strings – Praktische Nutzung in der IT-Forensik

Ziel

Dieses Kapitel zeigt den praktischen Einsatz des Linux-Werkzeugs strings in der IT-Forensik. Alle Beispiele sind lokal reproduzierbar und basieren auf selbst erzeugten Dateien. Es werden keine externen Samples oder Malware benötigt.

Vorarbeiten

• mkdir forensic
• wget https://xinux.de/downloads/forensic/sample1
• wget https://xinux.de/downloads/forensic/usb.dd
• wget https://xinux.de/downloads/forensic/invoice-helper

Werkzeug

• strings
• file
• grep

Szenario 1 – Analyse eines verdächtigen Programms

Datei runterladen

• wget

Erste Einordnung der Datei

• file sample1.bin

Strings extrahieren

• strings sample1.bin

Zielgerichtete Auswertung

Netzwerkindikatoren

• strings sample1 | grep -Ei 'http|https|ftp'

Zugangsdaten

• strings sample1 | grep -Ei 'user|pass|password'

Systempfade und Shells

• strings sample1 | grep -Ei '/bin/|/etc/'

Forensische Bewertung

• Das Programm enthält Klartext-Zugangsdaten
• Es nutzt eine Shell (/bin/sh)
• Es verweist auf ein externes Netzwerkziel
• Das Programm wurde nicht ausgeführt

Szenario 2 – Analyse eines Datenträger-Images

Image erzeugen

Es wird ein simuliertes USB-Image mit Klartextartefakten erstellt.

• dd if=/dev/zero of=usb.dd bs=1M count=5

• echo "admin@example.com" | dd of=usb.dd conv=notrunc
• echo "https://intranet.local/login" | dd of=usb.dd conv=notrunc seek=1024

Strings auf dem Image

• strings usb.dd

Typische Filter

Mailadressen

• strings usb.dd | grep '@'

URLs

• strings usb.dd | grep -Ei 'http|https'

Forensische Bewertung

• Auch in scheinbar leeren Images finden sich Klartextdaten
• Gelöschte oder überschrieben geglaubte Inhalte können sichtbar bleiben

Grenzen von strings

• Keine Zeitstempel
• Kein Beweis für Ausführung
• Kein Kontext
• Nur Hinweisquelle

Typische Einsatzphase

• Triage
• Erstbewertung
• Hypothesenbildung
• Vorbereitung weiterführender Analyse

Aufgaben

Zusatz – Untersuchungsobjekt Programm

Aufgaben

Untersuchungen von invoice-helper

Aufgabe 1

• Suche mit strings gezielt nach: version, build, user, /home.
• Notiere alle gefundenen Strings und ordne sie dem Entwicklungs- oder Einsatzkontext zu.

Aufgabe 2

• Suche mit strings nach: /etc, /var, /srv, /tmp.

Aufgabe 3

• Welche dieser Pfade deuten auf Konfiguration, temporäre Dateien oder Datenexport hin?
• Suche mit strings nach: http, https, api.

Aufgabe 4

• Welche Kommunikationsziele sind erkennbar?
• Suche mit strings nach: key, api, /bin/sh.

Aufgabe 5

• Welche dieser Strings sind für ein Rechnungsprogramm ungewöhnlich?