Auf möglicherweise verseuchte Windows Systemfestplatte zugreifen?

[Smartbomb]

Hallo!

Folgender Fall:
Ins Büro meines Dads (Rechtsanwalt) wurde von einer Mandantin eine Festplatte geschickt.
Warum? Die hat wohl irgendein Mail von einer Bank geöffnet und irgendwo raufgeklickt und nun fehlen ein par Tausend Euro auf dem Konto.
Also klassischer Fall von fishing-Opfer.

Jetzt möchten wir (oder besser: ich soll) auf die Festplatte zugreifen um eventuell das nachvollziehen zu können.
Also z.B. das entsprechende email ansehen und ausdrucken usw.
Einen SATA auf USB Adapter habe ich, z.B. mein Sharkoon Quickport XT USB3.0, was auch im regen Einsatz ist, da ich mehrere "nackte" Festplatten besitze und einsetze (ehemals interne HDDs, nun als externe Datenbunker eingesetzt).

--> Wie greife ich am besten und am sichersten auf diese, möglicherweise (Trojaner? Virus? Wurm? Rootkit?)-verseuchte Festplatte zu?

1.) Idee: Von einem PC in der Kanzlei (oder meinem eigenen, wohne nicht weit weg) die interne SSD abstecken und das Netzwerkkabel abziehen (damit sicher nix passieren kann) und ein Live Linux zu booten. Dann die HDD per SATA auf USB Adapter anschließen und per Datei Explorer draufschauen.
Was ich natürlich nicht weiß: welches OS bei der Mandantin gelaufen ist, welches Email-Programm sie genutzt hat usw. (wurde vorhin von einer Sekretärin angerufen, mehr konnte sie mir am Telefon auf die Schnelle nicht sagen).
Auch: Wenn das ein Email Programm ist, welches unter Windows läuft, dann läuft das ja nicht wenn ich es unter Linux starten will, oder?
Zudem kenne ich mich unter Linux nicht aus, Android zähle ich nicht und GParted nutze ich ja nur zum HDD Partitionieren, ist ja auch kein "vollwertiges" OS (denke ich).
Was würde es mir also helfen, mit Linux und dem dortigen Datei Explorer die HDD zu durchstöbern, wenn ich keine Programme (weil Windows Programme) starten kann?
Ich würde ja nur den Verzeichnisbaum inkl. Dateien sehen, so wie wenn ich unter Windows auf Laufwerk C klicke und die Dateien und Ordner sehe, nicht wahr? (z.B. ist ja der Desktop auch nur ein Ordner unter C:\Users\ )

2.) Idee: Virtuelle Maschine (VM). Man kann z.B. unter Ubuntu eine VM machen und dort Windows installieren. Dort dann die HDD anstecken und ganz normal unter Windows darauf zugreifen. Wenn eine Malware aktiv wird, ist es egal, weil die nicht durch die Sandbox kommt und unter Linux ja eh nicht funktionieren würde.
NUR: Alle Büro PCs sind in Gebrauch bzw. mit Windows 7 Pro 64Bit aufgesetzt und eingerichtet.
Von den Clients gibts auch keine Backups (alle wichtigen Daten sind aber wenigstens auf dem Server, der doppelt gesichert wird), die man evtl. schnell per Knopfdruck zurückspielen könnte.

3.) Idee: Auf einem bestehenden Windows (7 Pro x64) System eine VM, dort wieder Windows installieren, HDD anstecken und darauf zugreifen.
Nur: Kann ein eventuell aktiver Virus sich dann nicht möglicherweise aus der VM aufs "richtige" System übertragen? Im schlimmsten Fall danach innerhalb der Domäne übers ganze Netzwerk verbreiten?
(1 Server mit Windows Server 2008 R2 Standard (64Bit) = Domänencontroller = DHCP = DNS ;; 9 Clients mit Win 7 pro 64Bit, überall AVAST! Free Antivirus drauf)


Wie würdet ihr, die Profis, das angehen?


Vielen Dank

 

[puri]

Die sauberste und sicherste Lösung: Steck eine neue Platte in einen Standalone (!!!)-PC und installiere Windows. Mit dem greifst Du auf die Seuchenplatte zu und kannst alles machen. Nach der Aktion löscht Du die temporäre Windowsinstallaltion auch gleich. Aber rechtlich beweiskräftig ist das meiner Meinung nach nicht, weil Du in dem Moment, wenn Du auf die Platte zugreifst, ja auch deren Inhalt veränderst. Dazu bräuchtet Ihr einen Forensik-Spezialisten.

 

[blöderidiot]

Wie würdet ihr, die Profis, das angehen?

Ich würde die Festplatte anstecken (wie ist egal) und alle Dateien mit Total Commander auf meinen Rechner ziehen und dann alles ansehen. Einfach so. Vor dem Kopieren Virenprogramm abschalten, damit auch wirklich alle Dateien kopiert werden. Andere Variante: Platte 1:1 kopieren und kopierte Platte in VM im Raw-Modus starten.

Was meinst Du denn, was Du "nachvollziehen" können wirst? Wozu dient das genau? Ich denke, was Du vorhast, bringt Dir überhaupt nichts. Dazu bist Du nicht ausgebildet.

/EDIT:

Ich habe mir Dein Posting noch mal durchgelesen und denke, das kannst Du komplett stecken lassen.
a) Welchen E-Mail-Hoster hat die gute Frau, login-Daten geben lassen.
b) Einfach da mal anmelden und fragliche Mail abspeichern, "als Source" (mit allen Header-Feldern) ausdrucken, abheften, fertig.
c) Festplatte nicht mehr anfassen.

 

[aut_alex]

Servus,

Als Rechtsanwalt sollte dein Vater eigentlich wissen, dass es für sowas gerichtlich beeidete Sachverständige gibt und alles was du da rumfuhrwerken willst nicht hilfreich ist.

Ab zum Profi, besonders wenns gerichtsverwertbar sein soll.

Beste Grüße, Alex

 

[HominiLupus]

Linux Live CD/USB. Das Erste was du machst ist ein komplettes Backup der Festplatte als Image, ohne die Festplatte jemals zu mounten. NIE NIE NIE mehr mounten, egal ob unter Windows oder Linux! Da du diese erste Regel schon nicht kennst bist du die falsche Person hier irgendwas zu machen. Die Festplatte muss ja ggf. irgendwann vielleicht in einem Zivilprozess als Beweisstück dienen und du bist ja nicht mal irgendwie ein Gutachter. Und so was du hier schreibst hast du auch überhaupt keine Ahnung was gemacht werden soll.

Dann arbeitet man nur auf diesem Backup. Da du aber offensichtlich keine Ahnung hast wie so eine Forensik funktioniert, können wir dich nicht an der Hand führen und jeden Befehl einzeln geben....

Daten sichern von der Festplatte geht sehr einfach vom Imagebackup.

 

[quicksilver121]

Servus,

Als Rechtsanwalt sollte dein Vater eigentlich wissen, dass es für sowas gerichtlich beeidete Sachverständige gibt und alles was du da rumfuhrwerken willst nicht hilfreich ist.

Ab zum Profi, besonders wenns gerichtsverwertbar sein soll.

Beste Grüße, Alex

das sehe ich genauso, alles andere ist rechtliche Grauzone .

 

[Idurso]

Der Erste Fehler ist doch schon passiert!
Wer hat die Festplatte ausgebaut ? Und warum hat die Mandantin nicht den ganzen PC in de Kanzlei gebracht?
Einen PC kann man auch Offline betreiben.
Auch fehlen hier wichtige Info´s = Betriebssystem ? Email Programm oder Webmail im Browser? Ist ein Backup der Festplatte vorhanden ?

Mal als Denkanstoß

 

[Smartbomb]

Jo, ich habe am Tel auch gefragt was das genau soll. Ist normal ein fall für die Kripo und die haben Spezialisten dafür.
Hmmm... Weiß nicht genau was die Absicht dahinter ist, vl als "Beweis" für die Versicherung oder sowas?
Also den Text des Mails (mit Datum, Absender, Betreff) samt dem phishing-link...
Weiß auch nicht wie genau die sich das vorstellen...

Ist übrigens nicht der Fall von meinem dad, sondern von der Kollegin (mit wenig EDV- bzw. IT Wissen).

Gut, ich werde mal nachfragen und mich um genauere Infos bemühen.
Ich hab denen mal gesagt, dass ich mich schlau mache, was man tun kann bzw eben nicht soll.
Deshalb ja hier die Frage im Forum an jene, die darüber deutlich mehr wissen als ich!

Ergänzung (21. April 2015)

Der Erste Fehler ist doch schon passiert!
Wer hat die Festplatte ausgebaut ? Und warum hat die Mandantin nicht den ganzen PC in de Kanzlei gebracht?
Einen PC kann man auch Offline betreiben.
Auch fehlen hier wichtige Info´s = Betriebssystem ? Email Programm oder Webmail im Browser? Ist ein Backup der Festplatte vorhanden ?

Mal als Denkanstoß

Alles leider Infos, die ICH nicht habe.
Ist doch egal wer die HDD wann ausgebaut hat (Strom- und SATA Stecker abziehen, mehr ist das ja nicht!).
An den Daten ändert sich ja nichts, da seit dem Ausbau sicher noch nicht auf die HDD zugegriffen oder sie gestartet wurde.

Ich gehe mal von einem "normalen" PC mit Windows XP (omg) oder Windows 7 aus. Und als "Mailprogramm" Windows Live Mail oder Mozilla Thunderbird. Weil wenn es ein gmx-, gmail-, hotmail-, oder whatever Konto war (Mails liegen NUR auf dem Server des Anbieters im Netz), dürfte die HDD ausbauen und herschicken ja DER fail des Jahres sein lol

 

[max_1234]

Als Rechtsanwalt sollte dein Vater eigentlich wissen, dass es für sowas gerichtlich beeidete Sachverständige gibt und alles was du da rumfuhrwerken willst nicht hilfreich ist.

Ab zum Profi, besonders wenns gerichtsverwertbar sein soll.

+1, unterschrieben.
Sobald du die Daten selbst behandelst besteht Verdacht auf Manipulation, gerichtlich verwertbare Informationen sind das dann nicht mehr. Und glaub mir, das passiert öfters als man denkt.

mfg,
Max

 

[Smartbomb]

UPDATE:

Ok, die Lage ist nun wie folgt:

Natürlich ist der gesamte PC zur Polizei gegangen usw usf.
Die Polizei hat angeblich relevante Daten (mails?) auf eine Festplatte der Klientin kopiert. Die "originale" wurde natürlich von der Polizei einbehalten.
Die HDD, auf der von der Polizei was draufkopiert wurde, liegt nun im Büro.
Diese HDD solle ich mir ansehen. Hoffentlich ist der betreffende emailverkehr drauf.
Die Klientin sagt, sie hat angeblich nirgends draufgeklickt, aber die Polizei sagt schon. Die Klientin hat das angeblich noch nie gemacht und ist deshalb auf das Phishing mail, a la "Raiffeisenbank soweiso, irgendwo in Bulgarien gab es einen Zugriff auf ihr Konto... blablabla, bitte geben sie all ihre Daten in die entsprechenden Felder ein."
Und irgendwas mit den TANs wurde mir am Telefon auch gesagt. Dass 3 von 4 TANs abgefangen wurdes, aber einer zur Klientin durchgedrungen ist.
...

Wie auch immer: auf der HDD ists Zeugs drauf, was die Polizei drauf kopiert hat. Foglich brauche ich keine Schutzmaßnahmen mehr treffen, sondern kann die HDD einfach anschließen und mal draufschauen, direkt aus Windows...
Welches Mailprogramm verwendet wurde oder welches OS, konnte mir am Telefon nicht gesagt werden, muss ich also selbst herausfinden

Vielen Dank für die Antworten bisher!

 

[Neronomicon]

Das war es doch schon im großen und ganzem. In diesem Fall sollte bei der Mail die Kontodaten eingetragen werden. Das könnte man auch von der Klientin erfragen. Aber meistens haben viele einen Blackout und wissen nicht mehr was genau sie gemacht haben.
Wieso sollst du die anschauen? Hast du für sowas einen ,,Darf" Schein? Einloggen in der ihren E-Mail Konto und schauen ob die Datei gelesen geöffnet wurde.

 

[Smartbomb]

UPDATE:

Auf der HDD ist ein Image eines Forensik Programms. Da ich nicht in der Kanzlei bin und das logfile nicht auf meinem USB Stick mitgenommen habe, weiß ich gerade den Namen nicht.
Jedenfalls habe ich gegoogelt und konnte es mit dem Programm Mount Image Pro v5.28 mounten (14 Tage Testversion, Key musste per Datasheet angefordert werden).


root directory:


Windows Ordner:


Programme Ordner:


--> Offensichtlich handelt es sich um Windows XP!! Das Image wurde erstellt am 18.6.2014, also noch gar nicht sooo lange nach dem 15.4.2014, wo der extended support von XP endgültig endete.
Mozilla Thunderbird war drauf, konnte ihc sogar starten, war aber kein Konto eingerichtet

Dann war da noch Outlook Express:

geht nicht starten, war aber klar, da es hier ja nur der Dateien Ordner auf Laufwerk E von Windows 7 ist, nicht wie im Original System Laufwerk C und Windows XP.
Outlook Express ist ja das Emailprogramm, was MS Windows XP gratis dazugegeben hat.
Die neueren Versionen heißen ja Windows Live Mail.

Am 18.4.2014 wurde AdwCleaner benutzt und 2 Dinge entfernt: ...\All Users\Anwendungsdaten\Ask (wahrscheinlich die toolbar) und ...\Lokale Einstellungen\Anwendungsdaten\PackageAware (samt allen möglichen Registry Schlüsseln).

Danach habe ich mal Scanner bemüht. Zuerst AVAST! Free Antivirus des entsprechend Kanzlei-PCs:

--> Ha! Die Auslagerungsdatei hat den Trojaner Win32:Banker-KDL.
Gegoogelt ist das einer, der darauf abziehlt, Online banking Zugangsdaten zu erbeuten und dem Herrchen übers INternet zukommen zu lassen. Alles klar.

Danach MBAM:

Is nur ne Datei, pup, also possibly uneanted programm. also nix.

Danach das kleine Gratis Wurm Such Tool McAffee Stinger in der neuesten Version, 64Bit.
Habe am PC noch andere Dinge erledigt, nach einer Stunde Suche ohne Ergebnis ist er abgestürzt.

Habe alle mögliche Software die ich fand aufgeschlüsselt und bin mal heim gegangen.


Heute war ich kurz drinnen am Abend und bekam mal den Sachverhalt geklärt.
Die Klientin bekam einen TAN der Bank auf ihr Handy. Sie dachte sich wtf? Sie hat zwar Zugang, aber nur um zu sehen ob die Leute schon bezahlt haben (Landwirtin mit Zimmer), noch nie hat sich online banking für etwas anderes benutzt.
Am nächsten tag kontaktierte sie die bank was das bitte sein soll mit ihr ne TAN zu schicken. Da sagte ihr die bank, dass zu dem Zeitpunkt am Vortag 4 TANs für 4 Transaktionen verschickt wurden! 3x 20.000 Euro wurden auf irgendein Konto ins Ausland überwiesen.
Den vierten TAN bekam SIE aufs Handy...
Also war auch ihr Handy irgendwie "infiziert", sodass die sms mit den TANs statt auf ihr handy, direkt zu den kriminellen kam. allerdings ging einer der vier angeforderten TANs zu ihrem Handy durch.
...
Die Bank hat auf ne Forderung der Fr Dr. den Betrag ohne Murren überwiesen, allerdings nicht die Honorarnote.
Nun sind andere Anwälte aufgetaucht, die irgendwas von Verfahrensirrleitung (genauen Ausdruck weiß ich nicht mehr) faseln und die bank nun das geld zurück fordert. Deswegen, weil die Mandantin angeblich die TANs selbst angefordert und dann an irgendwen telefonisch weitergeleitet haben soll.
Ähm, ja klar, natürlich, so wirds gewesen sein

Noch Fakten: Es wurde keine gscheite Untersuchung der HDD vorgenommen, ich habe nur das Image des Programms, "Dateiendungen" .E01 bis .E46, zu öffnen mit dieser 14 Tage Testversion von Mount Image Pro v5.28.
Im Bericht steht, dass das handy aus einem nicht bekannten Grund nicht untersucht werden konnte. HÄÄÄ????
Kriminaltechniker, bevor es ein Zivilprozess wurde, können sich kein handy ansehen? Ob da ein Virus oder was immer drauf ist, wann welche SMS kamen, oder sogar gelöschte sms wiederherstellen ging nicht oder wie? WTF?!?!

Das phishing mail wurde jedenfalls kopiert, ist leider durch eine Vergößerung schlecht lesbar.
Der Text geht wie folgend: Von: Raiffeisenbank International, dann aber irgendeine schwachsinnsadresse.
An: unclosed.recipients (oder irgendwie so ähnlich).
Bla bla bla, aus Rumänien wurde ein Zugriff auf ihr Konto versucht, bla bla bla, um sicher zu gehen, dass ihr Konto weiterhin geschützt ist und SIE die richtige Eignerin des Kontos sind, bitte bestätigen sie ihre Zugangsdaten
Klicken Sie hier
Wir entschuldigen uns für Unanehmlichkeiten... bla bla bla

--> Die Mandantin behauptet, NICHT auf den Link geklickt zu haben. Dies allerdings glaubt die Fr. Dr. nicht. Würde ich auch nicht
Entwederist genau so der Trojaner aufs System gekommen, oder der Link führte auf eine Seite der Kriminellen, wo sie brav ihre bankdaten eingegeben hat und somit hatten die Zugang auf ihr Bank-Konto.
Wenn dies der Fall war (also Möglichkeit 2), wozu dann der banking Trojaner? oder der Trojaner war schon früher auf dem System und war an der ganzen Aktion gar nicht beteiligt?
Hmmm...

Jedenfalls müssen die Kriminellen es auch irgendwie geschafft haben, dass die TANs per sms nicht auf dem handy der Mandantin landeten, sondern bei denen, ohne dass die bank oder die Mandatin etwas geemrkt haben.
Und dann ist eine Auswertung des Handys nicht möglich??? FUUUUUU...
Diese Tölpel!! lol


übrigens ist ighre emailadresse eine ...@aon.at, also Telekom Austria. Daher keine Webmail, sondern eine die per Konto abgerufen wird. Da Mozilla Thunderbird "ller" war, bnehme ich an, dass sie mail im Outlook Express steckt!

==> meine Frage jetzt: Wie bringe ich das installierte Outlook des Images zum Laufen?
Kann ich das Image irgendwie in einer virtuellen Maschine, mit Windows XP, hineinextrahieren, alles überschreiben und damit das ursprungssystem wiederherstellen?
Oder ich nehme einen Standalone PC, klopfe schnell ne illegale englische Win XP Pro SP3 Version drauf, installiere nochmal das mount Programm, extrahiere alle Dateien des Images, alles überschreiben...
DANN müsste ich ja quasi das Originalsystem wiederhergestellt haben, oder?
Buchstabe C, Windows XP... startet dann Outlook Expres und kann ich die emails öffnen?

Geht das irgedwie anders/einfacher?

Aja, zum Schluss habe ich natürlich das Nutzerkonto "Daniel" unter "Dokumente und Einstellungen" gefunden.
Würde es reichen, nur diesen Ordner auf ein Win XP System zu extrahieren ud alles zu überschreiben?
Das Image mit Mount Image pro v5 geht alerdings nur Read Only zu öffnen, also kann ich da drin eh nix verändern.
Und da es kein Starfprozess ist, sondern die Fr. Dr. nur gerne die originalen emails sehen würde, wäre eine eventuelle minimale veränderung der daten eh egal.
Eigentlich will sie wissen, ob die Klientin nun auf den Link in dem Email gekickt hat oder nicht.
Ich persönlich denke ja nicht, ob sich das feststellen lässt.
Läuft ja kein Klick Überwacher auf dem System.

Ich habe ihr dann das mit IP Adressen erklärt und dass die Bank diese ja geloggt haben müsste.
Also welche IP sich mit den bankdaten der Mandantin in den bank Account eingeloggt und somit die Überweisung angefordert hat.
Dann sieht man ja, wann sie sich immer eingelogt hat, immer die selbe IP Adresse, und nun plötzlich eine ausländische...

Tja, wenn die bank/Anwälte der Bank nun behaupten, sie habe die TANs empfangen und einfach weitergegeben...

DAS müssen DIE erst beweisen!! Also sind DIE in der Beweispflicht!
Unsere Fr. Dr. meint sie müsste den Fall alleine damit gewinnen, dass die Bank von Anfang an ohne Widerspruch die Summe gezahlt hat. Aber sie ist gerne vorbereitet, nicht dass sie durch irgendeine Argumentation auf falschem Fuß erwischt wird


==> Also Leute, kann ich das Image irgendwie zu einem Live-System machen, wo ich es nutzen kann als ob ich selbst an diese PC sitzen würde um ihre Programme zu starten und emails zu öffnen?

==> Und, kann man irgendwie nachvollziehen, ob die Mandantin jetzt auf diesen Link geklickt hat oder nicht?


Vielen Dank fürs Lesen und die Mühe!!

 

[puri]

Das mit den nicht angekommenen 3 SMSen aufs Handy hört sich schwer nach der 2.-Karten-Methode an. Kriminelle fordern für das Handy der Klientin eine Zweitkarte an (nachdem sie irgendwie die Daten des Handy-Vertrags erschnüffelt haben) und fangen so die SMSen ab, so dass sie die Besitzerin des Handys nie sieht. War bis vor Kurzem ein leider erfolgreicher Trick, inzwischen geben die Mobilfunkunternehmen wohl nicht mehr so einfach eine Zweitkarte per Post (an eine andere Adresse!) heraus.

 

[tiash]

So wie du das hier beschreibst klingt das alles nach einem ganz furchtbaren Fall, in dem NIEMAND mit Sachkenntnis vorgeht. Wenn deine Frau Dr. auf irgendwelche Argumentationen vorbereitet sein will,braucht sie auch Dinge, die sie gerichtsverwertbar vorlegen kann. Standardverfahren in so einem Fall sollte es immer sein, einen Sachverständigen hinzuzuziehen.

Da das hier aber auch schon oft genug gesagt wurde und du nun auch nichts dazu kannst, dass die Verantwortlichen unsauber arbeiten hier noch zwei Denkanstöße. Das Image ist im encase file Format. Wenn du danach googelst, zusammen mit begriffen wie "boot" oder "vm" müsstest du herausfinden können, wie man das in einer VM-Umgebung deiner Wahl, z.B. Virtualbox ans Laufen bringt.

Interessant könnte es auch sein, einen Blick in den Browserverlauf zu werfen. Findet sich dort ein Hinweis auf die Phishingseite, dann sollte recht deutlich sein, dass die Mandantin auf den Link geklickt hat. Abwesenheit von Spuren deutet im Umkehrschluss nicht zwangsläufig auf das Gegenteil hin.

 

[Smartbomb]

Sorry, habe erst jetzt wieder hier reingesehen.
Vielen Dank für Infos so far!

Nur: Wenn ich auf einem Windows 7 PC eine VM erstelle, und dort ein verseuchtes Windows XP Image, mit völlig anderen Treibern für völlig andere Hardwarerkomponenten booten will...
Wird das ja nicht funktionieren...
WAS macht man da?

UND: wenn das verseuchte Image läuft (mit Trojaner infizierte pagefile.sys), kann dann der eigentliche PC, also die darunter liegende Windows 7 Installation infiziert werden?