01.09.2012, 09:05

David Wolski

Live-Systeme für mehr Sicherheit

DEFT

Hinter der Abkürzung DEFT steht ein Live-System, das an der Universität Bologna entwickelt wurde, um Forensikern schnell und unkompliziert ein geeignetes Werkzeug zur Analyse von PCs und Festplatten in die Hand zu geben. Der Name DEFT ist eine Abkürzung für „Digital Evidence & Forensic Toolkit“. Seit der ersten Veröffentlichung 2007 hat sich in der der Entwicklung des Programms jedoch einiges getan und heute ist DEFT ein universelles Werkzeug, das auch eine ansehnliche Sammlung von Netzwerk-Tools mitbringt. Unter anderem wird das System von der italienischen „Direzione Investigativa Antimafia“ zur Beweissicherungen genutzt. Die Grundlage des Live-Systems ist ebenfalls Ubuntu, in der vorliegenden Version von DEFT 7.1 ein Ubuntu 11.10. Dies sorgt für einen problemlosen Start auf nahezu allen PCs und Notebooks dank hervorragender Hardware-Unterstützung.

Start und Startoptionen

Beim Start des Systems lohnt es sich, einen Moment auf dem Startbildschirm zu bleiben, um dort mit der F3-Taste die Auswahl des gewünschten Tastaturlayouts zu bestätigen. DEFT kommt dann auch umgehend mit der deutschen Tastenbelegung klar. Die Sprache des Systems ist dagegen wahlweise Englisch, Spanisch oder Italienisch. Nach dem Start bringt DEFT den Anwender bis zur Kommandozeile. Der automatisch angemeldete Benutzer ist von Haus aus Root und eine Passwort-Eingabe ist nicht nötig. Mit „deft-gui“ geht es zur grafischen Benutzeroberfläche.

Schneller, schlanker Desktop

Die derzeit aktuelle Version von DEFT basiert auf dem inoffiziellen Ubuntu-Abkömmling Lubuntu 10.10. Allerdings geht DEFT beim Desktop eigene Wege und präsentiert hier den unkomplizierten und schlanken LXDE in ansprechender Optik. Das Symbol links unten klickt nach Windows-Manier ein Anwendungsmenü auf. Alle Tools zur Analyse sind im Untermenü „DEFT“ untergebracht.
Daneben gibt es noch mehr Nützliches: So ist beispielsweise der Browser Google Chrome in Version 18 ebenfalls mit an Bord. Zum anonymen Surfen gibt einen Client für das TOR-Netzwerk. Dieser befindet sich im Anwendungsmenü unter „DEFT -> OSINTtools -> OSINT Identity Protection Tools“.

Datenrettung mit Photorec

Im Mittelpunkt stehen bei DEFT die Tools zur Datenanalyse und Wiederherstellung. Ein hervorragendes forensisches Werkzeug ist das Programm Photorec. Das Programm findet sich im Anwendungsmenü unter „DEFT -> Carving tools“- es arbeitet im Textmodus. Um mit Photorec gelöschte Dateien zu retten, gehen Sie in der Übersicht der gefundenen Laufwerke mit den Pfeiltasten auf das gewünschte Laufwerk und drücken Return. Als “Partition Table Type” wählen Sie “Intel” und dann die eigentliche Partition auf dem Laufwerk. Nach der Auswahl des Dateisystems können Sie den freien Platz (“Free”) oder das gesamte Laufwerk (“Whole”) nach gelöschten Dateien untersuchen. Für die gefundenen Dateien und Datenreste gehen Sie dann noch im Dateibrowser auf das gewünschte Zielverzeichnis und drücken dann die C-Taste, um die automatische Wiederherstellung zu starten. Je nach Größe des Datenträgers kann der Suchlauf einige Minuten dauern.

Installation

Da DEFT mit seinen Werkzeugen zur Netzwerkanalyse, dem TOR-Browser und den diversen Erweiterungen für OSINT (Open Source Intelligence) umfangreicher ist als ein reines Forensiker-System, bietet sich auch eine Installation auf Festplatte an. Alternativ dazu können Sie DEFT natürlich auch in einer virtuellen Maschine als Gastsystem von VMware oder VirtualBox installieren. Da DEFT auf Ubuntu beruht, ist auch der Installer jener von Ubuntu, der bekanntlich recht bequem und einfach gehalten ist. Auf der Platte benötigt DEFT 7.1 rund 7.7 GB Platz.

Fazit: Aufgeräumtes Live-System für Forensiker

DEFT merkt man seine Herkunft sofort an - das Live-System gibt sich seriös und kommt ohne die düstere Hacker-Ästhetik aus, mit der sich andere Linux-Systeme dieser Kategorie schmücken. Mit dem übersichtlichen Desktop kommen auch die weniger Linux-affinen Anwender sofort an die wichtigen Anwendungen heran. Zwar ist der hauptsächliche Einsatzzweck von DEFT die Datenrettung, Festplattenanalyse und Forensik, aber das Live-System kann durchaus noch mehr: Wer etwas tiefer gräbt und die angebotenen Tools systematisch durchgeht, findet hier auch echte Perlen, die über Forensik hinaus gehen: So ist etwa auch der Cracker THC-Hydra einsatzbereit vorhanden. Von allen hier beschriebenen Live-Systemen wie BackTrack, Blackbuntu und BackBox ist DEFT noch am ehesten für Linux-Einsteiger geeignet.
Download und Voraussetzungen
DEFT gibt es als Live-System in einer 32-Bit-Version zum Download in Form einer ISO-Datei von 2,4 GB Größe. Darüber hinaus bieten die Entwickler auf den Download-Servern  eine fertige „Virtual Appliance“ an, um DEFT als Virtuelle Maschine unter VMware laufen zu lassen. Dieser Download ist in vier 7-ZIP-Archive (.7z) aufgeteilt und umfasst rund 8,8 GB. Die Hardwareanforderungen sind aufgrund des ressourcensparenden Desktops gering: Es genügen bereits 512 MB Speicher und eine CPU der Pentium-Klasse unter 1 GHz. Auf neuer Hardware funktioniert DEFT 7.1 nicht immer von Anfang an problemlos. Es empfiehlt sich in diesem Fall, in den Kernel-Optionen beim Boot manuell „acpi=off“ einzutragen. Bei Bedarf kann das ISO-Image auch auf einen USB-Stick übertragen werden. Das optimale Programm dazu ist: Unetbootin.
 
Seite 6 von 6
Nächste Seite
Diskutieren Sie mit anderen Lesern über dieses Thema:
Windows 8: Alle Informationen
Windows 8
Alle Details

Alle Informationen und Updates zum neuen Betriebssystem Windows 8 von Microsoft. mehr

- Anzeige -
PC-WELT Specials
Angebote für PC-WELT-Leser
PC-WELT Onlinevideothek

PC-WELT Online-Videothek
Keine Abogebühren oder unnötige Vertragsbindungen. Filme und Games bequem von zu Hause aus leihen.

Tarifrechner
Der PC-WELT Preisvergleich für DSL, Strom und Gas. Hier können Sie Tarife vergleichen und bequem viel Geld sparen.

PC-WELT Sparberater
Das Addon unterstützt Sie beim Geld sparen, indem es die besten Angebote automatisch während des Surfens sucht.

- Anzeige -
Marktplatz

Amazon Preishits
jetzt die Schnäpchen bei den Elektronikartikel ansehen! > mehr

1520286
Content Management by InterRed