none
Fragen zu EFS RRS feed

  • Frage

  • Hallo zusammen!

    Ich studiere digitale Forensik und beschäftige mich im Moment mit der EFS-Verschlüsselung. Ich habe Folgendes versucht:
    Ich habe verschlüsselte Dateien erstellt, bearbeitet, gelöscht und kopiert. Kopiert habe ich die Dateien anschließend auf demselben Laufwerk, sowie wie auf einem USB-Stick (FAT). Außerdem habe ich die verschlüsselten Daten per E-Mail gesendet.

    Bei der Analyse der Bilder mit Autopsy und X-Ways Forensics sind mir folgende Dinge aufgefallen:
    Für die verschlüsselte Datei, die ich gelöscht, aber nicht aus dem "Papierkorb" entfernt habe, bekomme ich keine Zeitstempel oder andere Informationen außer dem Dateinamen angezeigt. Für die gelöschte Datei, die ich zudem aus dem Papierkorb gelöscht habe, erhalte ich neben einem  Dateinamen (nicht den originalen sondern die Benutzer-SID) sowie zusätzliche Informationen wie SID, OwnerID und Timestamp.                                     

    Wie kommt dieses Ergebnis zustande? Haben sie eine Idee? Warum bekomme ich mehr Infos für die komplett gelöschte Datei und keine Zeitstempel für die Datei im Papierkorb?

    Die Kopie innerhalb des selben Laufwerkes scheint einfach eine Kopie zu sein, ich habe hier nichts besonderes bemerkt. Es war jedoch interessant, die per E-Mail versandten Dateien zu untersuchen. Da die Verschlüsselung verloren ging, konnte ich den Inhalt lesen, aber alle wichtigen Informationen, die ich in den verschlüsselten Dateien gesehen habe, fehlten: die Berechtigungen, die SID, die GroupID und die Änderungszeit.
    Sind diese Informationen im EFS gespeichert und gingen mit dem EFS verloren, oder liegt der Grund wo anders?

    Das interessanteste Ergebnis fand ich jedoch bei der Analyse der verschlüsselten Dateien auf dem USB-Stick. Obwohl die Verschlüsselung beibehalten wurde, was wahrscheinlich daran liegt, dass ich Windows 10 habe, zeigen die Daten ein ähnliches Verhalten in der Analyse, wie die per E-Mail verschickten Daten: kein Change-Time Zeitstempel, keine SID, GroupID usw. Und eine Aufspaltung in: $EFS, der eigentlichen Textdatei und einer .PFEILE -Datei Ich bin verwirrt ... Wie so ist das passiert?

    Ich hoffe, Sie haben einige Ideen und Anregungen für mich, die mir helfen werden, EFS besser zu verstehen.


    Freitag, 28. September 2018 08:33

Alle Antworten