Tox ist ein freies Peer-to-Peer-Instant-Messaging- und Videotelefonie-Netzwerkprotokoll, das verschlüsselten Datenaustausch ermöglicht. Aufgrund der mitunter brisanten Inhalte, die über diesen Messenger verbreitet werden ist eine forensische Aufarbeitung des Messengers interessant. Im Folgenden lege ich die Möglichkeiten der forensischen Analyse des verbreiteten qTox-Clients dar.
qTox ist für Windows, OS X, FreeBSD und Linux verfügbar. Die folgenden Erkenntnisse beziehen sich auf die Windows-Version v1.16.3.
Die Programm- und User-Dateien können in einem Festplatten-Abbild oder in einem Live-System an folgenden Orten sichergestellt werden:
Darin enthalten sind standardmäßig folgende Dateien:
Die Datei [username].db ist eine SQLite-Datenbank die (bei Verwendung eines Tox-Client Passwortes) verschlüsselt ist. Die Datei hat denselben Namen, wie der jeweils verwendete Benutzername und enthält die eigentlichen Chat-Nachrichten. Sie ist SQLCipher verschlüsselt und kann bei bekanntem Passwort entschlüsselt werden, z.B. indem sie in das o.g. Programm-Verzeichnis einer anderen Instanz von qTox verschoben wird. Dies muss auf einer virtuellen Maschine oder auf einem Rechner passieren, der nicht mit dem Internet verbunden ist! In den qTox Einstellungen kann das Passwort entfernt werden, die Datenbank ist dann unverschlüsselt. Diese Vorgehensweise hat den Vorteil, dass die Datenbank im Anschluss in einem SQLite-Viewer vollständig analysiert werden kann. Einzelne Konversationen können zwar per Rechtsklick über die Benutzeroberfläche von qTox exportiert werden, allerdings nur auszugsweise.
Die Dateien [username].ini und [username].tox enthalten vermutlich gesonderte Einstellungen und diverse andere Daten des Benutzers.
qtox.ini e
currentProfile |
Zuletzt verwendeter Benutzername |
translation |
Sprache der Benutzeroberfläche |
globalAutoAcceptDir |
Standard-Ordner für Dateiempfang |
qtox.log e
Auch passive Aktivitäten finden sich hier, folgende Zeilen weisen z.B. auf empfangene Dateien hin:
Das Unterverzeichnis /avatars/ beinhaltet Avatare von jenen Benutzern mit denen kommuniziert wurde. Die Bilddateien sind nach den Tox-IDs der jeweiligen Benutzer benannt und können somit den jeweils kontaktierten Benutzern zugeordnet werden.
Medien-Dateien werden standardmäßig im Ordner C:\Users\%USERNAME%\ (Windows) abgespeichert. Folgende Voraussetzungen gelten für die Dateiübertragung:
Zahlreiche Metadaten können ohne weiteres aus einer qTox-Installation gewonnen werden. Für den Zugriff auf die tatsächlichen Konversationen ist das Benutzer-Passwort notwendig, sofern eines für das betreffende Konto gesetzt wurde. Die entschlüsselte Datenbank kann schließlich in handelsüblichen SQLite-Viewern analysiert werden. Der tatsächliche Versand oder Empfang von Medien-Dateien ist schwierig nachzuweisen, da qTox antiforensische Maßnahmen trifft. Auch hier schafft eine Metadaten-Analyse eine gewisse Beweislage.
Der vorliegende Artikel versteht sich als unverbindlich und hat rein informativen Charakter. Er kann eine Begutachtung, die auf eine bestimmte und explizite Situation bezogen ist, niemals ersetzen.