Technische Berichte in Digitaler Forensik Herausgegeben vom Lehrstuhl für Informatik 1 der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) in Kooperation mit dem Masterstudiengang Digitale Forensik (Hochschule Albstadt-Sigmaringen, FAU, Goethe-Universität Frankfurt am Main) Untersuchungen am Dateisystem HFS Plus Lars Mechler 22.03.2016 Technischer Bericht Nr. 7 Zusammenfassung Dieser Bericht enthält eine Analyse des Dateisystems HFS Plus unter Verwendung des Referenzmodells aus dem Buch "File System Forensik Analysis" von Brian Carrier. Die Dateisystemstrukturen von HFS Plus, die für die forensische Analyse bedeutsam sind, werden unter Einordnung in die Datenkategorien von Carrier detailliert behandelt. Anschließend wird für jede Kategorie ein Analyseszenario mitsamt den erforderlichen Analysetechniken vorgestellt. Entstanden als Masterarbeit im Rahmen des Studiengangs Digitale Forensik unter der Betreuung von Felix Freiling und Victor Völzow. Hinweis: Technische Berichte in Digitaler Forensik werden herausgegeben vom Lehrstuhl für Informatik 1 der Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) in Kooperation mit dem Masterstudiengang Digitale Forensik (Hochschule Albstadt-Sigmaringen, FAU, Goethe- Universität Frankfurt am Main). Die Reihe bietet ein Forum für die schnelle Publikation von Forschungsergebnissen in Digitaler Forensik in deutscher Sprache. Die in den Dokumenten enthaltenen Erkenntnisse sind nach bestem Wissen entwickelt und dargestellt. Eine Haftung für die Korrektheit und Verwendbarkeit der Resultate kann jedoch weder von den Autoren noch von den Herausgebern übernommen werden. Alle Rechte verbleiben beim Autor. Einen Überblick über die bisher erschienenen Berichte sowie Informationen zur Publikation neuer Berichte finden sich unter https://www1.cs.fau.de/df-whitepapers. II Inhaltsverzeichnis Inhaltsverzeichnis ..................................................................................................................... III Abkürzungsverzeichnis ............................................................................................................. VI Abbildungsverzeichnis ............................................................................................................. VII Tabellenverzeichnis .................................................................................................................. IX 1. Einleitung ........................................................................................................................... 1 1.1 Zielsetzung .................................................................................................................. 1 1.2 Abgrenzung ................................................................................................................. 1 1.3 Vorgehensweise .......................................................................................................... 1 1.4 Stand der Technik ....................................................................................................... 3 2. Begriffsdefinitionen ........................................................................................................... 6 2.1 Datenanalyse .............................................................................................................. 6 2.2 Datenträgeranalyse .................................................................................................... 6 2.3 Dateisystemanalyse .................................................................................................... 6 3. Datenträgeranalyse ............................................................................................................ 8 3.1 Partitionsschemen ...................................................................................................... 9 3.1.1 Master Boot Record ............................................................................................ 9 3.1.2 Apple Partitionen ................................................................................................ 9 3.1.3 GPT Partitionen ................................................................................................. 12 3.1.4 Analysemöglichkeiten ....................................................................................... 15 4. Dateisystemanalyse nach dem Kategorienmodell von Carrier ........................................ 18 4.1 Kategorie Dateisystem .............................................................................................. 20 4.2 Kategorie Inhalt ........................................................................................................ 20 4.2.1 Analysetechniken .............................................................................................. 22 4.2.2 Löschtechniken .................................................................................................. 23 4.3 Kategorie Metadaten ................................................................................................ 23 4.3.1 Logische Dateiadressen ..................................................................................... 23 4.3.2 Slack Space ........................................................................................................ 23 4.3.3 Metadatenbasierte Dateiwiederherstellung ..................................................... 24 4.3.4 Analysetechniken .............................................................................................. 24 4.3.5 Löschtechniken .................................................................................................. 26 4.4 Kategorie Dateinamen .............................................................................................. 27 4.4.1 Dateinamenbasierte Wiederherstellung von Dateien ....................................... 27 III 4.4.2 Analysetechniken .............................................................................................. 27 4.5 Kategorie Anwendung .............................................................................................. 28 4.5.1 Dateisystem Journale ........................................................................................ 29 5. Analyse des HFS Plus Dateisystems anhand des Kategorienmodells von Carrier ............ 30 5.1 Kategorie Dateisystem .............................................................................................. 32 5.1.1 Volume Header .................................................................................................. 32 5.1.2 HFS Wrapper ..................................................................................................... 37 5.1.3 Reservierte Bereiche ......................................................................................... 39 5.1.4 Extents ............................................................................................................... 39 5.1.5 File Forks und Double Files ................................................................................ 39 5.1.6 Special Files ....................................................................................................... 42 5.1.7 Zugriffsrechte .................................................................................................... 42 5.2 Kategorie Inhalt ........................................................................................................ 43 5.2.1 Allokationsrhythmus ......................................................................................... 45 5.2.2 Analyse-Szenario ............................................................................................... 45 5.2.3 Analysetechniken .............................................................................................. 46 5.3 Kategorie Metadaten ................................................................................................ 48 5.3.1 B-Tree-Struktur .................................................................................................. 48 5.3.2 Catalog File ........................................................................................................ 53 5.3.3 Extents Overflow File ......................................................................................... 67 5.3.4 Attributes File .................................................................................................... 73 5.3.5 Analysetechniken .............................................................................................. 80 5.3.6 Besonderheiten bei der Analyse von HFS Plus Dateikomprimierung ................ 83 5.4 Kategorie Dateinamen .............................................................................................. 87 5.4.1 Links ................................................................................................................... 88 5.4.2 Analyse-Szenario ............................................................................................... 89 5.4.3 Analysetechniken .............................................................................................. 89 5.5 Kategorie Anwendung .............................................................................................. 94 5.5.1 Journal ............................................................................................................... 94 5.5.2 File Event Store Database ................................................................................ 106 5.6 „The Big Picture“ ....................................................................................................