WSL 2 Forensik

Untersuchungen rund um das Windows Subsystem für Linux

Fachhochschule St. Pölten, Masterarbeit 2022, Studiengang Information Security

In der IT-Forensik werden verschiedene Betriebssysteme untersucht um Aktionen, die damit passiert sind, nachvollziehen zu können. Dabei kann es sich beim untersuchten System nicht nur um ein Einzelnes handeln. Virtuelle Maschinen und andere Virtualisierungssysteme sind weitreichend in Verwendung. Dabei ist erkennbar, dass multiple Betriebssysteme auf der gleichen Hardware laufen können. Die Entwicklung und Integration des Windows Subsystem für Linux Version 2 in Microsofts Betriebssysteme ist ein Schritt zwei Welten zu verschmelzen. Sowohl Windows als auch Linux muss mit forensischen Methoden und Mitteln untersucht werden. Diese Tatsache gepaart mit der Weiterentwicklung des WSL1 stellt die Forensik vor Herausforderungen. Bisherige Abläufe betrachten diese beiden Betriebssysteme getrennt voneinander. Diese getrennte Betrachtung des Subsystems bietet sich an, um bestehende Tools weiterhin verwenden zu können. Doch zuvor muss man erkennen ob sich auf einem Host ein WSL-System befindet und dieses extrahiert werden kann. Darum geht es in dieser Arbeit, die neben der Detektion von Spuren sowohl die Akquise als auch die Analyse aus Sicht des neuen Subsystems betrachtet. Da es auch hilfreich sein kann ein akquiriertes System zu revirtualisieren und es damit wieder lauffähig bekommt, ist auch dieser Aspekt Teil der folgenden Seiten. Die Live-Analyse kann dadurch mit der Maschine auch nach einer Post-Mortem-Akquise noch durchgeführt werden. Auch die Entwicklung eines spezialisierten Tools inklusive Wirksamkeitsprüfung mit allen installierbaren Linux-Distributionen ist enthalten. Neben den Analysen mit bekannten Tools wie RegRipper und Autopsy werden auch andere Werkzeuge verwendet. Es hat sich gezeigt, dass bereits Bordmittel von Windows wie zum Beispiel der Event Viewer Erkenntnisse zum Installationsstatus liefern kann. Und dieWindows Registry ist ebenfalls eine Quelle für Daten um und über dasWindows Subsystem für Linux. Zusammenfassend kann diese Arbeit ein übersichtlicher Ratgeber für die forensische Analyse vonWindows 10 Hosts mit installierten WSL-Instanzen sein.

In der IT-Forensik werden verschiedene Betriebssysteme untersucht um Aktionen, die damit passiert sind, nachvollziehen zu können. Dabei kann es sich beim untersuchten System nicht nur um ein Einzelnes handeln. Virtuelle Maschinen und andere Virtualisierungssysteme sind weitreichend in Verwendung. Dabei ist erkennbar, dass multiple Betriebssysteme auf der gleichen Hardware laufen können. Die Entwicklung und Integration des Windows Subsystem für Linux Version 2 in Microsofts Betriebssysteme ist ein Schritt zwei Welten zu verschmelzen. Sowohl Windows als auch Linux muss mit forensischen Methoden und Mitteln untersucht werden. Diese Tatsache gepaart mit der Weiterentwicklung des WSL1 stellt die Forensik vor Herausforderungen. Bisherige Abläufe betrachten diese beiden Betriebssysteme getrennt voneinander. Diese getrennte Betrachtung des Subsystems bietet sich an, um bestehende Tools weiterhin verwenden zu können. Doch zuvor muss man erkennen ob sich auf einem Host ein WSL-System befindet und dieses extrahiert werden kann. Darum geht es in dieser Arbeit, die neben der Detektion von Spuren sowohl die Akquise als auch die Analyse aus Sicht des neuen Subsystems betrachtet. Da es auch hilfreich sein kann ein akquiriertes System zu revirtualisieren und es damit wieder lauffähig bekommt, ist auch dieser Aspekt Teil der folgenden Seiten. Die Live-Analyse kann dadurch mit der Maschine auch nach einer Post-Mortem-Akquise noch durchgeführt werden. Auch die Entwicklung eines spezialisierten Tools inklusive Wirksamkeitsprüfung mit allen installierbaren Linux-Distributionen ist enthalten. Neben den Analysen mit bekannten Tools wie RegRipper und AutopsyIn computer forensics, various operating systems are examined in order to be able to reconstruct actions that have occurred within them. The system under investigation could consist of multiple different machines. Virtual machines and other virtualization systems are widely used to run multiple operating systems on one hardware. The development and integration of theWindows subsystem for Linux version 2 into Microsoft’s operating systems is a step towards merging two worlds. BothWindows and Linux need to be examined with forensic methods. This fact coupled with the evolution of WSL presents challenges to forensics. Previous workflows consider these two operating systems separately. The separate consideration of the subsystem lends itself to the continued use of existing tools. But before that, one has to detect if there is a WSL system on a host and if it can be extracted. This is the focus of this paper, which looks at both acquisition and analysis from the point of view of the new subsystem, in addition to the detection of traces. Since it can also be helpful to revirtualize an acquired system and thus get it running again, this aspect is also part of the following pages. The live analysis can thus still be performed with the machine even after a post-mortem acquisition. The development of a specialized tool including effectiveness testing with all installable Linux distributions is also included. In addition to the analyses with well-known tools such as RegRipper and Autopsy, other tools are also used. It has been shown that even on-board Windows tools such as the Event Viewer can provide insights into the installation status of WSL. And the Windows Registry can be an extremely interesting source of data around and about the Windows subsystem for Linux. In summary, this work can be a concise guide for the forensic analysis of Windows 10 hosts with installed WSL instances. vii werden auch andere Werkzeuge verwendet. Es hat sich gezeigt, dass bereits Bordmittel von Windows wie zum Beispiel der Event Viewer Erkenntnisse zum Installationsstatus liefern kann. Und dieWindows Registry ist ebenfalls eine Quelle für Daten um und über dasWindows Subsystem für Linux. Zusammenfassend kann diese Arbeit ein übersichtlicher Ratgeber für die forensische Analyse vonWindows 10 Hosts mit installierten WSL-Instanzen sein.