SlideShare a Scribd company logo

Podążając śladami użytkownika Windows – elementy informatyki śledczej

Download as PPTX, PDF
K
Krzysztof Binkowski

Podążając śladami użytkownika Windows – elementy informatyki śledczej

Technology
1 of 35
Krzysztof Bińkowski Trener, Konsultant Compendium CE, ISSA Polska 14.03.2009
Zapoznanie z podstawowymi technikami ukrywania informacji oraz ich praktyczne poszukiwanie na przykładzie działającego systemu. Minimum wykładu więcej praktycznych demonstracji.
• Scenariusz i plan działania • Computer Forensics – informatyka śledcza • Dowód elektroniczny • Jak wykonać kopię dysku spełniającą cechy dowodu • Analiza danych użytkownika • Poszukiwanie śladów: • Komunikatory: Gadu-Gadu, SKYPE • Poczta elektroniczna MS Outlook • Historia odwiedzanych stron – IE • Pliki - ADS • Pliki graficzne i steganografia • Podsumowanie zebranych dowodów
• Pracownik podejrzany o przekazywanie danych konkurencji ale brakuje nam dowodów, nie został złapany za rękę Jan Kowalski firma A - kolega Andrzeja Nowaka firma B Pan Nowak – pracuje u konkurencji  Nasze środowisko : – Windows XP PRO – stacja robocza Pana Kowalskiego – Office 2003, MS Outlook + pop3, GG, Skype – Przygotowane emaile, korespondencja GG oraz pliki z ukrytymi danymi Planowane działania: – Zabezpieczenie dowodów – kopia dysku -> do pliku – Analiza danych – Wnioski
Ogólny schemat procesu dochodzeniowego Ocena Pozyskiwanie Analiza Raport Zapoznaj się z Przygotuj obowiazującymi narzędzia do procedurami i analizy Analiza danych Zbierz i sieciowych wytycznymi Zbierz i uporządkuj Wybierz zespół zabezpiecz dane Analiza danych zebrane dane specjalistów Zachowaj i zawartych na Wykonaj raport Przygptuj się do zarchiwizuj nośnikach zabezpieczania zgromadzone zewnętrznych danych dane Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie Warren G. Kruse II and Jay G. Heiser, „Computer Forensics: Incident Response Essentials”
Dowodem elektronicznym* nazywamy jakikolwiek sprzęt komputerowy, oprogramowanie lub dane, które możemy użyć, aby udowodnić dokonanie przestępstwa elektronicznego i odpowiedzieć na jedno z pytań: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne. Dowód, który będzie użyty w procesie sądowym powinien być: • kompletny • prawdziwy • niepodważalny • przekonywujący • zdobyty zgodnie z prawem * Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
Proces klonowania dysków (tworzenia obrazów) możemy wykonać na kilka sposobów: • Kopia dysk fizyczny --> dysk fizyczny – stosowany głównie do uruchomienia systemu z dysku • Dysk --> plik obrazu – najbardziej popularny i najbardziej efektywny sposób przygotowania danych do dalszej analizy • Plik obrazu –> dysk fizyczny – przywracanie obrazu na dysk fizyczny Pamiętajmy: • Kopia nośnika musi być wykonana bit po bicie (ang. bit-for-bit) !!! • Oprócz klastrów z danymi powinny zostać skopiowane pozostałe obszary takie jak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowo usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca. • Jeśli tylko to możliwe podłączajmy się do dysków w trybie READ ONLY • Zaopatrzmy się w odpowiednio duży dysk !!!
OFFLINE – dane nieulotone : • Uruchamiamy i bootujemy system CF z płyty CD/DVD Windows PE + własne narzędzia / Linux Live Np.. Helix, Encase (komercyjny) ONLINE – dane ulotne : • Uruchamiamy program tworzący obraz z płyty CD,nośnika USB lub sieci Np.. FTK Imager Tworzenie i składowanie kopii obrazu : • Dysk twardy połączony przez IDE/SATA/USB • Pendrive USB • Poprzez sieć na innym komputerze, serwerze • Dostęp do dysku w trybie do odczytu - programowe i sprzętowe blokery
Darmowe: • DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie projektu http://www.chrysocome.net/dd Np.. dd.exe if=.PhysicalDrive0 of=d: plik1.img • FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB) Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach, szczegóły licencji dostępne są na stronie producenta. Format pliku obrazu dysku odczyt zapis dd RAW EnCase E01 FTK Imager logical image Ghost (tylko nieskompresowane obrazy dysku) SafeBack (tylko do wersji 2.0) SMART (S01) FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
• Wykorzystamy - bezpłatną wersję, już niedostępną : Helix_V1.9-07-13a-2007.iso http://www.e-fense.com/ Helix3 Pro pojawi się około kwietnia 2009 Wykonamy kopię obrazu Konwersja i uruchomienie pliku obrazu w wirtualnej maszynie: Live View - http://liveview.sourceforge.net/ Mount Image Pro – podłączenie obrazu DD jak dysk w systemie TRAIL – 30 dni testów
• poczta elektroniczna • dokumenty elektroniczne • pliki tymczasowe • partycje/ pliki wymiany • logi i rejestry • dane przeglądarki • pliki kolejkowania wydruku • cookies • dane skasowane • dane z backupu • Ukrywanie tekstu w plikach graficznych (steganography) • Inne …..
Śmietnik - Recycle Bin Skasowane pliki - czy na pewno są usunięte z dysku ? • Kasowanie plików nie jest równoznaczne z ich usunięciem z twardego dysku, pliki po skasowaniu pozostają na dysku a system oznacza te pliki jako skasowane • Jeśli klastry skasowanego pliku nie zostały powtórnie użyte ( nadpisane innym plikiem) to bardzo łatwo możemy odzyskać te pliki • Jeśli pliki zostały nadpisane kilkakrotnie – pliki nie są do odzyskania , np. Eraser
Darmowe : • Recuva - http://www.recuva.com/ • File Recovery • wiele innych Komercyjne: • Ontrack EasyRecovery, Recover My Files, inne
Bogactwo komunikatorów: Gadu Gadu, Skype, Jabber, MSN, ICQ i wiele innych Zastosowanie : • Biznesowe • Prywatne • Ograniczenie kosztów rozmów telefonicznych Przeważnie pozostawią ślady w postaci plików zawierających logi lub archiwa Każdy komunikator i jego wersja wymaga unikalnego podejścia !
• GG Tools – zestaw od odzyskiwania archiwum GG • http://mortka.pl/ • Ggarch - poszukiwanie pliku archives.dat • Ggundel – odzyskiwanie skasowanego archiwum przez aplikację GG http://users.v-lo.krakow.pl/~anszom/ggarch/win32.zip • Skypelogview – http://www.nirsoft.net/utils/skype_log_view.html C:Documents and Settings[Profile Name]Application DataSkype[Skype User] Szukamy pliku main.db
Czy ktoś dzisiaj jeszcze nie korzysta z poczty elektronicznej ? Co jest przesyłane pocztą elektroniczną ? Najbardziej popularne aplikacje: • Outlook Express, MS Outlook • ThunderBird, The Bat • Poczta przez witrynę www • wiele innych
• Odzyskiwanie hasła do pliku PST • PstPassword - http://www.nirsoft.net/utils/pst_password.html • Odzyskiwanie skasowanych emaili: Czy się uda ? Jeśli wykonamy kompaktowanie pliku PST ? • Recover My Email - http://www.recover-my-email.com/ - wersja trial
Charakterystyczny plik index.dat Przykładowe narzędzia: Web Browser Tools Package -http://www.nirsoft.net/web_browser_tools.html • IECookiesView , IEHistoryView, IECacheView • MozillaCookiesView , MozillaHistoryView , MozillaCacheView • OperaCacheView , ChromeCacheView , Inne • Index.dat Analyzer v2.5 - http://www.systenance.com/indexdat.php inne • Pasco - http://sourceforge.net/projects/odessa • Galleta - - http://sourceforge.net/projects/odessa
ADS – Alternatywne strumienie danych: • Własność NTFS ( znana od Win NT 3.1 ) • Stworzona w celu kompatybilności z HFS • (Macintosh hierarchical file system ) • Każdy plik w systemie NTFS posiada przynajmniej jeden strumień :$DATA • Alternatywny strumień po prostu inny plik podpięty do istniejącego pliku lub katalogu
• streams.exe (Sysinternals) – darmowe narzędzie, które poszukuje danych zawartych w alternatywnych strumieniach danych (ADS NTFS) • dir /r (MS Vista) • LADS.exe , ADSDetector, ADSSpy, sfind.exe • inne
Tworzymy plik tekstowy test.txt dir > test.txt:strumien.txt dir streams.exe test.txt Notepad.exe test.txt:strumien.txt del plik:strumien Type notepad.exe > calc.exe:virus.exe start c:calc.exe:virus.exe
Steganografia: • Sposób na ukrywanie informacji w istniejących plikach np. graficznych w sposób nie pogarszający obrazu dla ludzkiego oka • Znane od dawna, np. atrament sympatyczny, długopis UV • Szyfrowanie danych w plikach graficznych • Przesyłanie zaszyfrowanych plików bądź informacji tekstowych • Do przesyłania przeważnie używa się kanałów publicznych, emaile, serwery www etc
Pan Jan Kowalski – był w stałym kontakcie – o czym świadczy archiwum GaduGadu Pan Jan Kowalski – wysłał emailem pliki do Pana Andrzeja Nowaka : bmw32.bmp i Sexy_Bikini_0362.bmp zawierające poufne dane : Plan_fundusz.xls i Lista_plac_2009_01.xls ukryte za pomocą steganografii
Czy zawsze tak łatwo można zbadać każdy komputer ? Niestety NIE :( Techniki anti-forensics : • Szyfrowanie dysków , np. TrueCrypt, EFS • Szyfrowanie poczty elektronicznej • Bezpieczne kasowanie danych , np. Eraser, DBAN • Steganografia – stosowanie silnych haseł i algorytmów • Czyszczenie śladów aktywności użytkownika w internecie • Przechowywanie danych i programów na pendrive np. 64 GB PortableApps, U3 • Korzystanie z systemów Live CD • i inne
• Fundamental Computer Investigation Guide For Windows http://technet.microsoft.com/en-us/library/cc162846.aspx • First Responders Guide to Computer Forensics http://www.sei.cmu.edu/publications/documents/05.reports/05hb001.html • First Responders Guide to Computer Forensics: Advanced Topics http://www.sei.cmu.edu/publications/documents/05.reports/05hb003/05hb003.html
Najbliższe spotkanie 7.04.2008 Krzysztof Bińkowski Paweł Pławiak Krzysztof Pietrzak Wykład Wykład Wykład Praktyczne zastosowanie Shadow Groups & Wprowadzenie do grupy kart inteligentnych Subscriptions Groups Security - MSSUG
Zapraszamy na comiesięczne spotkania merytoryczne Poświęcone tematyce bezpieczeństwa Wstęp wolny
Krzysztof.Binkowski@gmail.com

Recommended

Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Krzysztof Binkowski
 
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Sektor 3.0
 
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...Krzysztof Binkowski
 
I tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goI tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goKrzysztof Binkowski
 
I tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goI tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goKrzysztof Binkowski
 
Instalowanie systemów operacyjnych i oprogramowania użytkowego
Instalowanie systemów operacyjnych i oprogramowania użytkowegoInstalowanie systemów operacyjnych i oprogramowania użytkowego
Instalowanie systemów operacyjnych i oprogramowania użytkowegoSzymon Konkol - Publikacje Cyfrowe
 
Prawo autorskie w informatycznych systemach komputerowych
Prawo autorskie w informatycznych systemach komputerowychPrawo autorskie w informatycznych systemach komputerowych
Prawo autorskie w informatycznych systemach komputerowychSzymon Konkol - Publikacje Cyfrowe
 
Tworzenie kopii bezpieczeństwa danych
Tworzenie kopii bezpieczeństwa danychTworzenie kopii bezpieczeństwa danych
Tworzenie kopii bezpieczeństwa danychSzymon Konkol - Publikacje Cyfrowe
 

Recommended

Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Krzysztof Binkowski
 
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Sektor 3.0
 
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...Krzysztof Binkowski
 
I tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goI tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goKrzysztof Binkowski
 
I tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goI tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goKrzysztof Binkowski
 
Instalowanie systemów operacyjnych i oprogramowania użytkowego
Instalowanie systemów operacyjnych i oprogramowania użytkowegoInstalowanie systemów operacyjnych i oprogramowania użytkowego
Instalowanie systemów operacyjnych i oprogramowania użytkowegoSzymon Konkol - Publikacje Cyfrowe
 
Prawo autorskie w informatycznych systemach komputerowych
Prawo autorskie w informatycznych systemach komputerowychPrawo autorskie w informatycznych systemach komputerowych
Prawo autorskie w informatycznych systemach komputerowychSzymon Konkol - Publikacje Cyfrowe
 
Tworzenie kopii bezpieczeństwa danych
Tworzenie kopii bezpieczeństwa danychTworzenie kopii bezpieczeństwa danych
Tworzenie kopii bezpieczeństwa danychSzymon Konkol - Publikacje Cyfrowe
 
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!michalip
 
Instalacja sterowników urządzeń peryferyjnych
Instalacja sterowników urządzeń peryferyjnych Instalacja sterowników urządzeń peryferyjnych
Instalacja sterowników urządzeń peryferyjnychSzymon Konkol - Publikacje Cyfrowe
 
Wyposażenie stanowiska do naprawy komputera osobistego
Wyposażenie stanowiska do naprawy komputera osobistegoWyposażenie stanowiska do naprawy komputera osobistego
Wyposażenie stanowiska do naprawy komputera osobistegoSzymon Konkol - Publikacje Cyfrowe
 
Debian za kulisami
Debian za kulisamiDebian za kulisami
Debian za kulisamiAdam Byrtek
 
Modernizacja i rekonfiguracja komputera osobistego
Modernizacja i rekonfiguracja komputera osobistegoModernizacja i rekonfiguracja komputera osobistego
Modernizacja i rekonfiguracja komputera osobistegoSzymon Konkol - Publikacje Cyfrowe
 
Jesień Linuksowa 2013, Smack
Jesień Linuksowa 2013, SmackJesień Linuksowa 2013, Smack
Jesień Linuksowa 2013, SmackRafal Krypa
 
Bezpieczeństwo danych
Bezpieczeństwo danychBezpieczeństwo danych
Bezpieczeństwo danychBogdan Miś
 
OpenBSD. Tworzenie firewalli za pomocą PF
OpenBSD. Tworzenie firewalli za pomocą PFOpenBSD. Tworzenie firewalli za pomocą PF
OpenBSD. Tworzenie firewalli za pomocą PFWydawnictwo Helion
 
Konfiguracja urządzeń peryferyjnych
Konfiguracja urządzeń peryferyjnychKonfiguracja urządzeń peryferyjnych
Konfiguracja urządzeń peryferyjnychSzymon Konkol - Publikacje Cyfrowe
 
Podstawowe elementy systemu komputerowego
Podstawowe elementy systemu komputerowegoPodstawowe elementy systemu komputerowego
Podstawowe elementy systemu komputerowegoSzymon Konkol - Publikacje Cyfrowe
 
Sieci full
Sieci fullSieci full
Sieci fullguestc637702
 
Windows Vista PL. Instalacja i naprawa. Ćwiczenia praktyczne
Windows Vista PL. Instalacja i naprawa. Ćwiczenia praktyczneWindows Vista PL. Instalacja i naprawa. Ćwiczenia praktyczne
Windows Vista PL. Instalacja i naprawa. Ćwiczenia praktyczneWydawnictwo Helion
 
Metody odzyskiwania danych
Metody odzyskiwania danychMetody odzyskiwania danych
Metody odzyskiwania danychSzymon Konkol - Publikacje Cyfrowe
 
1
11
1Szymon Konkol - Publikacje Cyfrowe
 
8
88
8Szymon Konkol - Publikacje Cyfrowe
 
Diagnoza komputera osobistego na podstawie komunikatów BIOS-u
Diagnoza komputera osobistego na podstawie komunikatów BIOS-uDiagnoza komputera osobistego na podstawie komunikatów BIOS-u
Diagnoza komputera osobistego na podstawie komunikatów BIOS-uSzymon Konkol - Publikacje Cyfrowe
 
2
22
2Szymon Konkol - Publikacje Cyfrowe
 
Lokalizowanie i usuwanie uszkodzeń systemu operacyjnego
Lokalizowanie i usuwanie uszkodzeń systemu operacyjnegoLokalizowanie i usuwanie uszkodzeń systemu operacyjnego
Lokalizowanie i usuwanie uszkodzeń systemu operacyjnegoSzymon Konkol - Publikacje Cyfrowe
 
7
77
7Szymon Konkol - Publikacje Cyfrowe
 
6
66
6Szymon Konkol - Publikacje Cyfrowe
 
Wyklad2
Wyklad2Wyklad2
Wyklad2bodek76
 
Calkiem przyzwoity backup
Calkiem przyzwoity backupCalkiem przyzwoity backup
Calkiem przyzwoity backupArkadiusz Stęplowski
 

More Related Content

What's hot

Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!michalip
 
Debian za kulisami
Debian za kulisamiDebian za kulisami
Debian za kulisamiAdam Byrtek
 
Jesień Linuksowa 2013, Smack
Jesień Linuksowa 2013, SmackJesień Linuksowa 2013, Smack
Jesień Linuksowa 2013, SmackRafal Krypa
 
Bezpieczeństwo danych
Bezpieczeństwo danychBezpieczeństwo danych
Bezpieczeństwo danychBogdan Miś
 
OpenBSD. Tworzenie firewalli za pomocą PF
OpenBSD. Tworzenie firewalli za pomocą PFOpenBSD. Tworzenie firewalli za pomocą PF
OpenBSD. Tworzenie firewalli za pomocą PFWydawnictwo Helion
 
Windows Vista PL. Instalacja i naprawa. Ćwiczenia praktyczne
Windows Vista PL. Instalacja i naprawa. Ćwiczenia praktyczneWindows Vista PL. Instalacja i naprawa. Ćwiczenia praktyczne
Windows Vista PL. Instalacja i naprawa. Ćwiczenia praktyczneWydawnictwo Helion
 
Diagnoza komputera osobistego na podstawie komunikatów BIOS-u
Diagnoza komputera osobistego na podstawie komunikatów BIOS-uDiagnoza komputera osobistego na podstawie komunikatów BIOS-u
Diagnoza komputera osobistego na podstawie komunikatów BIOS-uSzymon Konkol - Publikacje Cyfrowe
 

What's hot (18)

Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!
 
Instalacja sterowników urządzeń peryferyjnych
Instalacja sterowników urządzeń peryferyjnych Instalacja sterowników urządzeń peryferyjnych
Instalacja sterowników urządzeń peryferyjnych
 
Wyposażenie stanowiska do naprawy komputera osobistego
Wyposażenie stanowiska do naprawy komputera osobistegoWyposażenie stanowiska do naprawy komputera osobistego
Wyposażenie stanowiska do naprawy komputera osobistego
 
Debian za kulisami
Debian za kulisamiDebian za kulisami
Debian za kulisami
 
Modernizacja i rekonfiguracja komputera osobistego
Modernizacja i rekonfiguracja komputera osobistegoModernizacja i rekonfiguracja komputera osobistego
Modernizacja i rekonfiguracja komputera osobistego
 
Jesień Linuksowa 2013, Smack
Jesień Linuksowa 2013, SmackJesień Linuksowa 2013, Smack
Jesień Linuksowa 2013, Smack
 
Bezpieczeństwo danych
Bezpieczeństwo danychBezpieczeństwo danych
Bezpieczeństwo danych
 
OpenBSD. Tworzenie firewalli za pomocą PF
OpenBSD. Tworzenie firewalli za pomocą PFOpenBSD. Tworzenie firewalli za pomocą PF
OpenBSD. Tworzenie firewalli za pomocą PF
 
Konfiguracja urządzeń peryferyjnych
Konfiguracja urządzeń peryferyjnychKonfiguracja urządzeń peryferyjnych
Konfiguracja urządzeń peryferyjnych
 
Podstawowe elementy systemu komputerowego
Podstawowe elementy systemu komputerowegoPodstawowe elementy systemu komputerowego
Podstawowe elementy systemu komputerowego
 
Sieci full
Sieci fullSieci full
Sieci full
 
Windows Vista PL. Instalacja i naprawa. Ćwiczenia praktyczne
Windows Vista PL. Instalacja i naprawa. Ćwiczenia praktyczneWindows Vista PL. Instalacja i naprawa. Ćwiczenia praktyczne
Windows Vista PL. Instalacja i naprawa. Ćwiczenia praktyczne
 
Metody odzyskiwania danych
Metody odzyskiwania danychMetody odzyskiwania danych
Metody odzyskiwania danych
 
1
11
1
 
8
88
8
 
Diagnoza komputera osobistego na podstawie komunikatów BIOS-u
Diagnoza komputera osobistego na podstawie komunikatów BIOS-uDiagnoza komputera osobistego na podstawie komunikatów BIOS-u
Diagnoza komputera osobistego na podstawie komunikatów BIOS-u
 
2
22
2
 
Lokalizowanie i usuwanie uszkodzeń systemu operacyjnego
Lokalizowanie i usuwanie uszkodzeń systemu operacyjnegoLokalizowanie i usuwanie uszkodzeń systemu operacyjnego
Lokalizowanie i usuwanie uszkodzeń systemu operacyjnego
 

Similar to Podążając śladami użytkownika Windows – elementy informatyki śledczej

Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Leszek Mi?
 
infraxstructure: Marcin Kaczmarek "SDS - Storage jako aplikacja."
infraxstructure: Marcin Kaczmarek "SDS - Storage jako aplikacja."infraxstructure: Marcin Kaczmarek "SDS - Storage jako aplikacja."
infraxstructure: Marcin Kaczmarek "SDS - Storage jako aplikacja."PROIDEA
 
SQL Server 2008 Tips & tricks administracji
SQL Server 2008 Tips & tricks administracjiSQL Server 2008 Tips & tricks administracji
SQL Server 2008 Tips & tricks administracjiSQLExpert.pl
 
[#4] spark - IBM Integrated Analytics System
[#4] spark - IBM Integrated Analytics System[#4] spark - IBM Integrated Analytics System
[#4] spark - IBM Integrated Analytics SystemArtur Wronski
 
Migracyjna skrzynka narzędziowa
Migracyjna skrzynka narzędziowaMigracyjna skrzynka narzędziowa
Migracyjna skrzynka narzędziowaEmil Wasilewski
 
Przekierowanie strumienia danych
Przekierowanie strumienia danychPrzekierowanie strumienia danych
Przekierowanie strumienia danychJacek Tomczak
 
Technik.teleinformatyk 312[02] z1.04_u
Technik.teleinformatyk 312[02] z1.04_uTechnik.teleinformatyk 312[02] z1.04_u
Technik.teleinformatyk 312[02] z1.04_uRzeźnik Sebastian
 
13. Administrowanie systemem operacyjnym Unix
13. Administrowanie systemem operacyjnym Unix13. Administrowanie systemem operacyjnym Unix
13. Administrowanie systemem operacyjnym Unixkalaxq
 
Sciagamy z netu 2
Sciagamy z netu 2Sciagamy z netu 2
Sciagamy z netu 2Gregolek
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego PROIDEA
 
Technik.teleinformatyk 312[02] z3.04_u
Technik.teleinformatyk 312[02] z3.04_uTechnik.teleinformatyk 312[02] z3.04_u
Technik.teleinformatyk 312[02] z3.04_uRzeźnik Sebastian
 
Wprowadzenie do Big Data i Apache Spark
Wprowadzenie do Big Data i Apache SparkWprowadzenie do Big Data i Apache Spark
Wprowadzenie do Big Data i Apache SparkSages
 
12. Zabezpieczanie dostępu do danych
12. Zabezpieczanie dostępu do danych12. Zabezpieczanie dostępu do danych
12. Zabezpieczanie dostępu do danychkalaxq
 
[#2] architektura - IBM Integrated Analytics System
[#2] architektura - IBM Integrated Analytics System[#2] architektura - IBM Integrated Analytics System
[#2] architektura - IBM Integrated Analytics SystemArtur Wronski
 

Similar to Podążając śladami użytkownika Windows – elementy informatyki śledczej (20)

7
77
7
 
6
66
6
 
Wyklad2
Wyklad2Wyklad2
Wyklad2
 
Calkiem przyzwoity backup
Calkiem przyzwoity backupCalkiem przyzwoity backup
Calkiem przyzwoity backup
 
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
 
Administrowanie systemem operacyjnym windows
Administrowanie systemem operacyjnym windowsAdministrowanie systemem operacyjnym windows
Administrowanie systemem operacyjnym windows
 
infraxstructure: Marcin Kaczmarek "SDS - Storage jako aplikacja."
infraxstructure: Marcin Kaczmarek "SDS - Storage jako aplikacja."infraxstructure: Marcin Kaczmarek "SDS - Storage jako aplikacja."
infraxstructure: Marcin Kaczmarek "SDS - Storage jako aplikacja."
 
SQL Server 2008 Tips & tricks administracji
SQL Server 2008 Tips & tricks administracjiSQL Server 2008 Tips & tricks administracji
SQL Server 2008 Tips & tricks administracji
 
DTrace
DTraceDTrace
DTrace
 
[#4] spark - IBM Integrated Analytics System
[#4] spark - IBM Integrated Analytics System[#4] spark - IBM Integrated Analytics System
[#4] spark - IBM Integrated Analytics System
 
Migracyjna skrzynka narzędziowa
Migracyjna skrzynka narzędziowaMigracyjna skrzynka narzędziowa
Migracyjna skrzynka narzędziowa
 
Przekierowanie strumienia danych
Przekierowanie strumienia danychPrzekierowanie strumienia danych
Przekierowanie strumienia danych
 
Technik.teleinformatyk 312[02] z1.04_u
Technik.teleinformatyk 312[02] z1.04_uTechnik.teleinformatyk 312[02] z1.04_u
Technik.teleinformatyk 312[02] z1.04_u
 
13. Administrowanie systemem operacyjnym Unix
13. Administrowanie systemem operacyjnym Unix13. Administrowanie systemem operacyjnym Unix
13. Administrowanie systemem operacyjnym Unix
 
Sciagamy z netu 2
Sciagamy z netu 2Sciagamy z netu 2
Sciagamy z netu 2
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
 
Technik.teleinformatyk 312[02] z3.04_u
Technik.teleinformatyk 312[02] z3.04_uTechnik.teleinformatyk 312[02] z3.04_u
Technik.teleinformatyk 312[02] z3.04_u
 
Wprowadzenie do Big Data i Apache Spark
Wprowadzenie do Big Data i Apache SparkWprowadzenie do Big Data i Apache Spark
Wprowadzenie do Big Data i Apache Spark
 
12. Zabezpieczanie dostępu do danych
12. Zabezpieczanie dostępu do danych12. Zabezpieczanie dostępu do danych
12. Zabezpieczanie dostępu do danych
 
[#2] architektura - IBM Integrated Analytics System
[#2] architektura - IBM Integrated Analytics System[#2] architektura - IBM Integrated Analytics System
[#2] architektura - IBM Integrated Analytics System
 

More from Krzysztof Binkowski

Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławSql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławKrzysztof Binkowski
 
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski Krzysztof Binkowski
 
Mgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportMgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportKrzysztof Binkowski
 
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Krzysztof Binkowski
 
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Krzysztof Binkowski
 
BitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKBitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKKrzysztof Binkowski
 
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Krzysztof Binkowski
 
Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Krzysztof Binkowski
 
K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7Krzysztof Binkowski
 
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Krzysztof Binkowski
 

More from Krzysztof Binkowski (11)

Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławSql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
 
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
 
Mgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportMgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raport
 
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
 
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
 
BitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKBitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACK
 
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
 
Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010
 
K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7
 
Podpis cyfrowy office2010
Podpis cyfrowy office2010Podpis cyfrowy office2010
Podpis cyfrowy office2010
 
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
 

Podążając śladami użytkownika Windows – elementy informatyki śledczej

  • 2. Zapoznanie z podstawowymi technikami ukrywania informacji oraz ich praktyczne poszukiwanie na przykładzie działającego systemu. Minimum wykładu więcej praktycznych demonstracji.
  • 3. Scenariusz i plan działania • Computer Forensics – informatyka śledcza • Dowód elektroniczny • Jak wykonać kopię dysku spełniającą cechy dowodu • Analiza danych użytkownika • Poszukiwanie śladów: • Komunikatory: Gadu-Gadu, SKYPE • Poczta elektroniczna MS Outlook • Historia odwiedzanych stron – IE • Pliki - ADS • Pliki graficzne i steganografia • Podsumowanie zebranych dowodów
  • 4. • Pracownik podejrzany o przekazywanie danych konkurencji ale brakuje nam dowodów, nie został złapany za rękę Jan Kowalski firma A - kolega Andrzeja Nowaka firma B Pan Nowak – pracuje u konkurencji  Nasze środowisko : – Windows XP PRO – stacja robocza Pana Kowalskiego – Office 2003, MS Outlook + pop3, GG, Skype – Przygotowane emaile, korespondencja GG oraz pliki z ukrytymi danymi Planowane działania: – Zabezpieczenie dowodów – kopia dysku -> do pliku – Analiza danych – Wnioski
  • 5. Ogólny schemat procesu dochodzeniowego Ocena Pozyskiwanie Analiza Raport Zapoznaj się z Przygotuj obowiazującymi narzędzia do procedurami i analizy Analiza danych Zbierz i sieciowych wytycznymi Zbierz i uporządkuj Wybierz zespół zabezpiecz dane Analiza danych zebrane dane specjalistów Zachowaj i zawartych na Wykonaj raport Przygptuj się do zarchiwizuj nośnikach zabezpieczania zgromadzone zewnętrznych danych dane Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie Warren G. Kruse II and Jay G. Heiser, „Computer Forensics: Incident Response Essentials”
  • 6. Dowodem elektronicznym* nazywamy jakikolwiek sprzęt komputerowy, oprogramowanie lub dane, które możemy użyć, aby udowodnić dokonanie przestępstwa elektronicznego i odpowiedzieć na jedno z pytań: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne. Dowód, który będzie użyty w procesie sądowym powinien być: • kompletny • prawdziwy • niepodważalny • przekonywujący • zdobyty zgodnie z prawem * Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
  • 7. Proces klonowania dysków (tworzenia obrazów) możemy wykonać na kilka sposobów: • Kopia dysk fizyczny --> dysk fizyczny – stosowany głównie do uruchomienia systemu z dysku • Dysk --> plik obrazu – najbardziej popularny i najbardziej efektywny sposób przygotowania danych do dalszej analizy • Plik obrazu –> dysk fizyczny – przywracanie obrazu na dysk fizyczny Pamiętajmy: • Kopia nośnika musi być wykonana bit po bicie (ang. bit-for-bit) !!! • Oprócz klastrów z danymi powinny zostać skopiowane pozostałe obszary takie jak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowo usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca. • Jeśli tylko to możliwe podłączajmy się do dysków w trybie READ ONLY • Zaopatrzmy się w odpowiednio duży dysk !!!
  • 8. OFFLINE – dane nieulotone : • Uruchamiamy i bootujemy system CF z płyty CD/DVD Windows PE + własne narzędzia / Linux Live Np.. Helix, Encase (komercyjny) ONLINE – dane ulotne : • Uruchamiamy program tworzący obraz z płyty CD,nośnika USB lub sieci Np.. FTK Imager Tworzenie i składowanie kopii obrazu : • Dysk twardy połączony przez IDE/SATA/USB • Pendrive USB • Poprzez sieć na innym komputerze, serwerze • Dostęp do dysku w trybie do odczytu - programowe i sprzętowe blokery
  • 9. Darmowe: • DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie projektu http://www.chrysocome.net/dd Np.. dd.exe if=.PhysicalDrive0 of=d: plik1.img • FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB) Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach, szczegóły licencji dostępne są na stronie producenta. Format pliku obrazu dysku odczyt zapis dd RAW EnCase E01 FTK Imager logical image Ghost (tylko nieskompresowane obrazy dysku) SafeBack (tylko do wersji 2.0) SMART (S01) FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
  • 10. • Wykorzystamy - bezpłatną wersję, już niedostępną : Helix_V1.9-07-13a-2007.iso http://www.e-fense.com/ Helix3 Pro pojawi się około kwietnia 2009 Wykonamy kopię obrazu Konwersja i uruchomienie pliku obrazu w wirtualnej maszynie: Live View - http://liveview.sourceforge.net/ Mount Image Pro – podłączenie obrazu DD jak dysk w systemie TRAIL – 30 dni testów
  • 11. poczta elektroniczna • dokumenty elektroniczne • pliki tymczasowe • partycje/ pliki wymiany • logi i rejestry • dane przeglądarki • pliki kolejkowania wydruku • cookies • dane skasowane • dane z backupu • Ukrywanie tekstu w plikach graficznych (steganography) • Inne …..
  • 12. Śmietnik - Recycle Bin Skasowane pliki - czy na pewno są usunięte z dysku ? • Kasowanie plików nie jest równoznaczne z ich usunięciem z twardego dysku, pliki po skasowaniu pozostają na dysku a system oznacza te pliki jako skasowane • Jeśli klastry skasowanego pliku nie zostały powtórnie użyte ( nadpisane innym plikiem) to bardzo łatwo możemy odzyskać te pliki • Jeśli pliki zostały nadpisane kilkakrotnie – pliki nie są do odzyskania , np. Eraser
  • 13. Darmowe : • Recuva - http://www.recuva.com/ • File Recovery • wiele innych Komercyjne: • Ontrack EasyRecovery, Recover My Files, inne
  • 14.
  • 15. Bogactwo komunikatorów: Gadu Gadu, Skype, Jabber, MSN, ICQ i wiele innych Zastosowanie : • Biznesowe • Prywatne • Ograniczenie kosztów rozmów telefonicznych Przeważnie pozostawią ślady w postaci plików zawierających logi lub archiwa Każdy komunikator i jego wersja wymaga unikalnego podejścia !
  • 16. • GG Tools – zestaw od odzyskiwania archiwum GG • http://mortka.pl/ • Ggarch - poszukiwanie pliku archives.dat • Ggundel – odzyskiwanie skasowanego archiwum przez aplikację GG http://users.v-lo.krakow.pl/~anszom/ggarch/win32.zip • Skypelogview – http://www.nirsoft.net/utils/skype_log_view.html C:Documents and Settings[Profile Name]Application DataSkype[Skype User] Szukamy pliku main.db
  • 17.
  • 18. Czy ktoś dzisiaj jeszcze nie korzysta z poczty elektronicznej ? Co jest przesyłane pocztą elektroniczną ? Najbardziej popularne aplikacje: • Outlook Express, MS Outlook • ThunderBird, The Bat • Poczta przez witrynę www • wiele innych
  • 19. • Odzyskiwanie hasła do pliku PST • PstPassword - http://www.nirsoft.net/utils/pst_password.html • Odzyskiwanie skasowanych emaili: Czy się uda ? Jeśli wykonamy kompaktowanie pliku PST ? • Recover My Email - http://www.recover-my-email.com/ - wersja trial
  • 20.
  • 21. Charakterystyczny plik index.dat Przykładowe narzędzia: Web Browser Tools Package -http://www.nirsoft.net/web_browser_tools.html • IECookiesView , IEHistoryView, IECacheView • MozillaCookiesView , MozillaHistoryView , MozillaCacheView • OperaCacheView , ChromeCacheView , Inne • Index.dat Analyzer v2.5 - http://www.systenance.com/indexdat.php inne • Pasco - http://sourceforge.net/projects/odessa • Galleta - - http://sourceforge.net/projects/odessa
  • 22.
  • 23. ADS – Alternatywne strumienie danych: • Własność NTFS ( znana od Win NT 3.1 ) • Stworzona w celu kompatybilności z HFS • (Macintosh hierarchical file system ) • Każdy plik w systemie NTFS posiada przynajmniej jeden strumień :$DATA • Alternatywny strumień po prostu inny plik podpięty do istniejącego pliku lub katalogu
  • 24. • streams.exe (Sysinternals) – darmowe narzędzie, które poszukuje danych zawartych w alternatywnych strumieniach danych (ADS NTFS) • dir /r (MS Vista) • LADS.exe , ADSDetector, ADSSpy, sfind.exe • inne
  • 25. Tworzymy plik tekstowy test.txt dir > test.txt:strumien.txt dir streams.exe test.txt Notepad.exe test.txt:strumien.txt del plik:strumien Type notepad.exe > calc.exe:virus.exe start c:calc.exe:virus.exe
  • 26. Steganografia: • Sposób na ukrywanie informacji w istniejących plikach np. graficznych w sposób nie pogarszający obrazu dla ludzkiego oka • Znane od dawna, np. atrament sympatyczny, długopis UV • Szyfrowanie danych w plikach graficznych • Przesyłanie zaszyfrowanych plików bądź informacji tekstowych • Do przesyłania przeważnie używa się kanałów publicznych, emaile, serwery www etc
  • 27.
  • 28.
  • 29. Pan Jan Kowalski – był w stałym kontakcie – o czym świadczy archiwum GaduGadu Pan Jan Kowalski – wysłał emailem pliki do Pana Andrzeja Nowaka : bmw32.bmp i Sexy_Bikini_0362.bmp zawierające poufne dane : Plan_fundusz.xls i Lista_plac_2009_01.xls ukryte za pomocą steganografii
  • 30. Czy zawsze tak łatwo można zbadać każdy komputer ? Niestety NIE :( Techniki anti-forensics : • Szyfrowanie dysków , np. TrueCrypt, EFS • Szyfrowanie poczty elektronicznej • Bezpieczne kasowanie danych , np. Eraser, DBAN • Steganografia – stosowanie silnych haseł i algorytmów • Czyszczenie śladów aktywności użytkownika w internecie • Przechowywanie danych i programów na pendrive np. 64 GB PortableApps, U3 • Korzystanie z systemów Live CD • i inne
  • 31. • Fundamental Computer Investigation Guide For Windows http://technet.microsoft.com/en-us/library/cc162846.aspx • First Responders Guide to Computer Forensics http://www.sei.cmu.edu/publications/documents/05.reports/05hb001.html • First Responders Guide to Computer Forensics: Advanced Topics http://www.sei.cmu.edu/publications/documents/05.reports/05hb003/05hb003.html
  • 32.
  • 33. Najbliższe spotkanie 7.04.2008 Krzysztof Bińkowski Paweł Pławiak Krzysztof Pietrzak Wykład Wykład Wykład Praktyczne zastosowanie Shadow Groups & Wprowadzenie do grupy kart inteligentnych Subscriptions Groups Security - MSSUG
  • 34. Zapraszamy na comiesięczne spotkania merytoryczne Poświęcone tematyce bezpieczeństwa Wstęp wolny