SlideShare a Scribd company logo

Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w skompromitowanych systemach windows v2

Download as PPTX, PDF
K
Krzysztof Binkowski

MTS 2009

Technology
1 of 33
Metody pozyskiwania i zabezpieczania danych w skompromitowanych systemach Windows KRZYSZTOF BIŃKOWSKI Trener, Konsultant | Compendium CE / ISSA Polska
Agenda  Dowód elektroniczny  Typy zbieranych danych  Zbieranie danych: dane ulotne i dane nieulotne  Pozyskiwanie danych  Kopia bitowa dysku twardego  Tworzenie obrazu dysku / Demo  Dostęp do danych z zabezpieczonego materiału / Demo  Kopia bitowa pamięci RAM / Demo  Kopia bitowa pamięci flash / Demo  Oprogramowanie COMPUTER FORENSICS
Dowód elektroniczny
Definicja Dowodem elektronicznym* nazywamy jakikolwiek sprzęt komputerowy, oprogramowanie lub dane, które możemy użyd, aby udowodnid dokonanie przestępstwa elektronicznego i odpowiedzied na jedno z pytao: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne. kompletny prawdziwy niepodważalny przekonywujący zdobyty zgodnie z prawem *Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
Dowód elektroniczny Brak definicji prawnej Informacja w postaci elektronicznej o znaczeniu dowodowym Dowód rzeczowy Nośnik, a dowód elektroniczny Zasada swobodnej oceny dowodów
Dowód elektroniczny - cechy Łatwośd modyfikacji Równośd kopii i oryginału Szczególne podejście
Co może byd dowodem elektronicznym ? dane tekstowe (wiadomości graficzne wizualno-dźwiękowe (zapis dane numeryczne dźwiękowe (zapis rozmowy) e-mail) (zdjęcia, rysunki, schematy) kamery internetowej) Elementy składowe dowodu elektronicznego (przykłady): plik i jego dane dane informacje zawartośd przecho- pochodząc informacje wywane w logi ukryte (wraz z ez odzyskane (steganografia) metadanymi) archiwach podsłuchu
Proces dochodzeniowy Ocena Pozyskiwanie Analiza Raport Zapoznaj się z Przygotuj narzędzia Analiza danych do analizy Zbierz i obowiązującymi sieciowych uporządkuj procedurami i Zbierz i zabezpiecz Analiza danych zebrane dane wytycznymi dane zawartych na Wykonaj raport Wybierz zespół Zachowaj i nośnikach specjalistów zarchiwizuj zewnętrznych Przygotuj się do zgromadzone dane zabezpieczania danych Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie
Typy zbieranych danych
Dane ulotne i nieulotne Dane ulotne (ang. Volatile date) Dane nieulotne (ang. non-volatile date lub persistent data)
Zbieranie danych ulotnych Zrzut pamięci RAM Bieżący czas i data Konfiguracja systemu, tzw. profil systemu Bieżące procesy (running processes) Pliki otwarte, startowe (autostart) oraz dane ze schowka Użytkownicy zalogowani do systemu i aktualnie pracujący na serwerze Biblioteki dynamiczne (DLL) i współdzielone Otwarte porty i nawiązane połączenia sieciowe Informacja na temat trasowania (ang. routing) Rootkit’y inne
Zbieranie danych nieulotnych Nośnikami danych mogą byd: twarde dyski dyskietki, napędy ZIP, Jazz płyty CD/DVD pamięci FLASH ( klucze USB, pendrive’y ) karty pamięci ( np. SD, MMC, MS, MS PRO, CF, MINI SD, XD, inne ) dyski sieciowe taśmy palmtopy (Windows Mobile) telefony komórkowe oraz inne
Pozyskiwanie danych
Wyłączony komputer Spisad protokół Nie włączad !!! Zaleca się wyjęcie dysków Wykonad kopię dysków Wykonad sumę kontrolną dysku Wykonad sumę kontrolną kopii Zabezpieczyd oryginalny dysk
Włączony komputer Spisad protokół Wykonad zdjęcie ekranu Wykonad zdjęcie otoczenia Wykonad zrzut pamięci oraz innych danych ulotnych na nośnik zewnętrzny Wykonad kopię dysku online Wyłączyd komputer Zaleca się wyjęcie dysków Wykonad kopię dysku offline Wykonad sumę kontrolną dysku Wykonad sumę kontrolną kopii Zabezpieczyd oryginalny dysk
Blokery Zabezpieczyd nośnik przed zapisem !  Bloker sprzętowy  Bloker Programowy HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor
Tworzenie obrazu dysku  OFFLINE – dane nieulotone : Zaleca się podłączenie dysku przez bloker i wykonanie kopii na stacji badającego lub Uruchamiamy i bootujemy system CF z płyty CD/DVD Windows PE + własne narzędzia / Linux Live Np.. Helix, Encase (komercyjny) System Live musi montowad dyski w trybie READ ONLY !!!  ONLINE – dane ulotne : Uruchamiamy program tworzący obraz z płyty CD,nośnika USB lub sieci Np.. FTK Imager  Tworzenie i składowanie kopii obrazu : Dysk twardy połączony przez IDE/SATA/USB Pendrive USB Poprzez sied na innym komputerze, serwerze Dostęp do dysku w trybie do odczytu
Kopia bitowa dysku PLIK PLIK Pamiętajmy: Kopia nośnika musi byd wykonana bit po bicie (ang. bit-for-bit) !!! Oprócz klastrów z danymi powinny zostad skopiowane pozostałe obszary takie jak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowo usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca.
Kopia dysku - narzędzia Darmowe:  DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie projektu http://www.chrysocome.net/dd Np.. dd.exe if=.PhysicalDrive0 of=d: plik1.img  FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB) Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach, szczegóły licencji dostępne są na stronie producenta. Format pliku obrazu dysku odczyt zapis dd RAW EnCase E01 FTK Imager logical image Ghost (tylko nieskompresowane obrazy dysku) ICS SafeBack (tylko do wersji 2.0) SMART (S01)  FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
Wykonanie kopii dysku
Dostęp do danych – kopii dysku Podłączenie obrazu dysku w systemie Windows np. Mount Image Pro Uruchamianie dysku w wirtualnej maszynie np. Live View + VMware
Dostęp do danych wykonanej kopii
Kopia bitowa pamięci RAM Czy potrzebna ? Narzędzia: FTK Imager, MDD, Win32DD Analiza: Volatitity, BinText, Memoryze
Kopia bitowa pamięci RAM
Kopia bitowa pamięci flash Zabezpieczenie danych Kopia przed analizą Odzyskanie usuniętych danych
Odzyskanie danych z kopii pamięci flash
Oprogramowanie COMPUTER FORENSICS
Darmowe zestawy COMPUTER FORENSICS
Komercyjne programy COMPUTER FORENSICS WInHex
Literatura  RFC3227 - Guidelines for Evidence Collection and Archiving  Fundamental Computer Investigation Guide For Windows http://technet.microsoft.com/en-us/library/cc162846.aspx  First Responders Guide to Computer Forensics http://www.sei.cmu.edu/publications/documents/05.reports/05 hb001.html  First Responders Guide to Computer Forensics: Advanced Topics http://www.sei.cmu.edu/publications/documents/05.reports/05 hb003/05hb003.html
Grupa MSSUG Tematyka najbliższych spotkao:  Smart Card (warsztaty)  OTP ( One Time Password) Zapraszamy na comiesięczne spotkania w Warszawie http://ms-groups.pl/MSSUG
Oceo moją sesję Ankieta dostępna na stronie www.mts2009.pl Wygraj wejściówki na następny MTS!
© 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą byd znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.

Recommended

Podążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejPodążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejKrzysztof Binkowski
 
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Sektor 3.0
 
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!michalip
 
Instalowanie systemów operacyjnych i oprogramowania użytkowego
Instalowanie systemów operacyjnych i oprogramowania użytkowegoInstalowanie systemów operacyjnych i oprogramowania użytkowego
Instalowanie systemów operacyjnych i oprogramowania użytkowegoSzymon Konkol - Publikacje Cyfrowe
 
7. Identyfikowanie i charakteryzowanie urządzeń zewnętrznych komputera
7. Identyfikowanie i charakteryzowanie urządzeń zewnętrznych komputera7. Identyfikowanie i charakteryzowanie urządzeń zewnętrznych komputera
7. Identyfikowanie i charakteryzowanie urządzeń zewnętrznych komputerakalaxq
 
Tworzenie kopii bezpieczeństwa danych
Tworzenie kopii bezpieczeństwa danychTworzenie kopii bezpieczeństwa danych
Tworzenie kopii bezpieczeństwa danychSzymon Konkol - Publikacje Cyfrowe
 
Prawo autorskie w informatycznych systemach komputerowych
Prawo autorskie w informatycznych systemach komputerowychPrawo autorskie w informatycznych systemach komputerowych
Prawo autorskie w informatycznych systemach komputerowychSzymon Konkol - Publikacje Cyfrowe
 
Wyposażenie stanowiska do naprawy komputera osobistego
Wyposażenie stanowiska do naprawy komputera osobistegoWyposażenie stanowiska do naprawy komputera osobistego
Wyposażenie stanowiska do naprawy komputera osobistegoSzymon Konkol - Publikacje Cyfrowe
 

Recommended

Podążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejPodążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejKrzysztof Binkowski
 
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Sektor 3.0
 
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!
Odzyskiwanie danych po formacie – 3 darmowe i skuteczne sposoby!michalip
 
Instalowanie systemów operacyjnych i oprogramowania użytkowego
Instalowanie systemów operacyjnych i oprogramowania użytkowegoInstalowanie systemów operacyjnych i oprogramowania użytkowego
Instalowanie systemów operacyjnych i oprogramowania użytkowegoSzymon Konkol - Publikacje Cyfrowe
 
7. Identyfikowanie i charakteryzowanie urządzeń zewnętrznych komputera
7. Identyfikowanie i charakteryzowanie urządzeń zewnętrznych komputera7. Identyfikowanie i charakteryzowanie urządzeń zewnętrznych komputera
7. Identyfikowanie i charakteryzowanie urządzeń zewnętrznych komputerakalaxq
 
Tworzenie kopii bezpieczeństwa danych
Tworzenie kopii bezpieczeństwa danychTworzenie kopii bezpieczeństwa danych
Tworzenie kopii bezpieczeństwa danychSzymon Konkol - Publikacje Cyfrowe
 
Prawo autorskie w informatycznych systemach komputerowych
Prawo autorskie w informatycznych systemach komputerowychPrawo autorskie w informatycznych systemach komputerowych
Prawo autorskie w informatycznych systemach komputerowychSzymon Konkol - Publikacje Cyfrowe
 
Wyposażenie stanowiska do naprawy komputera osobistego
Wyposażenie stanowiska do naprawy komputera osobistegoWyposażenie stanowiska do naprawy komputera osobistego
Wyposażenie stanowiska do naprawy komputera osobistegoSzymon Konkol - Publikacje Cyfrowe
 
1
11
1Szymon Konkol - Publikacje Cyfrowe
 
Metody odzyskiwania danych
Metody odzyskiwania danychMetody odzyskiwania danych
Metody odzyskiwania danychSzymon Konkol - Publikacje Cyfrowe
 
Modernizacja i rekonfiguracja komputera osobistego
Modernizacja i rekonfiguracja komputera osobistegoModernizacja i rekonfiguracja komputera osobistego
Modernizacja i rekonfiguracja komputera osobistegoSzymon Konkol - Publikacje Cyfrowe
 
2
22
2Szymon Konkol - Publikacje Cyfrowe
 
Administrowanie systemem operacyjnym windows
Administrowanie systemem operacyjnym windowsAdministrowanie systemem operacyjnym windows
Administrowanie systemem operacyjnym windowsSzymon Konkol - Publikacje Cyfrowe
 
8
88
8Szymon Konkol - Publikacje Cyfrowe
 
Sieci full
Sieci fullSieci full
Sieci fullguestc637702
 
Rodzaje i funkcje systemów operacyjnych
Rodzaje i funkcje systemów operacyjnychRodzaje i funkcje systemów operacyjnych
Rodzaje i funkcje systemów operacyjnychSzymon Konkol - Publikacje Cyfrowe
 
Instalacja sterowników urządzeń peryferyjnych
Instalacja sterowników urządzeń peryferyjnych Instalacja sterowników urządzeń peryferyjnych
Instalacja sterowników urządzeń peryferyjnychSzymon Konkol - Publikacje Cyfrowe
 
Konfiguracja urządzeń peryferyjnych
Konfiguracja urządzeń peryferyjnychKonfiguracja urządzeń peryferyjnych
Konfiguracja urządzeń peryferyjnychSzymon Konkol - Publikacje Cyfrowe
 
Nero 7. Nagrywanie płyt CD i DVD. Ćwiczenia praktyczne
Nero 7. Nagrywanie płyt CD i DVD. Ćwiczenia praktyczneNero 7. Nagrywanie płyt CD i DVD. Ćwiczenia praktyczne
Nero 7. Nagrywanie płyt CD i DVD. Ćwiczenia praktyczneWydawnictwo Helion
 
13. Administrowanie systemem operacyjnym Unix
13. Administrowanie systemem operacyjnym Unix13. Administrowanie systemem operacyjnym Unix
13. Administrowanie systemem operacyjnym Unixkalaxq
 
OpenBSD. Tworzenie firewalli za pomocą PF
OpenBSD. Tworzenie firewalli za pomocą PFOpenBSD. Tworzenie firewalli za pomocą PF
OpenBSD. Tworzenie firewalli za pomocą PFWydawnictwo Helion
 
Diagnoza komputera osobistego na podstawie komunikatów BIOS-u
Diagnoza komputera osobistego na podstawie komunikatów BIOS-uDiagnoza komputera osobistego na podstawie komunikatów BIOS-u
Diagnoza komputera osobistego na podstawie komunikatów BIOS-uSzymon Konkol - Publikacje Cyfrowe
 
Podstawowe elementy systemu komputerowego
Podstawowe elementy systemu komputerowegoPodstawowe elementy systemu komputerowego
Podstawowe elementy systemu komputerowegoSzymon Konkol - Publikacje Cyfrowe
 
Rodzaje i zastosowanie oprogramowania użytkowego
Rodzaje i zastosowanie oprogramowania użytkowegoRodzaje i zastosowanie oprogramowania użytkowego
Rodzaje i zastosowanie oprogramowania użytkowegoSzymon Konkol - Publikacje Cyfrowe
 
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Krzysztof Binkowski
 
BitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKBitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKKrzysztof Binkowski
 
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Krzysztof Binkowski
 
Mgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportMgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportKrzysztof Binkowski
 
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Krzysztof Binkowski
 
2016 Digital Yearbook
2016 Digital Yearbook2016 Digital Yearbook
2016 Digital YearbookWe Are Social Singapore
 

More Related Content

What's hot

Nero 7. Nagrywanie płyt CD i DVD. Ćwiczenia praktyczne
Nero 7. Nagrywanie płyt CD i DVD. Ćwiczenia praktyczneNero 7. Nagrywanie płyt CD i DVD. Ćwiczenia praktyczne
Nero 7. Nagrywanie płyt CD i DVD. Ćwiczenia praktyczneWydawnictwo Helion
 
13. Administrowanie systemem operacyjnym Unix
13. Administrowanie systemem operacyjnym Unix13. Administrowanie systemem operacyjnym Unix
13. Administrowanie systemem operacyjnym Unixkalaxq
 
OpenBSD. Tworzenie firewalli za pomocą PF
OpenBSD. Tworzenie firewalli za pomocą PFOpenBSD. Tworzenie firewalli za pomocą PF
OpenBSD. Tworzenie firewalli za pomocą PFWydawnictwo Helion
 
Diagnoza komputera osobistego na podstawie komunikatów BIOS-u
Diagnoza komputera osobistego na podstawie komunikatów BIOS-uDiagnoza komputera osobistego na podstawie komunikatów BIOS-u
Diagnoza komputera osobistego na podstawie komunikatów BIOS-uSzymon Konkol - Publikacje Cyfrowe
 

What's hot (16)

1
11
1
 
Metody odzyskiwania danych
Metody odzyskiwania danychMetody odzyskiwania danych
Metody odzyskiwania danych
 
Modernizacja i rekonfiguracja komputera osobistego
Modernizacja i rekonfiguracja komputera osobistegoModernizacja i rekonfiguracja komputera osobistego
Modernizacja i rekonfiguracja komputera osobistego
 
2
22
2
 
Administrowanie systemem operacyjnym windows
Administrowanie systemem operacyjnym windowsAdministrowanie systemem operacyjnym windows
Administrowanie systemem operacyjnym windows
 
8
88
8
 
Sieci full
Sieci fullSieci full
Sieci full
 
Rodzaje i funkcje systemów operacyjnych
Rodzaje i funkcje systemów operacyjnychRodzaje i funkcje systemów operacyjnych
Rodzaje i funkcje systemów operacyjnych
 
Instalacja sterowników urządzeń peryferyjnych
Instalacja sterowników urządzeń peryferyjnych Instalacja sterowników urządzeń peryferyjnych
Instalacja sterowników urządzeń peryferyjnych
 
Konfiguracja urządzeń peryferyjnych
Konfiguracja urządzeń peryferyjnychKonfiguracja urządzeń peryferyjnych
Konfiguracja urządzeń peryferyjnych
 
Nero 7. Nagrywanie płyt CD i DVD. Ćwiczenia praktyczne
Nero 7. Nagrywanie płyt CD i DVD. Ćwiczenia praktyczneNero 7. Nagrywanie płyt CD i DVD. Ćwiczenia praktyczne
Nero 7. Nagrywanie płyt CD i DVD. Ćwiczenia praktyczne
 
13. Administrowanie systemem operacyjnym Unix
13. Administrowanie systemem operacyjnym Unix13. Administrowanie systemem operacyjnym Unix
13. Administrowanie systemem operacyjnym Unix
 
OpenBSD. Tworzenie firewalli za pomocą PF
OpenBSD. Tworzenie firewalli za pomocą PFOpenBSD. Tworzenie firewalli za pomocą PF
OpenBSD. Tworzenie firewalli za pomocą PF
 
Diagnoza komputera osobistego na podstawie komunikatów BIOS-u
Diagnoza komputera osobistego na podstawie komunikatów BIOS-uDiagnoza komputera osobistego na podstawie komunikatów BIOS-u
Diagnoza komputera osobistego na podstawie komunikatów BIOS-u
 
Podstawowe elementy systemu komputerowego
Podstawowe elementy systemu komputerowegoPodstawowe elementy systemu komputerowego
Podstawowe elementy systemu komputerowego
 
Rodzaje i zastosowanie oprogramowania użytkowego
Rodzaje i zastosowanie oprogramowania użytkowegoRodzaje i zastosowanie oprogramowania użytkowego
Rodzaje i zastosowanie oprogramowania użytkowego
 

Viewers also liked

Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Krzysztof Binkowski
 
BitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKBitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKKrzysztof Binkowski
 
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Krzysztof Binkowski
 
Mgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportMgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportKrzysztof Binkowski
 
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Krzysztof Binkowski
 

Viewers also liked (7)

Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
 
BitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKBitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACK
 
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
 
Mgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportMgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raport
 
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
 
2016 Digital Yearbook
2016 Digital Yearbook2016 Digital Yearbook
2016 Digital Yearbook
 
Digital in 2016
Digital in 2016Digital in 2016
Digital in 2016
 

Similar to Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w skompromitowanych systemach windows v2

Bezpieczeństwo danych
Bezpieczeństwo danychBezpieczeństwo danych
Bezpieczeństwo danychBogdan Miś
 
Seminarium .Net CF 2004
Seminarium .Net CF 2004Seminarium .Net CF 2004
Seminarium .Net CF 2004Tomasz Cieplak
 
Budowa komputera (1)
Budowa komputera (1)Budowa komputera (1)
Budowa komputera (1)dariusz1235
 
Budowa komputera (1)
Budowa komputera (1)Budowa komputera (1)
Budowa komputera (1)darek98765
 
Budowa komputera
Budowa komputera Budowa komputera
Budowa komputera dariusz1235
 
Budowa komputera (1)
Budowa komputera (1)Budowa komputera (1)
Budowa komputera (1)dariusz1235
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego PROIDEA
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBpatryczek
 
Skazani na firmware. Świat komputera przed systemem operacyjnym.
Skazani na firmware. Świat komputera przed systemem operacyjnym.Skazani na firmware. Świat komputera przed systemem operacyjnym.
Skazani na firmware. Świat komputera przed systemem operacyjnym.Semihalf
 
Automatyzacja fundament każdej chmury
Automatyzacja fundament każdej chmury Automatyzacja fundament każdej chmury
Automatyzacja fundament każdej chmury Jakub Mazurkiewicz
 
Budowa Jednostki Centralnej Komputera
Budowa Jednostki Centralnej KomputeraBudowa Jednostki Centralnej Komputera
Budowa Jednostki Centralnej Komputerawandzia
 
budowa jednostki centralnej
budowa jednostki centralnejbudowa jednostki centralnej
budowa jednostki centralnejwandzia
 
Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)tomasz_pelczar
 
TV i video w Internecie
TV i video w InternecieTV i video w Internecie
TV i video w InternecieDivante
 
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Leszek Mi?
 

Similar to Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w skompromitowanych systemach windows v2 (20)

Wyklad2
Wyklad2Wyklad2
Wyklad2
 
7
77
7
 
6
66
6
 
Bezpieczeństwo danych
Bezpieczeństwo danychBezpieczeństwo danych
Bezpieczeństwo danych
 
Calkiem przyzwoity backup
Calkiem przyzwoity backupCalkiem przyzwoity backup
Calkiem przyzwoity backup
 
Seminarium .Net CF 2004
Seminarium .Net CF 2004Seminarium .Net CF 2004
Seminarium .Net CF 2004
 
Budowa komputera (1)
Budowa komputera (1)Budowa komputera (1)
Budowa komputera (1)
 
Budowa komputera (1)
Budowa komputera (1)Budowa komputera (1)
Budowa komputera (1)
 
Budowa komputera
Budowa komputera Budowa komputera
Budowa komputera
 
Budowa komputera (1)
Budowa komputera (1)Budowa komputera (1)
Budowa komputera (1)
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
 
His
His His
His
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowych
 
Skazani na firmware. Świat komputera przed systemem operacyjnym.
Skazani na firmware. Świat komputera przed systemem operacyjnym.Skazani na firmware. Świat komputera przed systemem operacyjnym.
Skazani na firmware. Świat komputera przed systemem operacyjnym.
 
Automatyzacja fundament każdej chmury
Automatyzacja fundament każdej chmury Automatyzacja fundament każdej chmury
Automatyzacja fundament każdej chmury
 
Budowa Jednostki Centralnej Komputera
Budowa Jednostki Centralnej KomputeraBudowa Jednostki Centralnej Komputera
Budowa Jednostki Centralnej Komputera
 
budowa jednostki centralnej
budowa jednostki centralnejbudowa jednostki centralnej
budowa jednostki centralnej
 
Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)Not Almanach short-cut within Networking (in Polish)
Not Almanach short-cut within Networking (in Polish)
 
TV i video w Internecie
TV i video w InternecieTV i video w Internecie
TV i video w Internecie
 
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
 

More from Krzysztof Binkowski

Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławSql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławKrzysztof Binkowski
 
I tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goI tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goKrzysztof Binkowski
 
I tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goI tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goKrzysztof Binkowski
 
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski Krzysztof Binkowski
 
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Krzysztof Binkowski
 
Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Krzysztof Binkowski
 
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...Krzysztof Binkowski
 
K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7Krzysztof Binkowski
 

More from Krzysztof Binkowski (9)

Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 WrocławSql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław
 
I tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goI tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_go
 
I tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goI tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_go
 
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
 
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
 
Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010
 
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
 
K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7
 
Podpis cyfrowy office2010
Podpis cyfrowy office2010Podpis cyfrowy office2010
Podpis cyfrowy office2010
 

Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w skompromitowanych systemach windows v2

  • 1. Metody pozyskiwania i zabezpieczania danych w skompromitowanych systemach Windows KRZYSZTOF BIŃKOWSKI Trener, Konsultant | Compendium CE / ISSA Polska
  • 2. Agenda  Dowód elektroniczny  Typy zbieranych danych  Zbieranie danych: dane ulotne i dane nieulotne  Pozyskiwanie danych  Kopia bitowa dysku twardego  Tworzenie obrazu dysku / Demo  Dostęp do danych z zabezpieczonego materiału / Demo  Kopia bitowa pamięci RAM / Demo  Kopia bitowa pamięci flash / Demo  Oprogramowanie COMPUTER FORENSICS
  • 4. Definicja Dowodem elektronicznym* nazywamy jakikolwiek sprzęt komputerowy, oprogramowanie lub dane, które możemy użyd, aby udowodnid dokonanie przestępstwa elektronicznego i odpowiedzied na jedno z pytao: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne. kompletny prawdziwy niepodważalny przekonywujący zdobyty zgodnie z prawem *Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
  • 5. Dowód elektroniczny Brak definicji prawnej Informacja w postaci elektronicznej o znaczeniu dowodowym Dowód rzeczowy Nośnik, a dowód elektroniczny Zasada swobodnej oceny dowodów
  • 6. Dowód elektroniczny - cechy Łatwośd modyfikacji Równośd kopii i oryginału Szczególne podejście
  • 7. Co może byd dowodem elektronicznym ? dane tekstowe (wiadomości graficzne wizualno-dźwiękowe (zapis dane numeryczne dźwiękowe (zapis rozmowy) e-mail) (zdjęcia, rysunki, schematy) kamery internetowej) Elementy składowe dowodu elektronicznego (przykłady): plik i jego dane dane informacje zawartośd przecho- pochodząc informacje wywane w logi ukryte (wraz z ez odzyskane (steganografia) metadanymi) archiwach podsłuchu
  • 8. Proces dochodzeniowy Ocena Pozyskiwanie Analiza Raport Zapoznaj się z Przygotuj narzędzia Analiza danych do analizy Zbierz i obowiązującymi sieciowych uporządkuj procedurami i Zbierz i zabezpiecz Analiza danych zebrane dane wytycznymi dane zawartych na Wykonaj raport Wybierz zespół Zachowaj i nośnikach specjalistów zarchiwizuj zewnętrznych Przygotuj się do zgromadzone dane zabezpieczania danych Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie
  • 10. Dane ulotne i nieulotne Dane ulotne (ang. Volatile date) Dane nieulotne (ang. non-volatile date lub persistent data)
  • 11. Zbieranie danych ulotnych Zrzut pamięci RAM Bieżący czas i data Konfiguracja systemu, tzw. profil systemu Bieżące procesy (running processes) Pliki otwarte, startowe (autostart) oraz dane ze schowka Użytkownicy zalogowani do systemu i aktualnie pracujący na serwerze Biblioteki dynamiczne (DLL) i współdzielone Otwarte porty i nawiązane połączenia sieciowe Informacja na temat trasowania (ang. routing) Rootkit’y inne
  • 12. Zbieranie danych nieulotnych Nośnikami danych mogą byd: twarde dyski dyskietki, napędy ZIP, Jazz płyty CD/DVD pamięci FLASH ( klucze USB, pendrive’y ) karty pamięci ( np. SD, MMC, MS, MS PRO, CF, MINI SD, XD, inne ) dyski sieciowe taśmy palmtopy (Windows Mobile) telefony komórkowe oraz inne
  • 14. Wyłączony komputer Spisad protokół Nie włączad !!! Zaleca się wyjęcie dysków Wykonad kopię dysków Wykonad sumę kontrolną dysku Wykonad sumę kontrolną kopii Zabezpieczyd oryginalny dysk
  • 15. Włączony komputer Spisad protokół Wykonad zdjęcie ekranu Wykonad zdjęcie otoczenia Wykonad zrzut pamięci oraz innych danych ulotnych na nośnik zewnętrzny Wykonad kopię dysku online Wyłączyd komputer Zaleca się wyjęcie dysków Wykonad kopię dysku offline Wykonad sumę kontrolną dysku Wykonad sumę kontrolną kopii Zabezpieczyd oryginalny dysk
  • 16. Blokery Zabezpieczyd nośnik przed zapisem !  Bloker sprzętowy  Bloker Programowy HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor
  • 17. Tworzenie obrazu dysku  OFFLINE – dane nieulotone : Zaleca się podłączenie dysku przez bloker i wykonanie kopii na stacji badającego lub Uruchamiamy i bootujemy system CF z płyty CD/DVD Windows PE + własne narzędzia / Linux Live Np.. Helix, Encase (komercyjny) System Live musi montowad dyski w trybie READ ONLY !!!  ONLINE – dane ulotne : Uruchamiamy program tworzący obraz z płyty CD,nośnika USB lub sieci Np.. FTK Imager  Tworzenie i składowanie kopii obrazu : Dysk twardy połączony przez IDE/SATA/USB Pendrive USB Poprzez sied na innym komputerze, serwerze Dostęp do dysku w trybie do odczytu
  • 18. Kopia bitowa dysku PLIK PLIK Pamiętajmy: Kopia nośnika musi byd wykonana bit po bicie (ang. bit-for-bit) !!! Oprócz klastrów z danymi powinny zostad skopiowane pozostałe obszary takie jak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowo usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca.
  • 19. Kopia dysku - narzędzia Darmowe:  DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie projektu http://www.chrysocome.net/dd Np.. dd.exe if=.PhysicalDrive0 of=d: plik1.img  FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB) Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach, szczegóły licencji dostępne są na stronie producenta. Format pliku obrazu dysku odczyt zapis dd RAW EnCase E01 FTK Imager logical image Ghost (tylko nieskompresowane obrazy dysku) ICS SafeBack (tylko do wersji 2.0) SMART (S01)  FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
  • 21. Dostęp do danych – kopii dysku Podłączenie obrazu dysku w systemie Windows np. Mount Image Pro Uruchamianie dysku w wirtualnej maszynie np. Live View + VMware
  • 22. Dostęp do danych wykonanej kopii
  • 23. Kopia bitowa pamięci RAM Czy potrzebna ? Narzędzia: FTK Imager, MDD, Win32DD Analiza: Volatitity, BinText, Memoryze
  • 25. Kopia bitowa pamięci flash Zabezpieczenie danych Kopia przed analizą Odzyskanie usuniętych danych
  • 26. Odzyskanie danych z kopii pamięci flash
  • 30. Literatura  RFC3227 - Guidelines for Evidence Collection and Archiving  Fundamental Computer Investigation Guide For Windows http://technet.microsoft.com/en-us/library/cc162846.aspx  First Responders Guide to Computer Forensics http://www.sei.cmu.edu/publications/documents/05.reports/05 hb001.html  First Responders Guide to Computer Forensics: Advanced Topics http://www.sei.cmu.edu/publications/documents/05.reports/05 hb003/05hb003.html
  • 31. Grupa MSSUG Tematyka najbliższych spotkao:  Smart Card (warsztaty)  OTP ( One Time Password) Zapraszamy na comiesięczne spotkania w Warszawie http://ms-groups.pl/MSSUG
  • 32. Oceo moją sesję Ankieta dostępna na stronie www.mts2009.pl Wygraj wejściówki na następny MTS!
  • 33. © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą byd znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.

Editor's Notes

  1. Speakers:Thisslideis ONLY for agenda. Usenextslide to allpresentationsslides.
  2. Speakers: Please do not remove nor editthisslide! Thisisinformationaboutevaluation form.