SlideShare una empresa de Scribd logo

6 jürg fischer it forensics in virtuellen umgebungen

Digicomp Academy AG
Digicomp Academy AG
1 de 64
Descargar para leer sin conexión
Juerg Fischer Security Analyst Sunworks GmbH, Ennetbaden Microsoft Certified Trainer, EC-Council Certified Instructor ©SUNWORKSS
» Forensics Grundlagen » ...und in virtuellen Umgebungen? » Unterschiede virtueller Umgebungen » Live Forensics » Forensics der Hostsysteme » Unterstützende Tools (Kommerzielle und Open Source) » Live Demo » Fazit 2 ©SUNWORKS Digicomp – Hacking Day `11 S
3 ©SUNWORKS Digicomp – Hacking Day `11 S
» 3 Beispiele ˃ Provider ˃ Maschinenbaufirma ˃ Industriebetrieb mit eigener SW-Entwicklung » Forensics-Begriff auf alle Seiten offen » Oft Interpretationssache oder Verbund mit anderen Services wie Pentest, Ethical Hacking 4 ©SUNWORKS Digicomp – Hacking Day `11 S
» Was ist möglich? ˃ Wiederherstellung gelöschter Daten ˃ Erkennung wann sich Dateien geändert haben, modifiziert wurden, gelöscht wurden ˃ Überprüfung welche Geräte angeschlossen wurden ˃ Welche Applikationen wurden von einem Benutzer installiert oder deinstalliert? ˃ Welche Websites wurden besucht? ˃ Welche Mails wurden mit welchen Attachments verschickt 5 ©SUNWORKS Digicomp – Hacking Day `11 S
1. Computer Crime wird festgestellt 2. Durchsuchungsbefehl wird beantragt (falls notwendig) 3. First Responder Prozeduren werden durchgeführt 4. Beweismittel werden zusammengetragen 5. Beweismittel werden geschützt ins Labor transportiert 6. 2 Bit-Stream Kopien werden erstellt 7. Chain of Custody wird erstellt 8. Originale Beweismittel werden an einem sicheren Ort gelagert 9. Kopie des Images wird analysiert 10.Forensic Report wird erstellt 6 ©SUNWORKS Digicomp – Hacking Day `11 S
» Datenverlust während der Analyse minimieren ˃ System ausschalten? ˃ Vom Netz trennen? » Daten 1:1 kopieren ˃ Memory ˃ Partitionen (Harddisks) » Nur Kopien analysieren » Erkenntnisse und Vorgehensweise notieren » Während der forensischen Analyse darf nichts verändert werden 7 ©SUNWORKS Digicomp – Hacking Day `11 S
» Datenverlust während der Analyse minimieren ˃ System ausschalten? ˃ Vom Netz trennen? » Daten 1:1 kopieren ˃ Memory ˃ Partitionen (Harddisks) » Nur Kopien analysieren » Erkenntnisse und Vorgehensweise notieren » Während der forensischen Analyse darf nichts verändert werden 8 ©SUNWORKS Digicomp – Hacking Day `11 S
9 ©SUNWORKS Digicomp – Hacking Day `11 S
» Grundsatzfragen ˃ Was erwarten wir? ˃ Wo sind die Daten? ˃ Wem gehören die Daten? ˃ Welche Forensik Technik verwenden wir? ˃ Wie bekomme ich Daten aus virtuellen Maschinen oder der Cloud? ˃ Welche Tools verwende ich dazu? 10 ©SUNWORKS Digicomp – Hacking Day `11 S
» Aufsetzen relativ einfach » Vorbereitete Appliances können nur aus dem Internet heruntergeladen werden » Bridge Funktion ermöglicht schnellen Netzwerkzugriff via Hostsystem » Durch NAT kann auch nicht gemanagter Verkehr mit dem Netzwerk statt finden. ˃ Malicious Software Installation ˃ Netzwerk Schwachstellen ˃ Clients mit fehlgeleiteten Verbindungen 11 ©SUNWORKS Digicomp – Hacking Day `11 S
» Ist die Umgebung Physikalisch oder Virtuell? » Ist die Virtualisierung Hardware- oder Software- basierend? » Sind identifizierbare Mac Adressen vorhanden? » Sind identifizierbare Herstellerinformationen verfügbar? » Sind identifizierbare Hardware Drives vorhanden? 12 ©SUNWORKS Digicomp – Hacking Day `11 S
Server Virtualisierung Desktop Virtualisierung ˃ VMWare ˃ VMWare + Linux und Windows + Komplette Virtualisierung möglich Hostsysteme möglich ˃ Microsoft Virtual PC + bare-metal möglich + Beliebige Windows Hostsysteme möglich ˃ Microsoft Virtual Server ˃ Windows Virtual PC (Windows 7) + Windows Hostsysteme + setzt Hardware Virtualisierungs- ˃ Citrix XEN Server Features voraus + Bare-metal System ˃ XENSource + Citrix, alle bekannten Gastsysteme ˃ OracleVM ˃ Parallels + Für Oracle und nicht-Oracle- Anwendungen + Windows, Linux und Mac OSX Plattformen ˃ SUN Virtual Box + Mac OSX, Linux und Windows 13 ©SUNWORKS Support Digicomp – Hacking Day `11 S
» Via USB zu starten » MojoPac ˃ Entwickelt von Ringcube ˃ Encapsulation eines kompletten Windows Desktops » MokaFive ˃ Spinoff der University Stanford ˃ Basiert auf einem Thin Client Modell » Portable Virtualbox ˃ Entwickelt von Innotek ˃ SUN übernahm 2008 den Betrieb 14 ©SUNWORKS Digicomp – Hacking Day `11 S
15 ©SUNWORKS Digicomp – Hacking Day `11 S
» Sehr populär » Unterschiedliche Szenarien notwendig ob Statisch oder Live » Sehr oft als Testplattform verwendet » Möglichkeit Veränderungen zu löschen und mit dem vorherigen Snapshot zu starten 16 ©SUNWORKS Digicomp – Hacking Day `11 S
» VM innerhalb eines Forensic Images ist schwierig zu durchsuchen » Typische Forensic Software erkennt die VM- Dateien als unbekannte Dateitypen » Images können aber bei verschiedenen Virtualisierungslösungen gemounted werden » Einige Forensic Software Lösungen erlauben VMs zu laden und somit zu analysieren. Somit wird die vmdk-Datei einem Case zugeordnet. » Kommerzielle Tools (Bsp. Encase) erkennen die Festplatten/Partitionen der VMs 17 ©SUNWORKS Digicomp – Hacking Day `11 S
» FTK Imager » Liveview (bei Workstation und ESX) » Encase » MMLS & DD » CAINE » Helix » … 18 ©SUNWORKS Digicomp – Hacking Day `11 S
» Unterschiede zwischen dem Original und der virtuellen Maschine können mit Tools wie Compare Snapshots aufgezeigt werden. » Die Idee dabei ist es zwei Snapshots zu vergleichen (ein Original und ein mit Malware infiziertes System. » Ein Vergleich der Dateien mit einem Hex-Editor ist wesentlich schwieriger. » Integriert ist eine Search Engine welche nach Erweiterungen wie .sys oder .exe sucht. Mit einer Erweiterung der Suchregeln (zB. System32 wird die Suche noch effizienter. 19 ©SUNWORKS Digicomp – Hacking Day `11 S
» VMEM » Analyse des Speichers einer VM 20 ©SUNWORKS Digicomp – Hacking Day `11 S
Typ Beschreibung vmx Primäres Virtual Machine Configuration File vmsd Snapshot Descrypter File vmtm Configuration File for Teaming Funktionalitäten vmdk Disk Descripter File Log VMWare Logfiles nvram Bios Settings der VM vmss Suspend File, Status der Suspended VM. vmsn Snapshot Files vmsd Snapshot Descripter File vmem Auslagerungsdatei der VM 21 ©SUNWORKS Digicomp – Hacking Day `11 S
» Erstellen eines Snapshots und der .vmsm-Datei der VM ohne irgend etwas im Code des Gastsystems zu verändern. » Erstellen der Integrität der Evidence Files. » Einhalten der «Chain of custody». 22 ©SUNWORKS Digicomp – Hacking Day `11 S
» Verbinden auf die ESXi- Befehl Funktion Service Konsole über SSH Vim-cmd vmsvc/- Löscht die .vmdk destroy vmid und .vmx Dateien » Verwendung des CLI- auf der Festplatte Interfaces chkconfig –l Zeigt Daemons welche auf dem » Verwenden des esxcfg- Hypervisor laufen info Command esxcfg –info Zeigt die Wealth Informationen eines ESX-Hosts auf Esxcfg –nics-l Zeigt die Network Interface 23 ©SUNWORKS Informationen an Digicomp – Hacking Day `11 S
» Sysinternal Tools vor dem Shutdown virtueller Maschinen verwenden um Services, offene Ports und weitere Informationen zu sichern. Tool Funktion Accessenum.exe Unterstützt Benutzer Berechtigungs- Informationen auf den Dateien und der Registry durch die API Autoruns.exe Informationen aus dem Bootvorgang Pendmoves.exe Dateien welche via Schedule umbenannt oder gelöscht werden im nächsten Bootvorgang Logonsessions.exe Aktive Logon Sessions 24 ©SUNWORKS Digicomp – Hacking Day `11 S
25 ©SUNWORKS Digicomp – Hacking Day `11 S
» Können Sie dem OS vertrauen? ˃ Kernel Level Rootkits ˃ Wissen Sie wem Sie vertrauen? » Whole Disk Encryption ˃ BitLocker, EFS, CFS, TCFS, sfs, etc. ˃ Schalten Sie das System aus und dann, ooops … » Was machen Sie mit einem Memory Dump? ˃ Rekonstruieren der Prozesse (running and dead?) ˃ Suchen mit entsprechenden Filtern 26 ©SUNWORKS Digicomp – Hacking Day `11 S
» Interaktion zwischen zwei Computern » Internet macht die Analyse bedeutend komplexer » Verschlüsselung, Steganography » “Sicheres” Löschen » Betriebssystemfunktionen! ˃ ext3 Dateisystem in Linux ˃ Secure Recycle Bin in Mac OS X » Kriminelle wenden immer bessere Techniken an » Einige Daten sind nur im RAM vorhanden 27 ©SUNWORKS Digicomp – Hacking Day `11 S
» Die meisten Forensic Tools booten auf ihrem OS ihre Basisdienste ˃ Informationen müssen aus dem physikalischen Speicher gelesen werden ˃ Disk Dumping » User-Level Rootkits ˃ Modifizieren von Systemaufrufen (ls, ps, du, df) ˃ Ändern der Disk-Space Statistik, Auflisten der laufenden Prozesse, etc. 28 ©SUNWORKS Digicomp – Hacking Day `11 S
» Grosse Festplatten ˃ Kapazität nimmt massiv zu ˃ Terabyte Systems sind gross aber schon weit verbreitet ˃ Searching (oder indexing) braucht Zeit ˃ Mirroring braucht Zeit » Minimale Downtime (Mission Critical Systeme) » Schwieriger um Beweise zu sammeln » Einige Daten sind nur im RAM vorhanden 29 ©SUNWORKS Digicomp – Hacking Day `11 S
» Grosse Festplatten ˃ Kapazität nimmt massiv zu ˃ Terrabyte Systems sind gross aber schon weit verbreitet ˃ Searching (oder indexing) braucht Zeit ˃ Mirroring braucht Zeit » Minimale Downtime (Mission Critical Systeme) » Schwieriger um Beweise zu sammeln 30 ©SUNWORKS Digicomp – Hacking Day `11 S
» Zeitstempel immer notwendig, da er die Referenz für eine Veränderung ist » Vorsicht bei Forensics auf dem originalem System (bei einem Start von Windows oder Linux werden mehr als 1000 Dateien verändert) » Verdächtige Prozesse dürfen nicht verändert werden » Nur vertrauenswürdige Programme verwenden (Angreifer baut meistens Hintertüren, … ein) » Ordnungsgemässer Shutdown könnte Beweise vernichten 31 ©SUNWORKS Digicomp – Hacking Day `11 S
» Folgende Formattypen können analysiert werden: ˃ DMF, VHD, ISO, IMA, IMZ » Disk Image vom dem Zielsystem kopieren » Hash über das Image legen » Disk mit WinImage analysieren und Evidence Dateien herauslösen » Zweiten Hash über das Image legen um zu bestätigen dass sich das Image nicht verändert hat » Herausgelöste Dateien in Forensic Tool laden und analysieren 32 ©SUNWORKS Digicomp – Hacking Day `11 S
» Scripts können via ADS versteckt werden » Suche schwierig, da Dateien nicht im Explorer angezeigt werden 33 ©SUNWORKS Digicomp – Hacking Day `11 S
» c:programme oder c:program files ˃ VMWare ˃ Microsoft Virtual PC ˃ Bochs ˃ DOSBox ˃ Portable Virtual Privacy Machine » «My Dokuments» oder «eigene Dateien» ˃ My LivePC’s ˃ My LivePC Documents ˃ My Shared LivePC Documents » «Documents» oder «Dokumente» ˃ My Virtual Machines » «Documents and Settings» oder «Dokumente und Einstellungen» ˃ VirtualBox 34 ©SUNWORKS Digicomp – Hacking Day `11 S
» Registry ˃ Tool RegRipper um schnell Informationen zu finden » Ntuser.dat » Ntuser.log 35 ©SUNWORKS Digicomp – Hacking Day `11 S
» In Netzwerkkomponenten » Im RAM » Auf Businesskritischen Mascheinen ˃ können nicht einfach ausgeschaltet werden » Auf Storage-Devices ˃ Bei einen 1TB Server wird das Erstellen des Images ein zeitliches Problem werden ˃ Wie sieht es dann bei 10TB aus und wie transportieren wir die Daten ins Labor? 36 ©SUNWORKS Digicomp – Hacking Day `11 S
» Es werden die selben Produkte wie für die Analyse verwendet » Nur auf einem relativ “ruhigem” System ist eine solche Analyse realistisch » Win: dd if=.PhysicalDrive0 of=e:pd0.dd » Linux: dd if=/dev/hdc of=/mnt/images/hdc.dd 37 ©SUNWORKS Digicomp – Hacking Day `11 S
» Registry Settings reg.exe » Microsoft Security IT rockxp » Event Logs psloglist, dumpevt » Dump IE-Settings index.dat » Devices devcon » Slack Space drivespy, Forensik Software » Virtueller Speicher System Scanner, X-Ways Forensics » Versteckte Partitionen Partition Logic 38 ©SUNWORKS Digicomp – Hacking Day `11 S
» Systemzeit time/t » Eingeloggte Benutzer psloggedon, net sessions, Logonsessions » Offene Dateien net file command, psfile, openfiles » Netzwerkverbindungen netstat, » Prozessinformationen Tlist, Tasklist, Pslist, Listdlls, Handle, Openports » Promisdetect promisdetect, promqry 39 ©SUNWORKS Digicomp – Hacking Day `11 S
» Windows ˃ Offene Files ˃ Offene Network Connections ˃ Registry Activity ˃ Open DLLs ˃ … » Unix ˃ Offene Files ˃ Offene Network Connections ˃ Zugriff auf korrespondierende EXE ˃ Environment Variablen ˃ … 40 ©SUNWORKS Digicomp – Hacking Day `11 S
» Wenn virtuelle Maschine erstellt wird, wird Speicher alloziert. » Änderungen am physikalischen Speicher bewirkt ebenfalls eine Änderung der Virtuellen Maschinen und der Performance. » Limitierung des physikalischen Speichers, vermindert die Gefahr dass das Hostsystem «crashed». » Reservation von Speicher für virtuelle Maschinen schränkt Funktionalität ein erhöht aber die Sicherheit da der Speicherbereich bekannt ist. 41 ©SUNWORKS Digicomp – Hacking Day `11 S
» VMWare teilt seinen virtuellen Maschinen Speicher zu » Direkter Zugriff der VM auf Speicher nicht möglich » Somit können nicht wesentlich mehr forensische Informationen gefunden werden wenn der VM mehr Speicher zugewiesen wird. 42 ©SUNWORKS Digicomp – Hacking Day `11 S
» Auswertung des Speichers erfolgt über die .vmem-Datei. » Analyse kann über Open Source Tools wie dd, Volatility Framework, HBGary Responder, oder beliebige Kommerzielle Forensik Tools vorgenommen werden. 43 ©SUNWORKS Digicomp – Hacking Day `11 S
» Ein Trusted Dump wurde erstellt, was nun? » Der Dump wird analysiert um relevante Informationen über Processe, Threads, Offene Dateien, Sockets, etc. zu bekommen » Erstens: analysieren der Lists/Tables der Kernel Structures » Zweitens: “carving” für interessante Objekte » Speicherinhalte dumpchk.exe » Prozesse Eprocess » Speicherprozess Parser Lsproc.pl 44 ©SUNWORKS Digicomp – Hacking Day `11 S
45 ©SUNWORKS Digicomp – Hacking Day `11 S
» Folgende Komponenten werden überprüft: ˃ Windows Registry ˃ Auslagerungsdatei ˃ Hibernation-Datei ˃ Papierkorb ˃ Druck-Dateien ˃ Dateisystem Internals ˃ File Carving ˃ Slack Space 46 ©SUNWORKS Digicomp – Hacking Day `11 S
» Daten ˃ Dateien ˃ Ordner » Metadaten ˃ Zeitstempel (Ändern, Zugriff, Erstellen, Löschen) ˃ Owner ˃ Sicherheitsbeschreibung » Strukturen ˃ Superblock/Master File Table/File Access Table ˃ Inodes/Clusters ˃ Daten 47 ©SUNWORKS Digicomp – Hacking Day `11 S
» Daten-Wiederherstellung verlangt Wissen über die Dateisystem-Internals » Disk Layout » Was wurde wann gelöscht? » Verschiedene Dateisysteme sind heute vorhanden ˃ DOS / Windows: FAT, FAT16, FAT32, NTFS ˃ Unix: ext2, ext3, Reiser, JFS, … more ˃ Mac: MFS, HFS, HFS+ 48 ©SUNWORKS Digicomp – Hacking Day `11 S
» Volatile Daten können einfach modifiziert werden oder verloren gehen » Folgende Volatilen Daten können analysiert werden: ˃ Systemzeit ˃ Eingeloggte User ˃ Offene Dateien ˃ Netzwerk-Informationen, Netzwerk-Verbindungen, Netzwerkstatus ˃ Prozess Informationen, Prozess Memory ˃ Service / Treiber Informationen ˃ Verbundene Netzlaufwerke, Freigaben ˃ … 49 ©SUNWORKS Digicomp – Hacking Day `11 S
» Nicht Volatile Daten werden verwendet für den Secondary Storage und bestehen über eine lange Zeitdauer. ˃ Versteckte Dateien, ADS Streams ˃ Slack Space, nicht allozierte Cluster ˃ Auslagerungsdatei ˃ Index Dat Files ˃ Metadaten ˃ Nicht verwendete Partitionen, versteckte Partitionen ˃ Registry Einstellungen ˃ … 50 ©SUNWORKS Digicomp – Hacking Day `11 S
» Mit einer Live-Analyse werden viele Infos verfügbar. » Für die „kompletten“ Daten ist aber eine Post Mortem Analyse sinnvoller. » Post Mortem Analyse ProDiscover » Benutzer Aktivität NTUSER.DAT: Lastwrite 51 ©SUNWORKS Digicomp – Hacking Day `11 S
» Mit einer Live-Analyse werden viele Infos verfügbar. » Für die „kompletten“ Daten ist aber eine Post Mortem Analyse sinnvoller. » Post Mortem Analyse ProDiscover » Benutzer Aktivität NTUSER.DAT: Lastwrite 52 ©SUNWORKS Digicomp – Hacking Day `11 S
53 ©SUNWORKS Digicomp – Hacking Day `11 S
Einfache Tools Integrierte Tools » Viele einfachen Tools » Open Source reichen für kleine ˃ Sleuth-Kit Investigations ˃ Coroners Toolkit ˃ F.I.R.E » Mit integrierten Tools ˃ Helix können ˃ Autopsy Sie auch Images erstellen ˃ CAINE » Hex-Editoren reichen » Kommerzielle teilweise ˃ Encase (in jedem Gericht schon für Detailinfos akzeptiert) ˃ Gargoyle Investigator ˃ Forensic Tool Kit 54 ©SUNWORKS Digicomp – Hacking Day `11 S
» Helix basiert auf einer Knoppix Live Linux CD » Direkter Boot in die Linux-Umgebung möglich » Kernels, excellente Hardwareerkennung, und viele Applikationen können verwendet werden » Helix hat eine speziellen Windows Autorun Side für Incident Response and Forensics » Helix ist fokussiert auf Incident Response and Forensics Tools 55 ©SUNWORKS Digicomp – Hacking Day `11 S
» Helix läuft in zwei verschiedenen Modes ˃ Windows and Linux » Im Windows Mode läuft es als Standard Windows Application und wird verwendet um Informationen von einem “live” System zu sammeln 56 ©SUNWORKS Digicomp – Hacking Day `11 S
» CAINE (Computer Aided Investigative Environment) ist eine italienische GNU/Linux Live Distribution für IT Forensics. CAINE bietet eine komplexe Forensics Umgebung mit integrierten Tools und einem benutzerfreundlichen GUI » Folgende Komponenten sind beim Gebrauch von CAINE wichtig: ˃ Eine Umgebung welche den Benutzer durch alle 4 Phasen führt ˃ Eine halbautomatische Erstellung der Schlussreports 57 ©SUNWORKS Digicomp – Hacking Day `11 S
Folgende Komponenten sind in Accessdata vorhanden: » Password Recovery Toolkit ˃ Password Recovery für bekannte Applikationen » Distributed Network Attack ˃ Password Recovery für geschützte Dateien » Registry Viewer ˃ Lässt bekannte Registry Einträge sichtbar machen und generiert Reports » Wipe Drive ˃ Überschreibt Daten eines Computers 58 ©SUNWORKS Digicomp – Hacking Day `11 S
» Der FTK ermöglicht eine umfassende Forensische Analyse mit expliziter Case- Sicherheit » Er enthält Index- und Suchfunktionen, eine umfassende Datei-Recovery und Grafikanalyse » Vorteile: ˃ Integrierte Lösung ˃ Integrierte Oracle Datenbank und erweiterte Suche ˃ Sehr performant ˃ Intuitives Benutzerinterface 59 ©SUNWORKS Digicomp – Hacking Day `11 S
» „DIE“ Forensicslösung » Wird vom Gros der Gerichte anerkannt » Auch in grossen Umgebungen einsetzbar » Analysiert mehrere Plattformen » Auch für grosse Volumes einsetzbar » Transferiert Evidence-Files direkt zum Law- Enforcement » Netzwerklösung möglich 60 ©SUNWORKS Digicomp – Hacking Day `11 S
Open Source Tools Kommerzielle Tools » Kostenlos herunter- » Zum Teil teure Produkte zuladen und zu » Case immer integraler verwenden Bestandteil » Einfach im Gebrauch » Sicherheit eingebaut » Für einfache Analysen » Komplexer im ideal Gebrauch » Optimale Report- generierung » Gerichtbar 61 ©SUNWORKS Digicomp – Hacking Day `11 S
Forensische Analyse mit Helix und Forensic Tool Kit 62 ©SUNWORKS Digicomp – Hacking Day `11 S
» Fazit ˃ Forensics ist eine sehr vielfältige Aufgabe ˃ Grösste Gefahr einer optimalen Analyse sind die sich verändernden Dateien und der Verbund der virtuellen Umgebung ˃ Zu analysierende Host- und Gastsysteme müssen bekannt sein » Deshalb ˃ Virtualisierungs- System- und Forensics-Spezialisten sind für eine Investigation virtueller Umgebungen notwendig ˃ Professionelle Tools sind zweckmässig Für Fragen stehen wir gerne zur Verfügung: Phone:+41 56 249 44 11 Mail: info@sunworks.ch 63 ©SUNWORKS Digicomp – Hacking Day `11 S
Juerg Fischer Security Analyst Sunworks GmbH, Ennetbaden Microsoft Certified Trainer, EC-Council Certified Instructor ©SUNWORKS Schweizerische Post - Endjahrestagung 2009

Recomendados

SSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash TechnologieSSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash TechnologieKroll Ontrack GmbH
 
Erfahrung mit virtuellen Systemen
Erfahrung mit virtuellen SystemenErfahrung mit virtuellen Systemen
Erfahrung mit virtuellen SystemenGFU Cyrus AG
 
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei Adobe
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei AdobeXING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei Adobe
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei AdobeDigicomp Academy AG
 
Präsentation BalaBit: Analyse digitaler Spuren administrativer Netzzugriffe
Präsentation BalaBit: Analyse digitaler Spuren administrativer NetzzugriffePräsentation BalaBit: Analyse digitaler Spuren administrativer Netzzugriffe
Präsentation BalaBit: Analyse digitaler Spuren administrativer NetzzugriffeNETFOX AG
 
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Torben Haagh
 
Gedanken zur Prozessoptimierung in Online-Media
Gedanken zur Prozessoptimierung in Online-MediaGedanken zur Prozessoptimierung in Online-Media
Gedanken zur Prozessoptimierung in Online-MediaAlexander Volk
 
"Die Zeit-Zielscheibe" von Zach Davis
"Die Zeit-Zielscheibe" von Zach Davis"Die Zeit-Zielscheibe" von Zach Davis
"Die Zeit-Zielscheibe" von Zach DavisTorben Haagh
 
Computer forensics
Computer forensicsComputer forensics
Computer forensicsShreya Singireddy
 

Recomendados

SSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash TechnologieSSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash TechnologieKroll Ontrack GmbH
 
Erfahrung mit virtuellen Systemen
Erfahrung mit virtuellen SystemenErfahrung mit virtuellen Systemen
Erfahrung mit virtuellen SystemenGFU Cyrus AG
 
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei Adobe
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei AdobeXING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei Adobe
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei AdobeDigicomp Academy AG
 
Präsentation BalaBit: Analyse digitaler Spuren administrativer Netzzugriffe
Präsentation BalaBit: Analyse digitaler Spuren administrativer NetzzugriffePräsentation BalaBit: Analyse digitaler Spuren administrativer Netzzugriffe
Präsentation BalaBit: Analyse digitaler Spuren administrativer NetzzugriffeNETFOX AG
 
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010Torben Haagh
 
Gedanken zur Prozessoptimierung in Online-Media
Gedanken zur Prozessoptimierung in Online-MediaGedanken zur Prozessoptimierung in Online-Media
Gedanken zur Prozessoptimierung in Online-MediaAlexander Volk
 
"Die Zeit-Zielscheibe" von Zach Davis
"Die Zeit-Zielscheibe" von Zach Davis"Die Zeit-Zielscheibe" von Zach Davis
"Die Zeit-Zielscheibe" von Zach DavisTorben Haagh
 
Computer forensics
Computer forensicsComputer forensics
Computer forensicsShreya Singireddy
 
computer forensics
computer forensicscomputer forensics
computer forensicsVaibhav Tapse
 
Computer forensics toolkit
Computer forensics toolkitComputer forensics toolkit
Computer forensics toolkitMilap Oza
 
Firewall configuration
Firewall configurationFirewall configuration
Firewall configurationNutan Kumar Panda
 
computer forensics
computer forensics computer forensics
computer forensics samantha jarrett
 
Introduction to computer forensic
Introduction to computer forensicIntroduction to computer forensic
Introduction to computer forensicOnline
 
Cyber forensic standard operating procedures
Cyber forensic standard operating proceduresCyber forensic standard operating procedures
Cyber forensic standard operating proceduresSoumen Debgupta
 
Computer forensics
Computer forensicsComputer forensics
Computer forensicsLalit Garg
 
Computer +forensics
Computer +forensicsComputer +forensics
Computer +forensicsRahul Baghla
 
Computer forensics
Computer forensicsComputer forensics
Computer forensicsSarwar Hossain Rafsan
 
Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic InvestigationsDigital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic InvestigationsFilip Maertens
 
Computer forensics
Computer forensicsComputer forensics
Computer forensicsdeaneal
 
Digital Crime & Forensics - Presentation
Digital Crime & Forensics - PresentationDigital Crime & Forensics - Presentation
Digital Crime & Forensics - Presentationprashant3535
 
Digital forensics
Digital forensicsDigital forensics
Digital forensicsRoberto Ellis
 
Computer forensics powerpoint presentation
Computer forensics powerpoint presentationComputer forensics powerpoint presentation
Computer forensics powerpoint presentationSomya Johri
 
Computer forensics ppt
Computer forensics pptComputer forensics ppt
Computer forensics pptNikhil Mashruwala
 
Forensic laboratory setup requirements
Forensic laboratory setup requirements Forensic laboratory setup requirements
Forensic laboratory setup requirements Sonali Parab
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigicomp Academy AG
 
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, OehmichenJFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, OehmichenOdilo Oehmichen
 
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, OehmichenJFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, OehmichenPatrick Baumgartner
 
BED-Con - Tools für den täglichen Kampf als Entwickler
BED-Con - Tools für den täglichen Kampf als EntwicklerBED-Con - Tools für den täglichen Kampf als Entwickler
BED-Con - Tools für den täglichen Kampf als EntwicklerPatrick Baumgartner
 
Ant im Detail
Ant im DetailAnt im Detail
Ant im DetailJörn Dinkla
 
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...NETWAYS
 

Más contenido relacionado

Destacado

Computer forensics toolkit
Computer forensics toolkitComputer forensics toolkit
Computer forensics toolkitMilap Oza
 
Introduction to computer forensic
Introduction to computer forensicIntroduction to computer forensic
Introduction to computer forensicOnline
 
Cyber forensic standard operating procedures
Cyber forensic standard operating proceduresCyber forensic standard operating procedures
Cyber forensic standard operating proceduresSoumen Debgupta
 
Computer forensics
Computer forensicsComputer forensics
Computer forensicsLalit Garg
 
Computer +forensics
Computer +forensicsComputer +forensics
Computer +forensicsRahul Baghla
 
Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic InvestigationsDigital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic InvestigationsFilip Maertens
 
Computer forensics
Computer forensicsComputer forensics
Computer forensicsdeaneal
 
Digital Crime & Forensics - Presentation
Digital Crime & Forensics - PresentationDigital Crime & Forensics - Presentation
Digital Crime & Forensics - Presentationprashant3535
 
Computer forensics powerpoint presentation
Computer forensics powerpoint presentationComputer forensics powerpoint presentation
Computer forensics powerpoint presentationSomya Johri
 
Forensic laboratory setup requirements
Forensic laboratory setup requirements Forensic laboratory setup requirements
Forensic laboratory setup requirements Sonali Parab
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigicomp Academy AG
 

Destacado (17)

computer forensics
computer forensicscomputer forensics
computer forensics
 
Computer forensics toolkit
Computer forensics toolkitComputer forensics toolkit
Computer forensics toolkit
 
Firewall configuration
Firewall configurationFirewall configuration
Firewall configuration
 
computer forensics
computer forensics computer forensics
computer forensics
 
Introduction to computer forensic
Introduction to computer forensicIntroduction to computer forensic
Introduction to computer forensic
 
Cyber forensic standard operating procedures
Cyber forensic standard operating proceduresCyber forensic standard operating procedures
Cyber forensic standard operating procedures
 
Computer forensics
Computer forensicsComputer forensics
Computer forensics
 
Computer +forensics
Computer +forensicsComputer +forensics
Computer +forensics
 
Computer forensics
Computer forensicsComputer forensics
Computer forensics
 
Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic InvestigationsDigital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic Investigations
 
Computer forensics
Computer forensicsComputer forensics
Computer forensics
 
Digital Crime & Forensics - Presentation
Digital Crime & Forensics - PresentationDigital Crime & Forensics - Presentation
Digital Crime & Forensics - Presentation
 
Digital forensics
Digital forensicsDigital forensics
Digital forensics
 
Computer forensics powerpoint presentation
Computer forensics powerpoint presentationComputer forensics powerpoint presentation
Computer forensics powerpoint presentation
 
Computer forensics ppt
Computer forensics pptComputer forensics ppt
Computer forensics ppt
 
Forensic laboratory setup requirements
Forensic laboratory setup requirements Forensic laboratory setup requirements
Forensic laboratory setup requirements
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
 

Similar a 6 jürg fischer it forensics in virtuellen umgebungen

JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, OehmichenJFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, OehmichenOdilo Oehmichen
 
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, OehmichenJFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, OehmichenPatrick Baumgartner
 
BED-Con - Tools für den täglichen Kampf als Entwickler
BED-Con - Tools für den täglichen Kampf als EntwicklerBED-Con - Tools für den täglichen Kampf als Entwickler
BED-Con - Tools für den täglichen Kampf als EntwicklerPatrick Baumgartner
 
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...NETWAYS
 
Infonova Devopscon München 2015
Infonova Devopscon München 2015Infonova Devopscon München 2015
Infonova Devopscon München 2015Georg Öttl
 
Weltvermessen mit OpenDataCam - Wie ich einmal eine Viertelmillionen Autos ge...
Weltvermessen mit OpenDataCam - Wie ich einmal eine Viertelmillionen Autos ge...Weltvermessen mit OpenDataCam - Wie ich einmal eine Viertelmillionen Autos ge...
Weltvermessen mit OpenDataCam - Wie ich einmal eine Viertelmillionen Autos ge...Stephan Hochhaus
 
Living on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der WildnisLiving on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der Wildnismmeisenzahl
 
Top 10 Internet Trends 2009
Top 10 Internet Trends 2009Top 10 Internet Trends 2009
Top 10 Internet Trends 2009Jürg Stuker
 
Was sind virtuelle Maschinen? Wie nutzt man sie? Und welchen Nutzen kann man...
Was sind virtuelle Maschinen? Wie nutzt man sie? Und welchen Nutzen kann man...Was sind virtuelle Maschinen? Wie nutzt man sie? Und welchen Nutzen kann man...
Was sind virtuelle Maschinen? Wie nutzt man sie? Und welchen Nutzen kann man...GFU Cyrus AG
 
Citrix Day 2014: Enterprise Mobility - Citrix Lösungen mit Workpace Suite
Citrix Day 2014: Enterprise Mobility - Citrix Lösungen mit Workpace SuiteCitrix Day 2014: Enterprise Mobility - Citrix Lösungen mit Workpace Suite
Citrix Day 2014: Enterprise Mobility - Citrix Lösungen mit Workpace SuiteDigicomp Academy AG
 
Grundlagen Virtualisierung
Grundlagen VirtualisierungGrundlagen Virtualisierung
Grundlagen Virtualisierunginovex GmbH
 
Container im Betrieb - Ergebnisse der Validieren Docker vs. LXC
Container im Betrieb - Ergebnisse der Validieren Docker vs. LXCContainer im Betrieb - Ergebnisse der Validieren Docker vs. LXC
Container im Betrieb - Ergebnisse der Validieren Docker vs. LXCBild GmbH & Co. KG
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Carsten Muetzlitz
 
Citrix XenDesktop 4
Citrix XenDesktop 4Citrix XenDesktop 4
Citrix XenDesktop 4netlogix
 
Einführung in Puppet und Vagrant
Einführung in Puppet und VagrantEinführung in Puppet und Vagrant
Einführung in Puppet und Vagrants0enke
 
Gebäudeautomation mit Java und OpenRemote
Gebäudeautomation mit Java und OpenRemote Gebäudeautomation mit Java und OpenRemote
Gebäudeautomation mit Java und OpenRemotegedoplan
 
DevicePro Flyer deutsch
DevicePro Flyer deutschDevicePro Flyer deutsch
DevicePro Flyer deutschcynapspro GmbH
 

Similar a 6 jürg fischer it forensics in virtuellen umgebungen (20)

JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, OehmichenJFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
 
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, OehmichenJFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
 
BED-Con - Tools für den täglichen Kampf als Entwickler
BED-Con - Tools für den täglichen Kampf als EntwicklerBED-Con - Tools für den täglichen Kampf als Entwickler
BED-Con - Tools für den täglichen Kampf als Entwickler
 
Ant im Detail
Ant im DetailAnt im Detail
Ant im Detail
 
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
 
Infonova Devopscon München 2015
Infonova Devopscon München 2015Infonova Devopscon München 2015
Infonova Devopscon München 2015
 
Weltvermessen mit OpenDataCam - Wie ich einmal eine Viertelmillionen Autos ge...
Weltvermessen mit OpenDataCam - Wie ich einmal eine Viertelmillionen Autos ge...Weltvermessen mit OpenDataCam - Wie ich einmal eine Viertelmillionen Autos ge...
Weltvermessen mit OpenDataCam - Wie ich einmal eine Viertelmillionen Autos ge...
 
Living on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der WildnisLiving on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der Wildnis
 
Top 10 Internet Trends 2009
Top 10 Internet Trends 2009Top 10 Internet Trends 2009
Top 10 Internet Trends 2009
 
Was sind virtuelle Maschinen? Wie nutzt man sie? Und welchen Nutzen kann man...
Was sind virtuelle Maschinen? Wie nutzt man sie? Und welchen Nutzen kann man...Was sind virtuelle Maschinen? Wie nutzt man sie? Und welchen Nutzen kann man...
Was sind virtuelle Maschinen? Wie nutzt man sie? Und welchen Nutzen kann man...
 
Citrix Day 2014: Enterprise Mobility - Citrix Lösungen mit Workpace Suite
Citrix Day 2014: Enterprise Mobility - Citrix Lösungen mit Workpace SuiteCitrix Day 2014: Enterprise Mobility - Citrix Lösungen mit Workpace Suite
Citrix Day 2014: Enterprise Mobility - Citrix Lösungen mit Workpace Suite
 
Grundlagen Virtualisierung
Grundlagen VirtualisierungGrundlagen Virtualisierung
Grundlagen Virtualisierung
 
Container im Betrieb - Ergebnisse der Validieren Docker vs. LXC
Container im Betrieb - Ergebnisse der Validieren Docker vs. LXCContainer im Betrieb - Ergebnisse der Validieren Docker vs. LXC
Container im Betrieb - Ergebnisse der Validieren Docker vs. LXC
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
Citrix XenDesktop 4
Citrix XenDesktop 4Citrix XenDesktop 4
Citrix XenDesktop 4
 
Einführung in Puppet und Vagrant
Einführung in Puppet und VagrantEinführung in Puppet und Vagrant
Einführung in Puppet und Vagrant
 
Gebäudeautomation mit Java und OpenRemote
Gebäudeautomation mit Java und OpenRemote Gebäudeautomation mit Java und OpenRemote
Gebäudeautomation mit Java und OpenRemote
 
openHAB @ rheinJUG Düsseldorf
openHAB @ rheinJUG DüsseldorfopenHAB @ rheinJUG Düsseldorf
openHAB @ rheinJUG Düsseldorf
 
DevicePro Flyer deutsch
DevicePro Flyer deutschDevicePro Flyer deutsch
DevicePro Flyer deutsch
 
Windows 8 connected
Windows 8 connectedWindows 8 connected
Windows 8 connected
 

Más de Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutDigicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutDigicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xDigicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinDigicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattDigicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogDigicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnDigicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingDigicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessDigicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceDigicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudDigicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 

Más de Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

6 jürg fischer it forensics in virtuellen umgebungen

  • 1. Juerg Fischer Security Analyst Sunworks GmbH, Ennetbaden Microsoft Certified Trainer, EC-Council Certified Instructor ©SUNWORKSS
  • 2. » Forensics Grundlagen » ...und in virtuellen Umgebungen? » Unterschiede virtueller Umgebungen » Live Forensics » Forensics der Hostsysteme » Unterstützende Tools (Kommerzielle und Open Source) » Live Demo » Fazit 2 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 3. 3 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 4. » 3 Beispiele ˃ Provider ˃ Maschinenbaufirma ˃ Industriebetrieb mit eigener SW-Entwicklung » Forensics-Begriff auf alle Seiten offen » Oft Interpretationssache oder Verbund mit anderen Services wie Pentest, Ethical Hacking 4 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 5. » Was ist möglich? ˃ Wiederherstellung gelöschter Daten ˃ Erkennung wann sich Dateien geändert haben, modifiziert wurden, gelöscht wurden ˃ Überprüfung welche Geräte angeschlossen wurden ˃ Welche Applikationen wurden von einem Benutzer installiert oder deinstalliert? ˃ Welche Websites wurden besucht? ˃ Welche Mails wurden mit welchen Attachments verschickt 5 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 6. 1. Computer Crime wird festgestellt 2. Durchsuchungsbefehl wird beantragt (falls notwendig) 3. First Responder Prozeduren werden durchgeführt 4. Beweismittel werden zusammengetragen 5. Beweismittel werden geschützt ins Labor transportiert 6. 2 Bit-Stream Kopien werden erstellt 7. Chain of Custody wird erstellt 8. Originale Beweismittel werden an einem sicheren Ort gelagert 9. Kopie des Images wird analysiert 10.Forensic Report wird erstellt 6 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 7. » Datenverlust während der Analyse minimieren ˃ System ausschalten? ˃ Vom Netz trennen? » Daten 1:1 kopieren ˃ Memory ˃ Partitionen (Harddisks) » Nur Kopien analysieren » Erkenntnisse und Vorgehensweise notieren » Während der forensischen Analyse darf nichts verändert werden 7 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 8. » Datenverlust während der Analyse minimieren ˃ System ausschalten? ˃ Vom Netz trennen? » Daten 1:1 kopieren ˃ Memory ˃ Partitionen (Harddisks) » Nur Kopien analysieren » Erkenntnisse und Vorgehensweise notieren » Während der forensischen Analyse darf nichts verändert werden 8 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 9. 9 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 10. » Grundsatzfragen ˃ Was erwarten wir? ˃ Wo sind die Daten? ˃ Wem gehören die Daten? ˃ Welche Forensik Technik verwenden wir? ˃ Wie bekomme ich Daten aus virtuellen Maschinen oder der Cloud? ˃ Welche Tools verwende ich dazu? 10 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 11. » Aufsetzen relativ einfach » Vorbereitete Appliances können nur aus dem Internet heruntergeladen werden » Bridge Funktion ermöglicht schnellen Netzwerkzugriff via Hostsystem » Durch NAT kann auch nicht gemanagter Verkehr mit dem Netzwerk statt finden. ˃ Malicious Software Installation ˃ Netzwerk Schwachstellen ˃ Clients mit fehlgeleiteten Verbindungen 11 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 12. » Ist die Umgebung Physikalisch oder Virtuell? » Ist die Virtualisierung Hardware- oder Software- basierend? » Sind identifizierbare Mac Adressen vorhanden? » Sind identifizierbare Herstellerinformationen verfügbar? » Sind identifizierbare Hardware Drives vorhanden? 12 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 13. Server Virtualisierung Desktop Virtualisierung ˃ VMWare ˃ VMWare + Linux und Windows + Komplette Virtualisierung möglich Hostsysteme möglich ˃ Microsoft Virtual PC + bare-metal möglich + Beliebige Windows Hostsysteme möglich ˃ Microsoft Virtual Server ˃ Windows Virtual PC (Windows 7) + Windows Hostsysteme + setzt Hardware Virtualisierungs- ˃ Citrix XEN Server Features voraus + Bare-metal System ˃ XENSource + Citrix, alle bekannten Gastsysteme ˃ OracleVM ˃ Parallels + Für Oracle und nicht-Oracle- Anwendungen + Windows, Linux und Mac OSX Plattformen ˃ SUN Virtual Box + Mac OSX, Linux und Windows 13 ©SUNWORKS Support Digicomp – Hacking Day `11 S
  • 14. » Via USB zu starten » MojoPac ˃ Entwickelt von Ringcube ˃ Encapsulation eines kompletten Windows Desktops » MokaFive ˃ Spinoff der University Stanford ˃ Basiert auf einem Thin Client Modell » Portable Virtualbox ˃ Entwickelt von Innotek ˃ SUN übernahm 2008 den Betrieb 14 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 15. 15 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 16. » Sehr populär » Unterschiedliche Szenarien notwendig ob Statisch oder Live » Sehr oft als Testplattform verwendet » Möglichkeit Veränderungen zu löschen und mit dem vorherigen Snapshot zu starten 16 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 17. » VM innerhalb eines Forensic Images ist schwierig zu durchsuchen » Typische Forensic Software erkennt die VM- Dateien als unbekannte Dateitypen » Images können aber bei verschiedenen Virtualisierungslösungen gemounted werden » Einige Forensic Software Lösungen erlauben VMs zu laden und somit zu analysieren. Somit wird die vmdk-Datei einem Case zugeordnet. » Kommerzielle Tools (Bsp. Encase) erkennen die Festplatten/Partitionen der VMs 17 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 18. » FTK Imager » Liveview (bei Workstation und ESX) » Encase » MMLS & DD » CAINE » Helix » … 18 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 19. » Unterschiede zwischen dem Original und der virtuellen Maschine können mit Tools wie Compare Snapshots aufgezeigt werden. » Die Idee dabei ist es zwei Snapshots zu vergleichen (ein Original und ein mit Malware infiziertes System. » Ein Vergleich der Dateien mit einem Hex-Editor ist wesentlich schwieriger. » Integriert ist eine Search Engine welche nach Erweiterungen wie .sys oder .exe sucht. Mit einer Erweiterung der Suchregeln (zB. System32 wird die Suche noch effizienter. 19 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 20. » VMEM » Analyse des Speichers einer VM 20 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 21. Typ Beschreibung vmx Primäres Virtual Machine Configuration File vmsd Snapshot Descrypter File vmtm Configuration File for Teaming Funktionalitäten vmdk Disk Descripter File Log VMWare Logfiles nvram Bios Settings der VM vmss Suspend File, Status der Suspended VM. vmsn Snapshot Files vmsd Snapshot Descripter File vmem Auslagerungsdatei der VM 21 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 22. » Erstellen eines Snapshots und der .vmsm-Datei der VM ohne irgend etwas im Code des Gastsystems zu verändern. » Erstellen der Integrität der Evidence Files. » Einhalten der «Chain of custody». 22 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 23. » Verbinden auf die ESXi- Befehl Funktion Service Konsole über SSH Vim-cmd vmsvc/- Löscht die .vmdk destroy vmid und .vmx Dateien » Verwendung des CLI- auf der Festplatte Interfaces chkconfig –l Zeigt Daemons welche auf dem » Verwenden des esxcfg- Hypervisor laufen info Command esxcfg –info Zeigt die Wealth Informationen eines ESX-Hosts auf Esxcfg –nics-l Zeigt die Network Interface 23 ©SUNWORKS Informationen an Digicomp – Hacking Day `11 S
  • 24. » Sysinternal Tools vor dem Shutdown virtueller Maschinen verwenden um Services, offene Ports und weitere Informationen zu sichern. Tool Funktion Accessenum.exe Unterstützt Benutzer Berechtigungs- Informationen auf den Dateien und der Registry durch die API Autoruns.exe Informationen aus dem Bootvorgang Pendmoves.exe Dateien welche via Schedule umbenannt oder gelöscht werden im nächsten Bootvorgang Logonsessions.exe Aktive Logon Sessions 24 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 25. 25 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 26. » Können Sie dem OS vertrauen? ˃ Kernel Level Rootkits ˃ Wissen Sie wem Sie vertrauen? » Whole Disk Encryption ˃ BitLocker, EFS, CFS, TCFS, sfs, etc. ˃ Schalten Sie das System aus und dann, ooops … » Was machen Sie mit einem Memory Dump? ˃ Rekonstruieren der Prozesse (running and dead?) ˃ Suchen mit entsprechenden Filtern 26 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 27. » Interaktion zwischen zwei Computern » Internet macht die Analyse bedeutend komplexer » Verschlüsselung, Steganography » “Sicheres” Löschen » Betriebssystemfunktionen! ˃ ext3 Dateisystem in Linux ˃ Secure Recycle Bin in Mac OS X » Kriminelle wenden immer bessere Techniken an » Einige Daten sind nur im RAM vorhanden 27 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 28. » Die meisten Forensic Tools booten auf ihrem OS ihre Basisdienste ˃ Informationen müssen aus dem physikalischen Speicher gelesen werden ˃ Disk Dumping » User-Level Rootkits ˃ Modifizieren von Systemaufrufen (ls, ps, du, df) ˃ Ändern der Disk-Space Statistik, Auflisten der laufenden Prozesse, etc. 28 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 29. » Grosse Festplatten ˃ Kapazität nimmt massiv zu ˃ Terabyte Systems sind gross aber schon weit verbreitet ˃ Searching (oder indexing) braucht Zeit ˃ Mirroring braucht Zeit » Minimale Downtime (Mission Critical Systeme) » Schwieriger um Beweise zu sammeln » Einige Daten sind nur im RAM vorhanden 29 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 30. » Grosse Festplatten ˃ Kapazität nimmt massiv zu ˃ Terrabyte Systems sind gross aber schon weit verbreitet ˃ Searching (oder indexing) braucht Zeit ˃ Mirroring braucht Zeit » Minimale Downtime (Mission Critical Systeme) » Schwieriger um Beweise zu sammeln 30 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 31. » Zeitstempel immer notwendig, da er die Referenz für eine Veränderung ist » Vorsicht bei Forensics auf dem originalem System (bei einem Start von Windows oder Linux werden mehr als 1000 Dateien verändert) » Verdächtige Prozesse dürfen nicht verändert werden » Nur vertrauenswürdige Programme verwenden (Angreifer baut meistens Hintertüren, … ein) » Ordnungsgemässer Shutdown könnte Beweise vernichten 31 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 32. » Folgende Formattypen können analysiert werden: ˃ DMF, VHD, ISO, IMA, IMZ » Disk Image vom dem Zielsystem kopieren » Hash über das Image legen » Disk mit WinImage analysieren und Evidence Dateien herauslösen » Zweiten Hash über das Image legen um zu bestätigen dass sich das Image nicht verändert hat » Herausgelöste Dateien in Forensic Tool laden und analysieren 32 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 33. » Scripts können via ADS versteckt werden » Suche schwierig, da Dateien nicht im Explorer angezeigt werden 33 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 34. » c:programme oder c:program files ˃ VMWare ˃ Microsoft Virtual PC ˃ Bochs ˃ DOSBox ˃ Portable Virtual Privacy Machine » «My Dokuments» oder «eigene Dateien» ˃ My LivePC’s ˃ My LivePC Documents ˃ My Shared LivePC Documents » «Documents» oder «Dokumente» ˃ My Virtual Machines » «Documents and Settings» oder «Dokumente und Einstellungen» ˃ VirtualBox 34 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 35. » Registry ˃ Tool RegRipper um schnell Informationen zu finden » Ntuser.dat » Ntuser.log 35 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 36. » In Netzwerkkomponenten » Im RAM » Auf Businesskritischen Mascheinen ˃ können nicht einfach ausgeschaltet werden » Auf Storage-Devices ˃ Bei einen 1TB Server wird das Erstellen des Images ein zeitliches Problem werden ˃ Wie sieht es dann bei 10TB aus und wie transportieren wir die Daten ins Labor? 36 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 37. » Es werden die selben Produkte wie für die Analyse verwendet » Nur auf einem relativ “ruhigem” System ist eine solche Analyse realistisch » Win: dd if=.PhysicalDrive0 of=e:pd0.dd » Linux: dd if=/dev/hdc of=/mnt/images/hdc.dd 37 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 38. » Registry Settings reg.exe » Microsoft Security IT rockxp » Event Logs psloglist, dumpevt » Dump IE-Settings index.dat » Devices devcon » Slack Space drivespy, Forensik Software » Virtueller Speicher System Scanner, X-Ways Forensics » Versteckte Partitionen Partition Logic 38 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 39. » Systemzeit time/t » Eingeloggte Benutzer psloggedon, net sessions, Logonsessions » Offene Dateien net file command, psfile, openfiles » Netzwerkverbindungen netstat, » Prozessinformationen Tlist, Tasklist, Pslist, Listdlls, Handle, Openports » Promisdetect promisdetect, promqry 39 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 40. » Windows ˃ Offene Files ˃ Offene Network Connections ˃ Registry Activity ˃ Open DLLs ˃ … » Unix ˃ Offene Files ˃ Offene Network Connections ˃ Zugriff auf korrespondierende EXE ˃ Environment Variablen ˃ … 40 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 41. » Wenn virtuelle Maschine erstellt wird, wird Speicher alloziert. » Änderungen am physikalischen Speicher bewirkt ebenfalls eine Änderung der Virtuellen Maschinen und der Performance. » Limitierung des physikalischen Speichers, vermindert die Gefahr dass das Hostsystem «crashed». » Reservation von Speicher für virtuelle Maschinen schränkt Funktionalität ein erhöht aber die Sicherheit da der Speicherbereich bekannt ist. 41 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 42. » VMWare teilt seinen virtuellen Maschinen Speicher zu » Direkter Zugriff der VM auf Speicher nicht möglich » Somit können nicht wesentlich mehr forensische Informationen gefunden werden wenn der VM mehr Speicher zugewiesen wird. 42 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 43. » Auswertung des Speichers erfolgt über die .vmem-Datei. » Analyse kann über Open Source Tools wie dd, Volatility Framework, HBGary Responder, oder beliebige Kommerzielle Forensik Tools vorgenommen werden. 43 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 44. » Ein Trusted Dump wurde erstellt, was nun? » Der Dump wird analysiert um relevante Informationen über Processe, Threads, Offene Dateien, Sockets, etc. zu bekommen » Erstens: analysieren der Lists/Tables der Kernel Structures » Zweitens: “carving” für interessante Objekte » Speicherinhalte dumpchk.exe » Prozesse Eprocess » Speicherprozess Parser Lsproc.pl 44 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 45. 45 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 46. » Folgende Komponenten werden überprüft: ˃ Windows Registry ˃ Auslagerungsdatei ˃ Hibernation-Datei ˃ Papierkorb ˃ Druck-Dateien ˃ Dateisystem Internals ˃ File Carving ˃ Slack Space 46 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 47. » Daten ˃ Dateien ˃ Ordner » Metadaten ˃ Zeitstempel (Ändern, Zugriff, Erstellen, Löschen) ˃ Owner ˃ Sicherheitsbeschreibung » Strukturen ˃ Superblock/Master File Table/File Access Table ˃ Inodes/Clusters ˃ Daten 47 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 48. » Daten-Wiederherstellung verlangt Wissen über die Dateisystem-Internals » Disk Layout » Was wurde wann gelöscht? » Verschiedene Dateisysteme sind heute vorhanden ˃ DOS / Windows: FAT, FAT16, FAT32, NTFS ˃ Unix: ext2, ext3, Reiser, JFS, … more ˃ Mac: MFS, HFS, HFS+ 48 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 49. » Volatile Daten können einfach modifiziert werden oder verloren gehen » Folgende Volatilen Daten können analysiert werden: ˃ Systemzeit ˃ Eingeloggte User ˃ Offene Dateien ˃ Netzwerk-Informationen, Netzwerk-Verbindungen, Netzwerkstatus ˃ Prozess Informationen, Prozess Memory ˃ Service / Treiber Informationen ˃ Verbundene Netzlaufwerke, Freigaben ˃ … 49 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 50. » Nicht Volatile Daten werden verwendet für den Secondary Storage und bestehen über eine lange Zeitdauer. ˃ Versteckte Dateien, ADS Streams ˃ Slack Space, nicht allozierte Cluster ˃ Auslagerungsdatei ˃ Index Dat Files ˃ Metadaten ˃ Nicht verwendete Partitionen, versteckte Partitionen ˃ Registry Einstellungen ˃ … 50 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 51. » Mit einer Live-Analyse werden viele Infos verfügbar. » Für die „kompletten“ Daten ist aber eine Post Mortem Analyse sinnvoller. » Post Mortem Analyse ProDiscover » Benutzer Aktivität NTUSER.DAT: Lastwrite 51 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 52. » Mit einer Live-Analyse werden viele Infos verfügbar. » Für die „kompletten“ Daten ist aber eine Post Mortem Analyse sinnvoller. » Post Mortem Analyse ProDiscover » Benutzer Aktivität NTUSER.DAT: Lastwrite 52 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 53. 53 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 54. Einfache Tools Integrierte Tools » Viele einfachen Tools » Open Source reichen für kleine ˃ Sleuth-Kit Investigations ˃ Coroners Toolkit ˃ F.I.R.E » Mit integrierten Tools ˃ Helix können ˃ Autopsy Sie auch Images erstellen ˃ CAINE » Hex-Editoren reichen » Kommerzielle teilweise ˃ Encase (in jedem Gericht schon für Detailinfos akzeptiert) ˃ Gargoyle Investigator ˃ Forensic Tool Kit 54 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 55. » Helix basiert auf einer Knoppix Live Linux CD » Direkter Boot in die Linux-Umgebung möglich » Kernels, excellente Hardwareerkennung, und viele Applikationen können verwendet werden » Helix hat eine speziellen Windows Autorun Side für Incident Response and Forensics » Helix ist fokussiert auf Incident Response and Forensics Tools 55 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 56. » Helix läuft in zwei verschiedenen Modes ˃ Windows and Linux » Im Windows Mode läuft es als Standard Windows Application und wird verwendet um Informationen von einem “live” System zu sammeln 56 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 57. » CAINE (Computer Aided Investigative Environment) ist eine italienische GNU/Linux Live Distribution für IT Forensics. CAINE bietet eine komplexe Forensics Umgebung mit integrierten Tools und einem benutzerfreundlichen GUI » Folgende Komponenten sind beim Gebrauch von CAINE wichtig: ˃ Eine Umgebung welche den Benutzer durch alle 4 Phasen führt ˃ Eine halbautomatische Erstellung der Schlussreports 57 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 58. Folgende Komponenten sind in Accessdata vorhanden: » Password Recovery Toolkit ˃ Password Recovery für bekannte Applikationen » Distributed Network Attack ˃ Password Recovery für geschützte Dateien » Registry Viewer ˃ Lässt bekannte Registry Einträge sichtbar machen und generiert Reports » Wipe Drive ˃ Überschreibt Daten eines Computers 58 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 59. » Der FTK ermöglicht eine umfassende Forensische Analyse mit expliziter Case- Sicherheit » Er enthält Index- und Suchfunktionen, eine umfassende Datei-Recovery und Grafikanalyse » Vorteile: ˃ Integrierte Lösung ˃ Integrierte Oracle Datenbank und erweiterte Suche ˃ Sehr performant ˃ Intuitives Benutzerinterface 59 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 60. » „DIE“ Forensicslösung » Wird vom Gros der Gerichte anerkannt » Auch in grossen Umgebungen einsetzbar » Analysiert mehrere Plattformen » Auch für grosse Volumes einsetzbar » Transferiert Evidence-Files direkt zum Law- Enforcement » Netzwerklösung möglich 60 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 61. Open Source Tools Kommerzielle Tools » Kostenlos herunter- » Zum Teil teure Produkte zuladen und zu » Case immer integraler verwenden Bestandteil » Einfach im Gebrauch » Sicherheit eingebaut » Für einfache Analysen » Komplexer im ideal Gebrauch » Optimale Report- generierung » Gerichtbar 61 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 62. Forensische Analyse mit Helix und Forensic Tool Kit 62 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 63. » Fazit ˃ Forensics ist eine sehr vielfältige Aufgabe ˃ Grösste Gefahr einer optimalen Analyse sind die sich verändernden Dateien und der Verbund der virtuellen Umgebung ˃ Zu analysierende Host- und Gastsysteme müssen bekannt sein » Deshalb ˃ Virtualisierungs- System- und Forensics-Spezialisten sind für eine Investigation virtueller Umgebungen notwendig ˃ Professionelle Tools sind zweckmässig Für Fragen stehen wir gerne zur Verfügung: Phone:+41 56 249 44 11 Mail: info@sunworks.ch 63 ©SUNWORKS Digicomp – Hacking Day `11 S
  • 64. Juerg Fischer Security Analyst Sunworks GmbH, Ennetbaden Microsoft Certified Trainer, EC-Council Certified Instructor ©SUNWORKS Schweizerische Post - Endjahrestagung 2009