoeken meer te gebeuren en zal de functie de boodschap “Onderzoeken afgelopen” invoegen op het einde van de pagina. Na het inschrijven van de anonieme functie op de gebeurtenis “volgendOnderzoek” wordt deze gebeurtenis ook nog eens afgevuurd door het stukje Javascriptcode, waardoor het eerste onderzoek begint. Aan het einde van ieder onderzoek zal de gebeurtenis opnieuw worden “afgevuurd”.

B

Het gebeurtenissensysteem (event system)

Zoals reeds kort hiervoor besproken, maak ik gebruik van een zogenaamd “gebeurtenissensysteem” (of event system in het Engels). Het komt er dus op neer dat een aantal functies “ingeschreven” worden op bepaalde gebeurtenissen, zodat, wanneer deze “gebeurtenis” voorvalt, de functie automatisch wordt uitgevoerd. Hiernaast is het dus nodig deze verschillende “gebeurtenissen” te laten plaatsvinden of “af te vuren”. Javascript heeft hiervoor een ingebouwd systeem dat ik, zei het in een platformonafhankelijk jQuery-jasje, gebruik. Dit is in se net hetzelfde systeem dat ik reeds gebruik om functies te laten uitvoeren naar aanleiding van bv. een muisklik van de gebruiker, al buit ik het hier iets verder uit om de verschillende (stappen van

30


de) onderzoeken in de juiste volgorde te laten uitvoeren, door zelf gebeurtenissen te definiëren. Alle functies voor het onderzoek (behalve die ene hierboven reeds besproken anonieme functie) hebben een plaatsje gekregen in onderzoek.js. De functie onderzoek(...) is de dirigent voor het onderzoek per partitie. De functie zal de verschillende andere functies in hetzelfde bestand inschrijven op de verschillende “gebeurtenissen” en verschillende gebeurtenissen afvuren (net als de functies zelf), naargelang welke onderzoeksstappen voor de partitie moeten worden genomen. Zo zal een functie die een onderzoek in de achtergrond uitvoert een event afvuren wanneer het onderzoek gestart is, waar een andere opvolgfunctie op ingeschreven werd door onderzoek(...). Wanneer de opvolgfunctie gedaan is, zal deze dan weer een gebeurtenis afvuren om dit te laten weten, waarop de functie voor de volgende onderzoeksstap is ingeschreven, enz. Naast onderzoek(...) zijn er nog 5 belangrijke functies in onderzoek.js te vinden: find(...), file(...), ils(...), ifilter(...) en volg(...). Ieder van de eerste vier functies staat in voor een stap in het onderzoek van een partitie. De functie volg(...) staat in voor de opvolging van deze onderzoeksstappen, het aanpassen van de status van het onderzoek in de weergave en het afvuren van een event wanneer de onderzoeksstap gedaan is.

31


Afbeelding 3: de 'flow' van het onderzoek voor één partitie d.m.v. het gebeurtenissensysteem

32


DE

FUNCTIE FIND(...)

Net als bij de drie functies die ik hierna bespreek, is de naam van deze functie ook te herkennen in het PHP-script dat het oproept en het gereedschap dat door dit script aan het werk wordt gezet. De find()-functie staat in voor het opzoeken van bestanden op het bestandssysteem volgens de zoekrestricties. Onder de motorkap wordt het GNU find-gereedschap gebruikt dat ik reeds besprak in dit eindwerk. Het is mogelijk om GNU find meteen ieder bestand te laten controleren op bestandstype door het, als argument, file (het ander reeds besproken gereedschap) te laten oproepen.

Aangezien

dochterproces)

echter

het nog

oproepen eens

van

file

vertragend

(en werkt,

dus

het

leek

starten

het

me

van

een

beter

het

bestandstypeonderzoek in een aparte stap te steken waar het enkel dient te gebeuren ten aanzien van de bestanden die reeds door find zijn gevonden. Een tweede voordeel voor deze aanpak is dat de gebruiker minder in het ongewisse wordt gelaten. Ik heb namelijk geen manier gevonden om vooruitgangsindicatie weer te geven voor het find gereedschap.27 Het onderzoek van file kan makkelijk gevolgd worden aangezien men steeds weet aan het hoeveelste bestand het zit en hoeveel bestanden er onderzocht dienen te worden. De find(...)-functie in onderzoek.js roept asynchroon doe_find.php op en voegt het antwoord van dit script in de door onderzoek.php voorziene plaats in. Dit antwoord is de HTML-code voor een titeltje, een nog in te vullen weergave voor het laatst gevonden bestand en het aantal gevonden bestanden en de voorziene links voor het openen van de verschillende weergaven (cfr infra). Dit PHP-script roept in de achtergrond het find-gereedschap op dat zijn uitvoer naar een bestand op de RAMdisk dient te schrijven en zijn process-id in een apart bestand op dezelfde plaats (dit om de opvolging makkelijker te maken). Eens deze bal aan het rollen is, wordt door het gebeurtenissensysteem de volg(...)functie opgeroepen met als argumenten de naam van het apparaat en “find” om aan te geven welk proces gevolgd moet worden. Voor de werking van de volg(...)-functie , cfr infra.

27 Het is eventueel mogelijk een schatting te maken van de tijd dat dit zou kunnen duren aan de hand van het aantal bestanden dat in het bestandssysteem aanwezig is.

33


DE

FUNCTIE FILE(...)

Deze functie doet haar werk op quasi dezelfde manier als find(...). In de achtergrond wordt door doe_file.php echter niet het file-gereedschap zelf opgestart maar een shellscript (filter.sh) dat dit voor elk bestand in de uitvoer van find oproept. Dit shellscript schrijft zijn uitvoer naar twee bestanden op de RAMdisk: één bestand houdt een

lijst

bij

met

alle

door

file

gevonden

bestanden

(die

dus

aan

de

bestandstypevoorwaarden voldoen), het andere bestand houdt bij hoeveel bestanden er al zijn gefilterd. Op deze manier kan de opvolgfunctie makkelijk de status achterhalen van deze functie.

DE

FUNCTIE ILS(...)

Net als bij find heeft men bij het ils-gereedschap het ongemak dat men niet kan weten hoever de zoekopdracht (naar inodes van verwijderde bestanden) al gevorderd is.28 Om deze reden zal gewacht worden tot de volledige lijst is opgemaakt alvorens deze lijst te filteren. Het zou bovendien onwijs zijn meer informatie over de inodes op te vragen terwijl de lijst verder wordt opgebouwd omdat de leeskoppen van de harde schijf dan waarschijnlijk te vaak van plaats zouden moeten wisselen. Om dezelfde reden worden ook de verschillende onderzoeksstappen voor de verschillende partities beurtelings uitgevoerd en niet parallel. Deze functie roept asynchroon doe_ils.php op, dat in de achtergrond het ilsgereedschap zijn werk laat doen. Het PHP-script maakt ook een (lege) weergave voor de status aan. De uitvoer van ils wordt wederom naar de RAMdisk geschreven. Net als bij find houdt één bestand de lijst met gevonden items (in dit geval: inodes) bij. Een ander bestand bevat, ook ten behoeve van de opvolging, het process-id.

DE

FUNCTIE IFILTER(...)

De laatste van de vier gelijkende functies is diegene die de lijst met gevonden inodes filtert. Deze functie lijkt in opzet op de file(...)-functie, al zijn er natuurlijk verschillen in werkwijze (anders zou er geen bestaansreden voor deze functie zijn). In

28 Een schatting van de benodigde tijd zou eventueel mogelijk zijn op basis van het aantal inodes aanwezig in het bestandssysteem.

34


tegenstelling

tot

de

file(...)-functie,

die

enkel

opgeroepen

wordt

als

er

op

bestandstype moet worden gefilterd, wordt deze functie altijd opgeroepen, al was het maar om de inodes met lege bestandsinhoud er meteen uit te halen. De functie ifilter(...) roept – hoe onverwachtbaar ook – asynchroon doe_ifilter.php op, dat op zijn beurt, naast het opmaken van een patroon waar de statusweergave in komt, in de achtergrond het shellscript ifilter.sh laat lopen. Net als bij file wordt de status (als in het aantal overlopen inodes) bijgehouden in een bestand en de lijst met treffers in een ander bestand.

DE

OPVOLG-FUNCTIE VOLG(...)

De opvolgfunctie krijgt, zoals reeds aangestipt, steeds twee argumenten: de naam van het apparaat dat onderzocht wordt en het proces dat moet opgevolgd worden. De functie zal steeds haar argumenten doorgeven aan de functie poll(...), die ze om de 300 milliseconden oproept. Deze functie roept d.m.v. een asynchrone POST-aanvraag het PHP-script progress.php op, waarbij de naam van het apparaat en het proces nog eens doorgegeven worden. Dit script creëert, afhankelijk van het proces, een uitvoer waaruit de status van het proces kan afgeleid worden, in een soort XML-formaat29. De poll(...)-functie zal dan afhankelijk van het proces deze uitvoer ontleden en de gegevens gebruiken om een weergave van de status te maken voor de gebruiker. Zo wordt de naam van het laatst gevonden bestand en het aantal gevonden bestanden weergegeven voor find, zal het aantal gevonden inodes bij ils worden weergegeven en zal zowel voor file als voor ifilter d.m.v. een statusbalkje worden weergegeven hoever het proces is gevorderd. Wanneer de poll(...)-functie merkt dat het proces is beëindigd, zal het alle tellers die door volg(...) zijn opgestart en die voor dit proces nog lopen afzetten en een gebeurtenis afvuren opdat het volgende deel van het onderzoek kan worden aangevat.

29 De gegevens zijn door zogenaamde tags omgeven zoals in XML. Het is hier echter niet de bedoeling geweest de XML standaard strikt op te volgen.

35


HET

GEBRUIK VAN SUDO

De verschillende gereedschappen en shellscripts die door de toepassing worden opgeroepen, hebben vaak toegang nodig tot gegevens en locaties die niet toegankelijk zijn voor de ongeprivilegieerde gebruiker waaronder de webserver draait. Aangezien ik maar een beperkt aantal gereedschappen gebruik die extra privileges nodig hebben, heb ik er voor geopteerd de webserver zonder extra privileges te laten draaien. De gereedschappen die extra privileges nodig hebben worden uitgevoerd m.b.v. sudo. Dit systeem laat een ongeprivilegieerde gebruiker, die zich zal moeten authentiseren d.m.v. zijn of haar eigen wachtwoord, toe om voor het uitvoeren van een bepaald proces (samen met eventuele subprocessen) tijdelijk extra privileges te verkrijgen. De configuratie van wie dit al dan niet mag, kan enkel aangepast worden door een gebruiker met administratieprivileges. Het is echter mogelijk in ditzelfde configuratiebestand (/etc/sudoers) een lijst opdrachten op te sommen waarvoor een bepaalde gebruiker zich niet eerst moet authentiseren d.m.v. een paswoord. Ik heb dan ook voor de gebruiker waaronder de webserver draait (www-data) in dit bestand een opsomming gemaakt van de verschillende gereedschappen en shellscripts die ik gebruik. Hiernaast worden deze oproepen steeds met sudo gedaan. Het resultaat is dat al deze processen toegang hebben tot de gegevens op de verschillende schijven, net wat we wilden.

2.4 Weergaven voor de resultaten en het herstellen van bestanden Tijdens de onderzoeken worden per onderzoeksstap enkele koppelingen aangemaakt onderaan de statusweergave. Bij het zoeken en filteren van de bestanden door de find- en file-stap, worden er koppelingen gecreëerd voor een lijstweergave en een bladerweergave van de gevonden bestanden. Voor de onderzoeksstappen voor verwijderde bestanden opent de aangemaakte koppeling een lijstweergave van de gevonden inodes. Voor alle onderzoeksstappen is er tevens een koppeling voorzien voor het aanmaken van een “rapport”. De verschillende resultaatsweergaven worden in een apart venster geopend d.m.v. het “target=_blank” argument in de HTML-code.

36


A

Bestandslijstweergave,

inodeslijstweergave

en

herstellen

van

verwijderde bestanden De lijstweergave voor bestanden of inodes wordt door hetzelfde PHP-script verzorgd. Via de HTTP GET-methode wordt aan bestandslijst.php een aantal parameters, waaronder het pad naar de resultaten van het onderzoeksgedeelte, meegegeven. Voor de weergave van bestanden wordt hiernaast het aankoppelpunt van de partitie meegegeven zodat meer info opgehaald kan worden van het bestandssysteem. Voor de inodeslijstweergave wordt enerzijds een variabele 'i' met waarde 1 meegestuurd, waardoor het script weet dat het om een lijst van inodes gaat, en daarnaast de apparaatnaam van de partitie en het soort bestandssysteem. Aangezien deze weergave een lijst toont van de gevonden bestanden of inodes, verspreid over verschillende pagina's met een maximum per pagina, kan ook dit maximum meegegeven worden (zoniet wordt de waarde '30' gebruikt) en de pagina die dient worden afgebeeld (die standaard de eerste pagina is). Omdat de verschillende weergaven in een aparte pagina worden geopend, wordt door de pagina ook het stijlblad en de jQuery bibliotheek heringeladen. Bovendien worden nog twee Javascript-bestandjes opgehaald: bestandsbeheer.js en inodesbeheer.js die voor beide gevallen het gedrag van de weergave regelen. Via een combinatie van de cat, tail en head commandolijngereedschappen - die respectievelijk het volledige, het einde en het begin van een bestand30 lezen, selecteert het script de juiste lijnen op basis van het paginanummer en het aantal maximum weer te geven items per pagina. Deze lijst wordt dan door het script verder ontleed en de gegevens worden in een tabel weergegeven. Voor de bestanden wordt voor het bestandspad een icoontje weergegeven dat voor afbeeldingen asynchroon wordt omgezet in een miniatuurafbeelding. Voor de inodes krijgt alle informatie uit de uitvoer van ils een plaats in de weergave, met daarnaast een link voor het herstellen van het bestand naar de herstelpartitie. Wanneer op een bestandsnaam of -icoontje geklikt wordt, wordt een zwevend kader geopend dat een hoop relevante informatie over dat bestand ter beschikking stelt. Het vervangen van de icoontjes, het herstellen van bestanden en het ophalen en tonen van de bestandsinformatie wordt door de Javascript-functionaliteiten mogelijk gemaakt. 30 Of invoerstroom

37


HET

BESTANDSBEHEER.JS-SCRIPT

Dit script bestaat uit één grote $(document).ready(...) functie die dus, zoals reeds besproken, net na het inladen van de weergave wordt uitgevoerd. Deze functie gaat alle rijen in de tabelweergave af (er is er één per bestand aangemaakt). Hiervoor doet ze enerzijds een asynchrone GET-aanvraag voor besttype.php met als argument het bestandspad. Dit haalt de functie uit een attribuut dat door bestandslijst.php aan deze tabelrij werd toegekend. Het besttype.php-script voert het file commando uit en geeft de uitvoer weer in een soort XML-opmaak zoals ook progress.php dat doet (cfr supra). Het Javascriptblok zal het bestandstype hier uithalen en opslaan in een verborgen
-element dat nog gebruikt kan worden als zwevend kader voor de bestandseigenschappen. Indien het type

overeenstemt

met

een

afbeeldingstype

zal

het

script

eveneens

het

bestandsicoontje vervangen door een miniatuurweergave van de afbeelding en de afbeelding, geschaald, in het verborgen
-element invoegen als afbeeldingsvoorbeeld. Hiernaast wordt per bestand ook een anonieme functie ingeschreven op het event voor een muisklik. De functie zal – indien dit nog niet is gebeurd - de aanvullende bestandsinformatie (naast 'bestandstype') ophalen en eveneens in de verborgen
voor het zwevend kader plaatsen, waarna dit kader zichtbaar wordt gemaakt op de plaats van de muisaanwijzer . Het ophalen van de bestandsinformatie gebeurt door een asynchrone GET-oproep van het PHP-script bestandseigenschappen.php, dat het stat-commando31 oproept en de uitvoer ontleed en in een HTML-tabel giet.

HET

INODESBEHEER.JS-SCRIPT

Het script dat de gedragseigenschappen voor de inodeslijstweergave voor zijn rekening neemt, doet in se twee zaken: de namen van de bestanden die achter de inodes schuilen opzoeken en het herstellen van bestanden mogelijk maken. Beide worden ook hier vanuit één grote $(document).ready(...)-functie geregeld.

31 Dit commando vraagt van het bestandssysteem allerlei metagegevens omtrent een bestand op.

38


Voor het ophalen van de namen van de verwijderde bestanden, zal een stukje Javascript rij per rij de tabel met inodes afgaan en voor ieder asynchroon inodenaam.php oproepen, met als argumenten de apparaatnaam, het inodenummer en het bestandstype. Dit PHP-script zal dan het reeds besproken ffind gereedschap van The Sleuthkit oproepen en de eerst gevonden naam teruggeven. Deze naam wordt door de Javascriptcode in de pagina ingevoegd. Hiernaast wordt de herstelkoppeling tot leven gebracht. Voordat het Javascriptje met dit opzet de verschillende tabelrijen afgaat staat er namelijk enkel de tekst “herstel”, die op zich niets doet. De Javascriptcode zal er dus enerzijds voor zorgen dat de muisaanwijzer verandert indien de muis over de koppeling komt. Hiernaast wordt aan een klik op het woord een anonieme functie gekoppeld die het herstel mogelijk maakt. Deze functie verstuurt een asynchrone oproep voor herstel.php naar de server met de POST-methode. Als argumenten worden de apparaatnaam, het bestandssysteemtype, het inodenummer en de naam en bestemming voor het te creëren bestand meegegeven. Het PHP-script voert het herstel.sh-shellscriptje uit dat onder de motorkap icat oproept. Dit script geeft als uitvoer de status “1” of “2” weer, respectievelijk voor een geslaagd of mislukt herstel. Deze status wordt door het PHPscript in een soort XML-opmaak (zoals reeds eerder gebruikt) verpakt die dit aan de Javascriptcode doorgeeft. Het Javascriptje zal naargelang de status de weergave aanpassen. Bij een geslaagd herstel wordt de link in een andere kleur weergegeven. Zodoende blijft de link zichtbaar indien het nodig zou blijken het bestand nogmaals te herstellen. Indien het herstellen niet lukte wordt dit ook aan de gebruiker medegedeeld. De bestanden worden steeds (dit is in de programmacode zo vastgelegd)

hersteld

naar

/media/ccHERSTEL,

het

aankoppelpunt

voor

de

herstelpartitie. In een mogelijk toekomstige uitbreiding zou dit instelbaar kunnen worden in de interface in die zin dat een apparaat kan gekozen worden waarop herstelde bestanden moeten geplaatst worden.

B

Bladerweergave voor gevonden bestanden

Naast de lijstweergave, kan de gebruiker ook door de lijst met gevonden bestanden bladeren alsof hij of zij op een bestandssysteem door de mappen bladert. Deze functionaliteit wordt door het bestandsbladeraar.php-script verzorgd. Net als de

39


lijstweergave krijgt dit script via de GET-methode het pad naar de lijst met gevonden bestanden en het aankoppelpunt mee. Hiernaast kan ook de “huidige map” worden meegegeven die standaard op “/” staat ingesteld. De lijst met bestanden wordt dan steeds afgegaan en van ieder bestandspad wordt eerst aan het begin de huidige map afgehaald. Hierna wordt van het overgebleven pad enkel het begin afgehaald: de eerste mapnaam of als het een bestand is al het overgeblevene. Deze lijst wordt gesorteerd en hieruit worden enkel unieke waarden gehaald. Dit alles gebeurt door een combinatie van de gereedschappen sed (een 'stream editor' waarmee een stroom gegevens d.m.v. reguliere expressies kan worden aangepast), sort (een gereedschap waarmee een stroom gegevens kan worden gesorteerd), uniq (dat uit een lijst gegevens de unieke waarden haalt) en grep (om bepaalde waarden uit een lijst gegevens te filteren). Zo zal de uitvoer van deze combinatie van gereedschappen met als huidige map “karel/Afbeeldingen” en als aankoppelpunt “/home” als volgt zijn: Invoer

Uitvoer

/home/karel/Afbeeldingen/UgentLogo.png /home/karel/Afbeeldingen/Profielfoto.jpg /home/karel/Afbeeldingen/VakantieFotos/Foto.jpg

UgentLogo.png Profielfoto.jpg VakantieFotos/

Tabel 2: vb. voor het gebruik van de gereedschappen om in een lijst met bestandspaden te bladeren

Bestanden worden net als in de bestandslijstweergave gepresenteerd d.m.v. een icoontje met daarna de bestandsnaam. Hiervoor wordt ook een Javascriptje ingeladen dat net hetzelfde werk verricht als bij deze weergave: het bestandstype wordt opgezocht, voor afbeeldingen worden voorbeeldminiaturen voorzien en het aanklikken van een bestand geeft een overzicht van de bestandseigenschappen (cfr supra). Voor mappen wordt een soortgelijke weergave gemaakt. Een mapicoontje wordt gevolgd door de naam van de map. Zowel het icoontje als de naam fungeren echter als koppeling voor het openen van die bepaalde map in hetzelfde kader. Het bestandsbladeraar.php-script wordt dan met dezelfde argumenten opgeroepen, zij het met een aangepaste “huidige map”.

40


C

Rapporten

Naast de twee vorige weergaven die gemaakt zijn om de onderzoeker vanop een computer de gevonden items interactief te laten bestuderen, is het ook mogelijk een “rapport” te laten aanmaken voor elke stap van het onderzoek. Er wordt dan op basis van de uitvoer van de onderzoeksstappen een HTML-pagina aangemaakt, die op de herstelpartitie wordt opgeslagen, met een overzicht van de gevonden bestanden of inodes. Deze rapporten kunnen dan bv. door de gebruiker worden afgedrukt. Het aanklikken van een rapportkoppeling roept het rapport.php-script op in een nieuw kader (op dezelfde wijze als dit voor de andere weergaven werd gedaan). Via de GETmethode worden de apparaatnaam en het onderzoekstype (find, file, ils of ifilter) meegegeven. Dit script start in de achtergrond het maak_rapport.sh-shellscript (waar het de opgegeven argumenten aan doorgeeft) en toont een boodschap dat het kader mag gesloten worden. Het maak-rapport.sh-script zal een bestand aanmaken op de herstelpartitie met in de naam: de apparaatnaam van de partitie, het type onderzoek en de datum en tijd van het aanmaken van het rapport. Hiervoor schrijft het eerst een vaste hoofding weg naar dit bestand: de inhoud van rapport_header.html, dat voornamelijk een HTML sectie omvat met de stijlattributen voor deze pagina. De stijlattributen zijn hier in de HTML-pagina zelf opgenomen zodat de bestanden makkelijk te verplaatsen zijn, zonder steeds een stijlblad mee te hoeven verplaatsen. Na het invoegen van de vaste hoofding voegt het script een titel toe, waarin ook weer dezelfde gegevens als in de bestandsnaam zijn opgesomd (zodat het bij het afdrukken duidelijk blijft om welke gegevens het gaat). Hierna wordt een tabel gecreëerd met voor iedere lijn in het invoerbestand (de uitvoer van de onderzoeksstap) een rij. Boven de tabel wordt weergegeven hoeveel items er zijn gevonden en iedere tabelrij start met een volgnummer. Op deze wijze kan steeds gekeken worden in hoeverre de weergave (of de afdruk) compleet is. Aangezien het rapport voor een inodeslijst wordt opgebouwd op basis van de uitvoer van bv. ils, worden de bestandsnamen hier niet weergegeven. Om dit op te lossen zou in een toekomstige uitbreiding bv. bij het opvragen van een bestandsnaam (in de lijstweergave), het resultaat beter teruggeschreven worden naar het bestand met de uitvoer van het onderzoek. Hierbij zou dan ook een bitje per inode moeten worden 41


opgeslagen dat weergeeft of de bestandsnaam al dan niet is opgehaald. Bij het aanmaken van het rapport zou de gebruiker dan kunnen kiezen al dan niet de overige bestandsnamen op te halen.

42

Eindbedenkingen en mogelijke uitbreidingen

7 Eindbedenkingen en mogelijke uitbreidingen In een achttal weken heb ik getracht een zo goed mogelijk antwoord te bieden op de probleemstelling van de RCCU Antwerpen. Vooreerst meen ik dat ik er in geslaagd ben een systeem te ontwerpen dat - zoals gevraagd - op basis van bestandsgrootte, -naam en -signatuur en de tijdspannes waartussen bestanden op verschillende wijzen zijn beroerd, een harde schijf kan afschuimen naar al dan niet verwijderde bestanden. En zoals de opdrachtgever wenste is er ook de mogelijkheid de verwijderde bestanden te herstellen naar een andere gegevensdrager dan de onderzochte, is de lijst met bestandstypedefinities

uitbreidbaar,

zijn

zowel

de

FAT-,

NTFS-

en

EXT-

bestandssystemen ondersteund en kunnen de oorspronkelijke metagegevens omtrent de bestanden worden bijgehouden (d.m.v. de rapporten). Dit alles kan ook nog eens voltrokken worden in een – naar mijn bescheiden mening – niet overdreven tijdspanne.32 Toch zijn er bij mij tijdens, en vooral na het ontwikkelen van het systeem een heleboel bedenkingen gerezen. In dit deel overloop ik enkele van deze bedenkingen: dingen die ik liever anders had gedaan (met een uitleg waarom ik het dan toch niet zo gedaan heb), dingen die ik nog meer willen doen had, obstakels die ik niet heb kunnen overwinnen

etc.

Sommige

dingen

waren

namelijk

gewoonweg

onmogelijk

te

implementeren om bepaalde redenen. Voor andere had ik dan weer geen tijd meer; software moet namelijk niet alleen geschreven worden maar ook nog eens getest, debugged, herschreven (en weer getest, debugged ...) en gedocumenteerd. Hierna maak in nog even een overkoepelende eindbedenking voor dit werk.

HET MODEL-VIEW-CONTROLLER

33

ONTWERPPATROON

In de lessen van prof. dr. ir. Dhoedt is het MVC design pattern ook de revue gepasseerd. Het idee bestaat eruit de broncode zo te organiseren dat ze in drie voor zichzelf verantwoordelijke eenheden is opgedeeld: het gegevensmodel, de weergave en de toepassingslogica. Het voordeel van deze opsplitsing is een meer leesbare 32 Ik kan echter geen vergelijking maken met andere bestaande pakketten aangezien ik hier niet over beschik en er ook de tijd niet meer voor heb. 33 Voor info: kijk bv. http://java.sun.com/blueprints/patterns/MVC.html, laatst geraadpleegd 13/05/'09.

43


broncode en een makkelijker uitbreidbaar systeem. Omdat de weergave bv. een aparte module is, is deze makkelijk te verwisselen met een compleet andere weergave van dezelfde data. Aangezien ik maar een heel korte periode had om alles op poten te zetten was er geen tijd om over te gaan tot een planning vooraf of een herschrijven van de hele applicatie onderweg. De eerlijkheid gebiedt me te zeggen dat mijn applicatie zoals ze nu bestaat meer is ontstaan als een proof of concept op basis van trial and error dan een product van een weluitgedachte planning (al zijn de meeste concepten natuurlijk wel eerst op papier uitgewerkt voordat ze werden geïmplementeerd). Mocht ik ooit de mogelijkheid krijgen aan dit systeem verder te werken zou ik zeker de moeite nemen om te kijken of dit – of een ander gelijkend – ontwerppatroon een kandidaat is voor dit project en het systeem mogelijk hiernaar herschrijven na een welbedacht plannen van het volledige pakket.

MOGELIJKHEID

TOT ANNULEREN VAN EEN ONDERZOEK(SSTAP) EN MEER

...

Één van de zaken die ik nog graag geïmplementeerd had gezien was de mogelijkheid om tijdens het lopen van een onderzoek bepaalde stappen te onderbreken. In se zou dit niet ál te moeilijk zijn. Het implementeren van deze functionaliteit vergt o.a. de aanpassing van het systeem van de opvolging van de status van de verschillende processen. Er zou bv. een status moeten voorzien worden voor processen die beëindigd werden voor ze hun taak volledig volbrachten. Ik heb er echter van afgezien dit te implementeren omdat de tijd die ik nog overhad voor het programmeren schaars was op het moment dat dit me te binnenschoot en er nog andere delen moesten volmaakt worden om aan de probleemstelling te voldoen. In een eventuele uitbreiding zou ik dit zeker opnemen in de mogelijkheden van het pakket. Hiernaast zou het misschien ook interessant zijn het mogelijk te maken een proces te pauzeren en later te hervatten. Of om een onderzoeksstap als invoer de opgeslagen uitvoer van de vorige stap te laten gebruiken die tijdens een andere sessie werd uitgevoerd. Of om verschillende onderzoekers vanop verschillende computers op het

44


netwerk verschillende onderzoeken te laten opzetten die dan in een wachtrij worden gezet die te manipuleren valt waarbij het ene onderzoek gepauzeerd wordt om een ander voorrang te verlenen... De mogelijkheden zijn legio.

BIJHOUDEN

VAN

DE

OPGEZOCHTE

NAMEN

VOOR

INODES

EN

ONDERSTEUNING

VOOR

MEER

DAN

ÉÉN

MOGELIJKHEID

Bij het bekijken van de lijstweergave van inodes worden de namen van de verwijderde bestanden in de achtergrond opgezocht en ingevuld in de weergave. Deze namen worden echter nergens opgeslagen. Het zou veel interessanter zijn mochten deze namen in het invoerbestand worden bijgevoegd zodat deze later in het onderzoek nog kunnen gebruikt worden. Zo toont het rapport dat voor gevonden inodes wordt aangemaakt geen bestandsnamen, wat het voor de onderzoeker veel minder bruikbaar maakt. Indien de namen in het bestand met het overzicht van de inodes worden ingevoegd zouden bij het aanmaken van een rapport de ontbrekende namen kunnen worden opgezocht en ingevoerd en een rapport worden gecreëerd dat deze informatie bevat. Een tweede probleem is het feit dat een zoektocht naar de naam van het bestand waar een bepaalde inode ooit naar verwees soms meerdere mogelijkheden kan opleveren. In dit geval wordt door het programma steeds gewoonweg de eerst gevondene gekozen voor de weergave en het herstel, wat echter suboptimaal is. Het zou veel correcter zijn alle mogelijkheden weer te geven in de weergave en de onderzoeker de keuze te geven welke bestandsnaam wordt gebruikt voor het herstel, of het bestand bv. met alle mogelijke bestandsnamen op de herstelpartititie te plaatsen. In het rapport zouden dan ook de verschillende bestandsnamen sowieso moeten worden weergegeven. De reden dat ik er niet toe gekomen ben dit te realiseren is opnieuw het feit dat de tijd me ontbrak. Dit is echter een zeer belangrijke verbetering die ik bij een mogelijke uitbreiding zeker niet over het hoofd zou zien.

45


MEER

META- EN INHOUDSGEGEVENS TONEN IN HET BESTANDSEIGENSCHAPPENVENSTER

Voor vele soorten mediabestanden worden in de bestandsinhoud een aantal gegevens over het bestand bijgehouden: de zogenaamde metadata. Voor foto's worden vaak bv. de datum van het maken van de foto bijgehouden, het merk, model en het serienummer van de camera, of de foto in landschaps- of potrethouding werd getrokken e.d. Sommige moderne apparaten – met ingebouwd GPS-systeem – houden zelfs bij waar de foto werd getrokken. Dit is allemaal zeer waardevolle informatie in de forensische context. Het zou dan ook zeer makkelijk zijn mocht ook deze informatie bij de bestandseigenschappen worden weergegeven wanneer een onderzoeker de gevonden bestanden doorneemt. Er zijn echter veel verschillende mediaformaten, en voor bv. JPEG-afbeeldingen alleen al zijn er dan nog eens verschillende standaarden voor het opslaan van deze metagegevens. Om nog maar te zwijgen over de verschillende versies van deze standaarden of interpretaties van de standaarden.34 Hiernaast zou het enorm handig zijn mocht ook voor andere formaten dan afbeeldingsformaten een voorbeeld van de inhoud van het bestand kunnen worden getoond wanneer de bestandseigenschappen worden opgevraagd. Er zijn een hele resem

openbrongereedschappen

voorhanden

om

bv.

voorbeeldafbeeldingen

te

genereren voor verschillende bestandsformaten of om de tekstuele gegevens (inclusief opmaak) uit bepaalde bestanden te extraheren. Een voorbeeld is vinetto, een commandolijngereedschap - waar ik tijdens het schrijven van dit werk op stootte – om de door MS Windows gecreëerde thumbs.db-bestanden35 te ontleden en er de miniatuurafbeeldingen uit te halen. Voor dit eindwerk ontbrak me echter de tijd om deze zaken te implementeren. Het zou wel een enorme vooruitgang zijn moest een eventuele volgende versie van het systeem dit wel aan boord hebben.

34 Voor één veelgebruikte standaard, de “EXIF” standaard, is er een openbron programmaatje dat deze metagegegevens kan extraheren: jhead (zie http://freshmeat.net/projects/jhead/, laatst geraadpleegd 15/05/'09). 35 Dit zijn de bestanden die door bv. Windows XP worden gecreëerd per map met afbeeldingen en waar miniatuurweergaven van de afbeeldingen in worden opgeslagen om te gebruiken in het bestandsbeheer.

46


IN

DE INHOUD VAN ARCHIEVEN ZOEKEN NAAR BESTANDEN

Het zou een enorme meerwaarde betekenen mocht het systeem ook automatisch archiefbestanden (bv. ZIP-bestanden) uitpakken en nagaan of hierin geen bestanden verpakt zitten die aan de zoekopdracht voldoen. Momenteel kan de toepassing dit echter niet. Ik meen dat dit echter eveneens een zeer belangrijke feature is die zeker niet overzien mag worden indien de toepassing ooit verder wordt ontwikkeld.

KOPIËREN

VAN

GEVONDEN

BESTANDEN

VANUIT

DE

WEBINTERFACE

EN

EEN

BETERE

WIJZE

VOOR

BESTANDSHERSTEL

Wanneer door de toepassing bestanden op het bestandssysteem worden gevonden, kan de gebruiker hiervan bestandseigenschappen opvragen en het pad zien waaronder het bestand is opgeslagen op het bestandssysteem. Het is echter niet mogelijk (zoals bij het herstellen van verwijderde bestanden) vanuit de webinterface het bestand naar de herstelpartitie te kopiëren. De gebruiker moet op de verdachte computer een bestandskopiëeroperatie initiëren vanuit het grafische bestandsbeheer of vanop een commandolijnshell. Het zou wenselijk zijn in de webinterface ook een knop te voorzien om het bestand te kopiëren, zoals de herstelknop bij het overzicht van gevonden inodes. Op het tweede gezicht lijkt het echter beter voor het herstellen zelf al een betere interface te voorzien waarmee het mogelijk is verschillende bestanden tegelijk te selecteren voor herstel. Dezelfde interface zou dan gebruikt kunnen worden voor de selectie voor het kopiëren van bestanden. De interface voor het herstel dient echter pas geïmplementeerd te worden nadat er een oplossing is voor de verschillende naamsmogelijkheden voor gevonden inodes (cfr. supra). Net als bij de andere bedenkingen moet ik hier concluderen dat de tijd me spijtig genoeg ontbrak om dit alles verwezenlijken, maar dat dit zeker een meerwaarde zou zijn voor een mogelijke uitbreiding van de toepassing.

47


DE

WEBSERVER D.M.V.

DNS SERVICE DISCOVERY

KENBAAR MAKEN OF HET

IP

ADRES ZICHTBAAR MAKEN

DNS Service Discovery36 is een techniek om in een netwerk de naburige computers op de hoogte te brengen van een dienst die uw computer aanbiedt. Dit systeem wordt bv. gebruikt door de iTunes muziekspeler om andere iTunes-instanties op het netwerk in kennis te stellen van de muziekbibliotheek van de eerste. Er zijn echter ook een aantal moderne webbrowsers die deze techniek gebruiken om lokale naburige webservers te ontdekken. Het zou eventueel handig zijn om mijn webserver op deze wijze de “publiceren” op het netwerk, zodat er vanop een andere computer naar gebladerd kan worden zonder manueel IP-adressen uit te wisselen. Aangezien dit echter maar een extraatje is dat niet tot de gevraagde mogelijkheden behoort, heb ik dit uitgesteld en wegens tijdsgebrek niet kunnen implementeren. Het blijft een mogelijk idee voor een eventuele uitbreiding van het systeem. Een andere idee, dat nog bij mijn begeleider rees tegen het einde van dit werk, was het IP-adres te laten verschijnen in de titel van het kader van de gebruikte webbrowser.

Op

deze

manier

hoeft

de

gebruiker

het

kadertje

met

de

netwerkeigenschappen niet meer te openen om aan deze informatie te geraken. Ik had echter geen tijd meer om dit betrouwbaar te implementeren en te testen. Dit blijft echter een goede uitbreiding voor een eventuele nieuwe versie.

BETER

STANDAARD EEN

BELGISCHE I.P.V.

EEN

AMERIKAANSE

TOETSENBORDINDELING GEBRUIKEN

Standaard start het besturingssysteem op met een Amerikaanse toetsenbordindeling. Dit kan echter net voor het opstarten gewijzigd worden zodat een Belgische indeling wordt gebruikt. Het zou natuurlijk veel handiger zijn mocht standaard deze laatste indeling worden gebruikt. Het is mij zonder veel moeite gelukt om de standaardtaal voor het opstartmenu van de Ubuntu Live CD naar het Nederlands te veranderen maar ik heb nog steeds niet gevonden hoe het toetsenbord kan ingesteld worden. Wat meer onderzoek hiernaar zou tegen een eventuele volgende versie misschien soelaas kunnen bieden.

36 Meer informatie vindt U bv. op http://www.dns-sd.org/, laatst geraadpleegd op 13/05/'09.

48


In fine Om deze masterproef af te ronden wil ik nog even besluiten dat ik het bijzonder spijtig vond dat ik niet meer tijd kon investeren in de ontwikkeling van de toepassing. Ik vond het bijzonder boeiend hieraan te werken en vond dan ook keer op keer nog nieuwe mogelijkheden tot uitbreiding (zoals bv. deze die ik hiervoor heb besproken). Ik hoop dat ik de RCCU Antwerpen een dienst heb kunnen bewijzen met het creëren van deze toepassing en dat het de forensische wetenschap en praktijk ten goede komt. Er zijn echter nog vele aanpassingen nodig om het systeem tot een onmisbaar gereedschap voor het digitaal forensisch onderzoek te maken. Stiekem droom ik er dan ook van ooit de kans te krijgen en de tijd te hebben om er verder aan te kunnen ontwikkelen.

49

Verwijzingen

8 Verwijzingen 8.1

Handboeken

BIBEAULT, B. en KATZ, Y. “jQuery in Action”, Manning Publications Co, Greenwich – CT - USA, 2008, 347 p.

8.2

Webkoppelingen

http://en.wikipedia.org/wiki/Exit_status, laatst geraadpleegd op 05/05/'09. http://en.wikipedia.org/wiki/Unobtrusive_Javascript, laatst geraadpleegd op 05/05/'09. http://freshmeat.net/projects/jhead/, laatst geraadpleegd 15/05/'09. http://freshmeat.net/projects/mkisofs/, laatst geraadpleegd 05/05/'09. http://java.sun.com/blueprints/patterns/MVC.html, laatst geraadpleegd op 13/05/'09. http://lnx4n6.be/Downloads/hacklu.pdf, laatst geraadpleegd op 05/05/'09. http://nl.wikipedia.org/wiki/LAMP, laatst geraadpleegd op 06/05/'09. http://reconstructor.aperantis.com/, laatst geraadpleegd 05/05/'09. https://help.ubuntu.com/community/LiveCDCustomization, laatst geraadpleegd 05/05/'09. http://syslinux.zytor.com/wiki/index.php/ISOLINUX, laatst geraadpleegd 05/05/'09. http://www.adaptivepath.com/ideas/essays/archives/000385.php, laatst geraadpleegd 11/05/'09. http://www.dns-sd.org/, laatst geraadpleegd op 13/05/'09. http://www.ecma-international.org, laatst geraadpleegd op 05/05/'09. http://www.iana.org/assignments/media-types/, laatst geraadpleegd op 05/05/'09. http://www.iso.org, laatst geraadpleegd op 05/05/'09. http://www.linuxcertif.com/man/7/casper/, laatst geraadpleegd 05/05/'09. http://www.polfed-fedpol.be/org/org_dgj_FCCU_RCCU_nl.php, laatst geraadpleegd: 04/05/'09. http://www.unix.org/version3/ieee_std.html, laatst geraadpleegd op 05/05/'09.

50

Bijlage: Gebruik van de programmatuur

9 Bijlage: Gebruik van de programmatuur Deze handleiding beschrijft het gebruik van de toepassing in drie delen. Het eerste deel bespreekt het opstarten van de toepassing. Ten tweede wordt een overzicht gegeven van de interface voor het opstellen van het onderzoek waarbij de verschillende keuzes kunnen worden gemaakt. Het laatste deel bespreekt de weergave tijdens het uitvoeren van de onderzoeken en de mogelijke interactie hiermee.

9.1 Het opstarten van de verdachte computer met het verwijderbaar medium Om de toepassing te gebruiken dient U de verdachte computer op te starten m.b.v. de USB-stick. Mogelijk dient U hiervoor de BIOS-instellingen van de computer aan te passen of met één van de functietoetsen (F1-F12) een opstartkeuzemenu te openen en daar voor de USB-stick te kiezen. Sommige (oudere) computers hebben niet de mogelijkheid op te starten vanop een USB-medium. Voor deze kan het nodig zijn de applicatie vanop een CD-ROM op te starten. Deze versie van de toepassing ondersteunt dit echter niet volledig. Eens m.b.h. het medium wordt opgestart, krijgt U een keuzescherm te zien (zie Afbeelding 4: Het opstartkeuzemenu). Vanop dit scherm kan U met de pijltjestoetsen van uw toetsenbord kiezen tussen het opstarten van de applicatie of het opstarten van de computer vanaf de harde schijf. Wanneer U gekozen hebt (standaard wordt de eerste optie geselecteerd), kan U de toepassing starten door op ENTER te drukken. Standaard start de applicatie op met een Amerikaans toetsenbord. U kan dit echter aanpassen door, voordat U op ENTER drukt, op F3 te drukken en met de pijltjestoetsen bv. de Belgische toetsenbordindeling te selecteren. Daarna drukt U ENTER om de keuze te bevestigen en nogmaals ENTER om de toepassing te starten.

51


Afbeelding 4: Het opstartkeuzemenu

Het besturingssysteem wordt dan opgestart en de applicatie wordt op het einde meteen geopend. De bovenkant van Uw scherm ziet er dan als volgt uit:

Afbeelding 5: Het uiterlijk van de toepassing na het opstarten

52


Om het IP-adres van de computer te weten te komen of de netwerkinstellingen aan te passen, bv. omdat U de applicatie vanop een andere computer op het netwerk wil sturen, klikt U met de rechtermuisknop op het netwerk-icoontje. Wanneer U in het menu voor “Verbindingsinformatie” kiest, krijgt U een kadertje te zien waaruit U het IP-adres kan aflezen. Aangezien de toepassing meteen in een browserkader wordt geopend kan U meteen aan de slag. U kan het kader minimaliseren en maximaliseren zoals U gewoon bent, indien U dit wenst. Op het bureaublad bevindt zich een koppeling naar de herstelpartitie. Een dubbelklik hierop opent een bestandsbeheerkader met de inhoud van deze partitie. Indien U de toepassing wil afsluiten en de computer uitschakelen, drukt U rechtsboven op het scherm op “cc FOG” of het afsluiticoontje, en kiest U “Afsluiten ...” in het menu.

9.2 De interface onderzoeken

voor

het

instellen

van

de

Alhoewel de interface voor het opzetten van de onderzoeken in één enkel kader is te vinden, kan deze wel als drie aparte blokken worden gezien. Ten eerste dienen de onderzoeksdoelen en het soort onderzoek worden gekozen, hiernaast kunnen eventueel zoekrestricties worden opgegeven en tenslotte kunnen naar wens bestandstypefilters worden geselecteerd. De onderzoeken starten meteen na een druk op de “Start onderzoek”-knop.

53


1

Het kiezen van de onderzoeksdoelen en de soorten onderzoek

Afbeelding 6: Eerste deel van de instellingen: keuze van de onderzoeksdoelen en -soorten

Om een partitie te selecteren klikt U op de weergave voor die partitie. Een geselecteerde partitie wordt met een groene stippellijn omgeven en is volledig zichtbaar. De niet-geselecteerde partities hebben een zwarte rand maar zijn half weggedeemsterd. De onselecteerbare partities zijn nog verder weggedeemsterd, op het onzichtbare af. In onderstaand voorbeeld is de laatste partitie onselecteerbaar, is de tweede partitie geselecteerd en zijn de twee overblijvende partities nietgeselecteerd

Afbeelding 7: Voorbeeldweergave met de tweede partitie geselecteerd

54


Wanneer de muisaanwijzer tot boven een partitie wordt bewogen, wordt in een zwevend kader de inhoud van de basismap (root folder) weergegeven. Mappen worden hierbij vetjes gepresenteerd. Gewone bestanden krijgen een opmaakloze weergave. Schuine letters

wijzen

op

een

uitvoerbaar

bestand37

en

onderstreepte woorden op een koppeling. Er zijn twee soorten onderzoek die kunnen voltrokken Afbeelding 8: Zwevend kader met worden per partitie: een zoektocht naar bestanden op

inhoud bestandssysteem

het bestandssysteem en een zoektocht naar verwijderde bestanden. U kan kiezen één van de twee of beide onderzoekstypes uit te voeren door ze aan te vinken.

2

Eventueel aanpassen van de zoekrestricties

Het volgende stuk van de interface laat U toe bepaalde zoekrestricties aan te passen of in te stellen. Standaard is er voor één soort restricties al een instelling gemaakt, namelijk de minimum- en maximumbestandsgrootte, die respectievelijk op 30 kB en 3 MB staan ingesteld, waarden die voor het zoeken naar van het internet gehaalde JPEG-afbeeldingen redelijk zijn.

Afbeelding 9: Eventueel een restrictie op basis van bestandsgrootte opgeven

U kan de restricties deactiveren door het vinkje voor de lijn weg te klikken. De getallen kan U gewoon aanpassen in het invoerveld en voor de eenheid kan U in een selectiemenutje kiezen uit byte, kibibyte, mebibyte en gibibyte.38 37 Nota: op sommige bestandssystemen wordt de uitvoerbaarheid van een bestand niet opgeslagen. Alle bestanden zullen hierdoor als uitvoerbaar worden weergegeven. 38 In het de keuzemenu's worden - in se foutief maar met als doel een hogere herkenbaarheid - de SI-symbolen gebruikt voor het kiezen van de eenheid. Er wordt echter met machten van 2 gerekend, volgens de IEC-standaard.

55


Indien U op de titel “Minimum- en/of maximumbestandsgrootte” of op “Volgende” klikt wordt dit gedeelte ingeklapt. De ingestelde restricties blijven hierbij echter geldig! De volgende in te stellen restricties zijn drie soorten datumintervallen. U kan een interval instellen waarbinnen de bestanden aangemaakt of laatst aangepast dienen te zijn, waarbinnen ze laatst geopend zijn of waarbinnen hun metadata laatst aangepast werd (bv. de toegangsrechten).

Afbeelding 10: Eventueel datumintervallen opgeven als zoekrestrictie

Om een datumrestrictie van toepassing te maken dient U deze eerst aan te vinken. De tekst zal dan in het zwart worden weergegeven en de invoervelden worden actief. Indien U in één van de invoervelden klikt kan U d.m.v. een datumkeuzewidget een datum selecteren. Indien U hier op de dubbele pijltjes klikt springt U een jaar voor- of achteruit, de enkele pijltjes laten de datum per maand verspringen. Het is aangeraden eerst de begindatum te selecteren. Op die manier wordt het onmogelijk d.m.v. het datumkeuzewidget voor de tweede datum een datum voor de eerste te selecteren.

56


Afbeelding 11: Een klik op het invoerveld tovert een datumselectiewidget tevoorschijn

Als laatste restrictie kan U een tekenreeks opgeven die in de bestandsnaam dient voor te komen. Deze optie is echter enkel van toepassing op zoekopdrachten op het bestandssysteem. Een andere optie, om te zoeken in de inhoud van bestanden is nog niet ver genoeg geïmplementeerd en is zodanig in de interface niet in te schakelen.

Afbeelding 12: Restricties opgeven t.a.v. bestandsnaam of -inhoud

3

Selecteer zogewenst bestandstypefilters

Als laatste stap voor het opzetten van de onderzoeken kan U naar wens enkele bestandstypes selecteren waarop de lijst met gevonden bestanden dient gefilterd te worden. Indien U niets selecteert worden alle gevonden bestanden weergegeven. Indien U bv. enkel “JPEG Afbeeldingen” aanvinkt, zullen alleen JPEG-afbeeldingen gevonden worden.

57


Afbeelding 13: Eventueel kan U bestandstypefilters opgeven

U kan per categorie alle of geen bestandstypes selecteren door de respectievelijke groene koppelingen aan te klikken naast de naam van de categorie. De lijst met bestandstypes is uitbreidbaar door het aanpassen van de bestanden in de map /var/www/magic/ op de USB-stick. Per bestandsformaat dient een definitiebestand aangemaakt te worden volgens de opmaak die door het file-gereedschap wordt voorgeschreven. Hiernaast dient in het index.xml-bestand een item aangemaakt te worden voor het nieuw toegevoegde formaat met een leesbare naam, de naam van het definitiebestand en de uitvoer van het file-commando voor dit bestandstype.

Afbeelding 14: De "Start onderzoek"-knop

Om de onderzoeken aan te vangen klikt U onderaan de pagina op “Start onderzoek”.

9.3 De (interactie met de) interface van het onderzoek De interface voor het overzicht van de verschillende onderzoeken toont de verschillende onderzoeken onder elkaar, onder een titeltje zoals in volgende afbeelding, met een nummer in opgaande lijn. Onder dit titeltje komt voor ieder deel van het onderzoek een zwartgekleurde titel voor de onderzoeksstap. De weergave van

58


de status en de koppelingen voor interactie

met deze onderzoeksstap worden

ingesprongen weergegeven. De partities worden onderzocht in de volgorde dat ze werden geselecteerd.

Afbeelding 15: Titel voor het onderzoek van de eerstgeselecteerde partitie

In volgend overzicht wordt een onderzoek geschetst waarbij alle onderzoeksstappen werden uitgevoerd. M.a.w. werden beide onderzoekstypes geselecteerd en werden ook bestandstypefilters opgegeven. De eerste twee stappen die ondernomen worden zijn het zoeken naar bestanden op het bestandssysteem en het eventueel toepassen van de bestandstypefilters.

Afbeelding 16: Weergave van de eerste twee onderzoeksstappen

Voor de eerste stap wordt het aantal reeds gevonden bestanden en het laatst gevonden bestand weergegeven als statusindicatie. Deze waarden worden geleidelijk aangepast tot het einde van de onderzoeksstap is bereikt, wat aangegeven wordt door het verschijnen van “Zoeken voltooid”. Voor de tweede stap wordt een statusbalkje weergegeven, samen met het percentage en een weergave in breukvorm van het aantal reeds gefilterde bestanden. Hierbij wordt met een teller ook getoond hoeveel bestanden er reeds zijn gevonden die voldoen aan de voorwaarden.

59


Bij ieder van beide onderzoeksstappen zijn ook drie koppelingen voorzien om een weergave van de gevonden bestanden te openen of aan te maken. Indien U op “Bestandslijst” klikt, opent in een nieuw kader een lijst met de eerste 30 van de gevonden bestanden. Om de volgende 30 bestanden te zien, klikt U op “volgende >>” onderaan de pagina. Teruggaan kan met de “<< vorige”-koppeling.

Afbeelding 17: Voorbeeld van de bestandslijstweergave met 10 i.p.v. 30 bestanden per pagina

Voor afbeeldingen wordt het bestandsicoontje vervangen door een miniatuurweergave van de afbeelding. Indien U op een bestand klikt, opent zich een zwevend kader met een overzicht van verschillende bestandseigenschappen. U kan dit kader weer sluiten door bovenaan rechts op de “sluit”-koppeling te klikken.

60


Klikken op “Blader door bestanden” in het overzicht van de onderzoeken, opent een nieuw kader met een weergave waarin U door de gevonden bestanden kan bladeren zoals in een grafisch bestandsbeheer. U kan mappen openen door er op te klikken, of terug een map hoger gaan door op “Map omhoog” te klikken. Het huidige pad wordt helemaal bovenaan in de titel weergegeven.

Afbeelding 18: Bestandsbladerweergave

Hier worden bestanden op exact dezelfde wijze weergegeven als in de vorig besproken weergave. En ook een klik op het bestand levert hetzelfde kader met informatie op. Wanneer U op “Maak een rapport” klikt wordt er op de herstelpartitie een afdrukbaar rapport gegenereerd voor die bepaalde onderzoeksstap als HTML-bestand. Er opent zich een kader (dat u meteen weer kan sluiten) om te melden dat het genereren van het rapport in de achtergrond wordt opgestart. Het rapport heeft in zijn bestandsnaam de naam van het onderzocht apparaat, de datum en het uur van het onderzoek en het soort onderzoek.

61


Afbeelding 19: Afdrukbaar rapport voor de onderzoeksstap

De volgende twee onderzoeksstappen staan respectievelijk in voor het opzoeken en filteren van inodes voor verwijderde bestanden. De weergave lijkt heel erg op die van de vorige twee stappen. De eerste van beide stappen toont hoever het zoekproces zit door het aantal gevonden inodes weer te geven. De boodschap “Zoeken voltooid” verschijnt indien alle inodes zijn gevonden. Ook de tweede toont zijn vooruitgang op dezelfde wijze als hierboven uit de doeken gedaan: met een statusbalkje. De teller toont geleidelijkaan het aantal inodes dat aan de filter voldoet.

Afbeelding 20: Onderzoek naar verwijderde bestanden

62


Bij de laatste twee onderzoeksstappen is er maar één weergavemodus (de lijstweergave), plus ook hier weer de mogelijkheid een rapport te laten opmaken. De lijstweergave toont een overzicht van de verschillende inodes met wat extra informatie. In de achtergrond worden gaandeweg de namen van de verwijderde bestanden opgezocht en in de weergave ingevoegd. Na de filterstap worden ook de bestandstypes opgenomen in het overzicht:

Afbeelding 21: Lijstweergave voor inodes van verwijderde bestanden

De laatste kolom bevat steeds een herstelkoppeling. Indien U deze aanklikt, wordt het bestand in de achtergrond hersteld naar een map op de herstelpartitie met de naam van het apparaat. In deze map wordt zo mogelijk de mappenhiërarchie hersteld waarin het bestand oorspronkelijk een plaats had. Indien het herstellen succesvol was, wordt de herstelkoppeling in het wit weergegeven. Bij een mislukking wordt dit ook weergegeven. De herstelkoppeling blijft werken. U kan met andere woorden het hersteld bestand verwijderen van de herstelpartitie en opnieuw laten herstellen door de wit-gekleurde link nogmaals aan te klikken. Om een rapport aan te maken voor één van deze stappen gaat U net tewerk zoals in de vorige stappen. Het rapport vindt U wederom op de herstelpartitie.

63


Afbeelding 22: Rapport voor gevonden verwijderde JPEG-bestanden

Na afloop van het laatste onderzoek van de laatste partitie verschijnt onderaan het scherm de boodschap dat de onderzoeken zijn afgelopen:

Afbeelding 23: Boodschap na afloop van de verschillende onderzoeken

64

Report "Forensisch onderzoeksgereedschap op basis van bestandssignatuur"

Your name

Email

Reason

Description

Copyright © 2024 ADOC.PUB. All rights reserved.
About Us | Privacy Policy | Terms of Service | Copyright | Contact Us | Cookie Policy

Sign In

Email

Password

Remember me Forgot password?

Our partners will collect data and use cookies for ad personalization and measurement. Learn how we and our ad partner Google, collect and use data. Agree & close

Forensisch onderzoeksgereedschap op basis van bestandssignatuur

Recommend Documents