Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w skompromitowanych systemach windows v2
1. Metody pozyskiwania i zabezpieczania danych
w skompromitowanych systemach Windows
KRZYSZTOF BIŃKOWSKI
Trener, Konsultant | Compendium CE / ISSA Polska
2. Agenda
Dowód elektroniczny
Typy zbieranych danych
Zbieranie danych: dane ulotne i dane nieulotne
Pozyskiwanie danych
Kopia bitowa dysku twardego
Tworzenie obrazu dysku / Demo
Dostęp do danych z zabezpieczonego materiału / Demo
Kopia bitowa pamięci RAM / Demo
Kopia bitowa pamięci flash / Demo
Oprogramowanie COMPUTER FORENSICS
4. Definicja
Dowodem elektronicznym* nazywamy jakikolwiek sprzęt
komputerowy, oprogramowanie lub dane, które możemy użyd, aby
udowodnid dokonanie przestępstwa elektronicznego i odpowiedzied na
jedno z pytao: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili
obecnej najczęstszym dowodem fizycznym jest dysk
twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty
CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne.
kompletny
prawdziwy
niepodważalny
przekonywujący
zdobyty zgodnie z prawem
*Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
5. Dowód elektroniczny
Brak definicji prawnej
Informacja w postaci elektronicznej o
znaczeniu dowodowym
Dowód rzeczowy
Nośnik, a dowód elektroniczny
Zasada swobodnej oceny dowodów
6. Dowód elektroniczny - cechy
Łatwośd modyfikacji
Równośd kopii i oryginału
Szczególne podejście
7. Co może byd dowodem
elektronicznym ?
dane tekstowe (wiadomości graficzne wizualno-dźwiękowe (zapis
dane numeryczne dźwiękowe (zapis rozmowy)
e-mail) (zdjęcia, rysunki, schematy) kamery internetowej)
Elementy składowe dowodu elektronicznego (przykłady):
plik i jego dane dane informacje
zawartośd przecho- pochodząc informacje
wywane w logi ukryte
(wraz z ez odzyskane (steganografia)
metadanymi) archiwach podsłuchu
8. Proces dochodzeniowy
Ocena Pozyskiwanie Analiza Raport
Zapoznaj się z Przygotuj narzędzia Analiza danych
do analizy Zbierz i
obowiązującymi sieciowych uporządkuj
procedurami i Zbierz i zabezpiecz Analiza danych zebrane dane
wytycznymi dane zawartych na Wykonaj raport
Wybierz zespół Zachowaj i nośnikach
specjalistów zarchiwizuj zewnętrznych
Przygotuj się do zgromadzone dane
zabezpieczania
danych
Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie
10. Dane ulotne i nieulotne
Dane ulotne (ang.
Volatile date)
Dane nieulotne
(ang. non-volatile
date lub persistent
data)
11. Zbieranie danych ulotnych
Zrzut pamięci RAM
Bieżący czas i data
Konfiguracja systemu, tzw. profil systemu
Bieżące procesy (running processes)
Pliki otwarte, startowe (autostart) oraz dane ze schowka
Użytkownicy zalogowani do systemu i aktualnie pracujący na serwerze
Biblioteki dynamiczne (DLL) i współdzielone
Otwarte porty i nawiązane połączenia sieciowe
Informacja na temat trasowania (ang. routing)
Rootkit’y
inne
12. Zbieranie danych nieulotnych
Nośnikami danych mogą byd:
twarde dyski
dyskietki, napędy ZIP, Jazz
płyty CD/DVD
pamięci FLASH ( klucze USB, pendrive’y )
karty pamięci ( np. SD, MMC, MS, MS
PRO, CF, MINI SD, XD, inne )
dyski sieciowe
taśmy
palmtopy (Windows Mobile)
telefony komórkowe
oraz inne
17. Tworzenie obrazu dysku
OFFLINE – dane nieulotone :
Zaleca się podłączenie dysku przez bloker i wykonanie
kopii na stacji badającego
lub
Uruchamiamy i bootujemy system CF z płyty CD/DVD
Windows PE + własne narzędzia / Linux Live
Np.. Helix, Encase (komercyjny)
System Live musi montowad dyski w trybie READ ONLY !!!
ONLINE – dane ulotne :
Uruchamiamy program tworzący obraz z płyty CD,nośnika USB lub sieci
Np.. FTK Imager
Tworzenie i składowanie kopii obrazu :
Dysk twardy połączony przez IDE/SATA/USB
Pendrive USB
Poprzez sied na innym komputerze, serwerze
Dostęp do dysku w trybie do odczytu
18. Kopia bitowa dysku
PLIK
PLIK
Pamiętajmy:
Kopia nośnika musi byd wykonana bit po bicie (ang. bit-for-bit) !!!
Oprócz klastrów z danymi powinny zostad skopiowane pozostałe obszary takie
jak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowo
usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca.
19. Kopia dysku - narzędzia
Darmowe:
DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie projektu
http://www.chrysocome.net/dd
Np.. dd.exe if=.PhysicalDrive0 of=d: plik1.img
FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu
dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB)
Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w
kilku przypadkach, szczegóły licencji dostępne są na stronie producenta.
Format pliku obrazu dysku odczyt zapis
dd RAW
EnCase E01
FTK Imager logical image
Ghost (tylko nieskompresowane obrazy dysku)
ICS
SafeBack (tylko do wersji 2.0)
SMART (S01)
FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic
Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
21. Dostęp do danych – kopii dysku
Podłączenie obrazu dysku w systemie Windows
np. Mount Image Pro
Uruchamianie dysku w wirtualnej maszynie
np. Live View + VMware
30. Literatura
RFC3227 - Guidelines for Evidence Collection and Archiving
Fundamental Computer Investigation Guide For Windows
http://technet.microsoft.com/en-us/library/cc162846.aspx
First Responders Guide to Computer Forensics
http://www.sei.cmu.edu/publications/documents/05.reports/05
hb001.html
First Responders Guide to Computer Forensics: Advanced
Topics
http://www.sei.cmu.edu/publications/documents/05.reports/05
hb003/05hb003.html
31. Grupa MSSUG
Tematyka najbliższych spotkao:
Smart Card (warsztaty)
OTP ( One Time Password)
Zapraszamy na comiesięczne spotkania w Warszawie
http://ms-groups.pl/MSSUG
32. Oceo moją sesję
Ankieta dostępna na stronie www.mts2009.pl
Wygraj wejściówki na następny MTS!