Das Windows Forensic Toolchest (WFT) zeichnete sich bereits in der Version 2 durch seinen komfortablen HTML Report aus. In der seit kurzem von Monty McDougal veröffentlichten Version 3 sind viele neue Funktionen integriert worden, die die Durchführung einer Live Response von Windows Systemen erleichtern. Die zwei herausragendsten Neuerungen sind ein interaktiver Modus und die Möglichkeit, die Werkzeuge, die das Incident Response Skript benötigt, aus dem Internet herunterzuladen.
Einige der benötigten Werkzeuge, insbesondere Programme von Microsoft und damit auch Sysinternals, unterliegen Copyrights die ein Weiterverbreiten der Werkzeuge untersagen. Aus diesen Grund ist die beiliegende Heft-CD für die Live Response von Windows Systemen zunächst zu vervollständigen und anschließend die fertige Incident Response CD zu brennen. Wie dazu vorzugehen ist, ist im Folgenden beschrieben.
Da WFT Systemdateien kopiert, dürfen die folgenden Schritte ausschließlich auf einem vertrauenswürdigen System durchgeführt werden! Der Inhalt der CD ist in ein Verzeichnis (im Folgenden %DIR% genannt) auf einen lokalen Datenträger zu kopieren. An der Eingabeaufforderung (cmd.exe) wechseln Sie in das Verzeichnis %DIR%\IR\Windows\WFT. WFT kann die Werkzeuge nicht über einen Proxy beziehen. Ein direkter Internetzugang ist somit Vorausetzung. Der Befehl „wft -fetchtools“ startet den Bezug der Werkzeuge für WFT aus dem Internet bzw. aus dem Systemverzeichnis des vertrauenswürdigen Systems. Im Ergebnis werden neben den noch fehlenden Systemwerkzeugen der verbleibenden Betriebssysteme die folgenden drei Werkzeuge nicht heruntergeladen, wie mit dem Befehl „wft -checkcfg wft.cfg“ überprüft werden kann.
Sysinternals: psuptime.exe
Microsoft: tlist.exe, regdmp.exe
Hier kann man manuell nachhelfen. PsUptime ist nicht mehr verfügbar und die Funktion ist in das Werkzeug PsInfo integriert worden. Regdmp befindet sich im Ressource Kit von Windows 2000 und tlist in den Microsoft Debugging Tools. Welche Werkzeuge von welcher Quelle zu beziehen sind, ist in der aktuellen Version nicht konfigurierbar. Jedoch ist das Vorhandensein aller Werkzeuge auch keine Bedingung für die einwandfreie Funktion von WFT. Eine komfortable Alternative bietet die Verwendung der Live CD Helix. Befindet sie sich zum Zeitpunkt des Aufrufs von „wft -fetchtools“ im Laufwerk, kopiert WFT die Werkzeuge automatisch von der CD.
Die eigentliche Konfiguration von WFT befindet sich in der selbsterklärenden Konfigurationsdatei wft.cfg. Hier lässt sich unter anderem festlegen, welche Werkzeuge wie und unter welchen Voraussetzungen aufzurufen sind. Neue Werkzeuge können problemlos integriert werden. Aufgrund von neuen bzw. aktualisierten Werkzeugen nicht mehr übereinstimmende Prüfsummen, können mit dem Aufruf „wft -fixcfg wft.cfg <Name der neuen cfg> korrigiert werden.
Nachdem der Werkzeugkasten für WFT vorhanden ist, sollte das Verzeichnis %DIR% wieder auf eine CD-ROM gebrannt werden um spätere Manipulationen auszuschließen und die fertige Incident Response CD zu erstellen.
Im Fall der Fälle ist dann für die Sicherstellung der flüchigen Informationen eines Windows Systems die CD in das Laufwerk des verdächtigen Systems zu legen und der interaktive Modus von WFT mit dem Aufruf „\IR\Windows\WFT\wft“ zu starten. Die meisten Fragen können in der Regel mit den Standardeinstellungen beantwortet werden. Das Zielverzeichnis darf nicht auf einem Datenträger des verdächtigen Systems liegen, da dadurch freier Speicherbereich und damit Speicherbereiche mit potentiell evidenten Daten überschrieben werden. Idealerweise werden die Daten auf eine leere externe Festplatte geschrieben.
Entscheidend sind die Fragen nach der Ausführung von Werkzeugen, die eine lange Laufzeit haben und die schreibend auf den verdächtigen Datenträger zugreifen. Schreibzugriffe sollten im Rahmen der Live Response tunlichst vermieden werden. Aus diesem Grund wurde die Standardkonfiguration von WFT so angepasst, dass Werkzeuge, die schreibend zugreifen und Werkzeuge, die für die Sicherstellung aller flüchtigen Daten nicht erforderlich sind, erst durch positive Beantwortung der Frage nach Schreibzugriff ausgeführt werden.
Beide Parameter haben wesentliche Auswirkungen auf die Laufzeit des Skriptes. Sofern beides aktiviert ist, kann die Laufzeit mehr als eine Stunde betragen. Das spiegelt sich ebenfalls in der zu erwarteten Datenmenge wieder, die in diesem Fall bei etwa der zweifachen Größe des Hauptspeichers liegen würde.
Nach dem erfolgreichen Durchlauf von WFT befindet sich im angegebenen Zielverzeichnis der HTML Report index.htm und die Rohdaten der Werkzeuge im Verzeichnis txt. Da WFT in der Grundeinstellung ausschließlich die flüchtigen Daten sicherstellt, sollte das verdächtige System nach Beendigung von WFT umgehend hart ausgeschaltet werden – am besten durch Ziehen des Netzsteckers – und von den Datenträgern ein forensisches Duplikat erstellt werden. Im Rahmen der post mortem Analyse können dann die persistenten Daten untersucht werden. Sofern das System nicht ausgeschaltet werden darf, ist es sinnvoll WFT mit Schreibzugriff und langer Laufzeit auszuführen.
Sebastian Krause <krauseAThisolutionsDOTcom> 2007/05