Enviar búsqueda
Cargar
6 jürg fischer it forensics in virtuellen umgebungen
•
0 recomendaciones
•
1,575 vistas
Digicomp Academy AG
Seguir
Denunciar
Compartir
Denunciar
Compartir
1 de 64
Descargar ahora
Descargar para leer sin conexión
Recomendados
SSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
Kroll Ontrack GmbH
Erfahrung mit virtuellen Systemen
Erfahrung mit virtuellen Systemen
GFU Cyrus AG
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei Adobe
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei Adobe
Digicomp Academy AG
Präsentation BalaBit: Analyse digitaler Spuren administrativer Netzzugriffe
Präsentation BalaBit: Analyse digitaler Spuren administrativer Netzzugriffe
NETFOX AG
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010
Torben Haagh
Gedanken zur Prozessoptimierung in Online-Media
Gedanken zur Prozessoptimierung in Online-Media
Alexander Volk
"Die Zeit-Zielscheibe" von Zach Davis
"Die Zeit-Zielscheibe" von Zach Davis
Torben Haagh
Computer forensics
Computer forensics
Shreya Singireddy
Recomendados
SSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
SSD vs. HDD, Risiken und Nebenwirkungen der Flash Technologie
Kroll Ontrack GmbH
Erfahrung mit virtuellen Systemen
Erfahrung mit virtuellen Systemen
GFU Cyrus AG
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei Adobe
XING learningZ: Tipps & Tricks mit Photoshop und was gibt’s Neues bei Adobe
Digicomp Academy AG
Präsentation BalaBit: Analyse digitaler Spuren administrativer Netzzugriffe
Präsentation BalaBit: Analyse digitaler Spuren administrativer Netzzugriffe
NETFOX AG
Computerkriminalität in der deutschen Wirtschaft 2010
Computerkriminalität in der deutschen Wirtschaft 2010
Torben Haagh
Gedanken zur Prozessoptimierung in Online-Media
Gedanken zur Prozessoptimierung in Online-Media
Alexander Volk
"Die Zeit-Zielscheibe" von Zach Davis
"Die Zeit-Zielscheibe" von Zach Davis
Torben Haagh
Computer forensics
Computer forensics
Shreya Singireddy
computer forensics
computer forensics
Vaibhav Tapse
Computer forensics toolkit
Computer forensics toolkit
Milap Oza
Firewall configuration
Firewall configuration
Nutan Kumar Panda
computer forensics
computer forensics
samantha jarrett
Introduction to computer forensic
Introduction to computer forensic
Online
Cyber forensic standard operating procedures
Cyber forensic standard operating procedures
Soumen Debgupta
Computer forensics
Computer forensics
Lalit Garg
Computer +forensics
Computer +forensics
Rahul Baghla
Computer forensics
Computer forensics
Sarwar Hossain Rafsan
Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic Investigations
Filip Maertens
Computer forensics
Computer forensics
deaneal
Digital Crime & Forensics - Presentation
Digital Crime & Forensics - Presentation
prashant3535
Digital forensics
Digital forensics
Roberto Ellis
Computer forensics powerpoint presentation
Computer forensics powerpoint presentation
Somya Johri
Computer forensics ppt
Computer forensics ppt
Nikhil Mashruwala
Forensic laboratory setup requirements
Forensic laboratory setup requirements
Sonali Parab
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
Digicomp Academy AG
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
Odilo Oehmichen
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
Patrick Baumgartner
BED-Con - Tools für den täglichen Kampf als Entwickler
BED-Con - Tools für den täglichen Kampf als Entwickler
Patrick Baumgartner
Ant im Detail
Ant im Detail
Jörn Dinkla
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
NETWAYS
Más contenido relacionado
Destacado
computer forensics
computer forensics
Vaibhav Tapse
Computer forensics toolkit
Computer forensics toolkit
Milap Oza
Firewall configuration
Firewall configuration
Nutan Kumar Panda
computer forensics
computer forensics
samantha jarrett
Introduction to computer forensic
Introduction to computer forensic
Online
Cyber forensic standard operating procedures
Cyber forensic standard operating procedures
Soumen Debgupta
Computer forensics
Computer forensics
Lalit Garg
Computer +forensics
Computer +forensics
Rahul Baghla
Computer forensics
Computer forensics
Sarwar Hossain Rafsan
Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic Investigations
Filip Maertens
Computer forensics
Computer forensics
deaneal
Digital Crime & Forensics - Presentation
Digital Crime & Forensics - Presentation
prashant3535
Digital forensics
Digital forensics
Roberto Ellis
Computer forensics powerpoint presentation
Computer forensics powerpoint presentation
Somya Johri
Computer forensics ppt
Computer forensics ppt
Nikhil Mashruwala
Forensic laboratory setup requirements
Forensic laboratory setup requirements
Sonali Parab
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
Digicomp Academy AG
Destacado
(17)
computer forensics
computer forensics
Computer forensics toolkit
Computer forensics toolkit
Firewall configuration
Firewall configuration
computer forensics
computer forensics
Introduction to computer forensic
Introduction to computer forensic
Cyber forensic standard operating procedures
Cyber forensic standard operating procedures
Computer forensics
Computer forensics
Computer +forensics
Computer +forensics
Computer forensics
Computer forensics
Digital Evidence in Computer Forensic Investigations
Digital Evidence in Computer Forensic Investigations
Computer forensics
Computer forensics
Digital Crime & Forensics - Presentation
Digital Crime & Forensics - Presentation
Digital forensics
Digital forensics
Computer forensics powerpoint presentation
Computer forensics powerpoint presentation
Computer forensics ppt
Computer forensics ppt
Forensic laboratory setup requirements
Forensic laboratory setup requirements
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
Similar a 6 jürg fischer it forensics in virtuellen umgebungen
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
Odilo Oehmichen
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
Patrick Baumgartner
BED-Con - Tools für den täglichen Kampf als Entwickler
BED-Con - Tools für den täglichen Kampf als Entwickler
Patrick Baumgartner
Ant im Detail
Ant im Detail
Jörn Dinkla
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
NETWAYS
Infonova Devopscon München 2015
Infonova Devopscon München 2015
Georg Öttl
Weltvermessen mit OpenDataCam - Wie ich einmal eine Viertelmillionen Autos ge...
Weltvermessen mit OpenDataCam - Wie ich einmal eine Viertelmillionen Autos ge...
Stephan Hochhaus
Living on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der Wildnis
mmeisenzahl
Top 10 Internet Trends 2009
Top 10 Internet Trends 2009
Jürg Stuker
Was sind virtuelle Maschinen? Wie nutzt man sie? Und welchen Nutzen kann man...
Was sind virtuelle Maschinen? Wie nutzt man sie? Und welchen Nutzen kann man...
GFU Cyrus AG
Citrix Day 2014: Enterprise Mobility - Citrix Lösungen mit Workpace Suite
Citrix Day 2014: Enterprise Mobility - Citrix Lösungen mit Workpace Suite
Digicomp Academy AG
Grundlagen Virtualisierung
Grundlagen Virtualisierung
inovex GmbH
Container im Betrieb - Ergebnisse der Validieren Docker vs. LXC
Container im Betrieb - Ergebnisse der Validieren Docker vs. LXC
Bild GmbH & Co. KG
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
Carsten Muetzlitz
Citrix XenDesktop 4
Citrix XenDesktop 4
netlogix
Einführung in Puppet und Vagrant
Einführung in Puppet und Vagrant
s0enke
Gebäudeautomation mit Java und OpenRemote
Gebäudeautomation mit Java und OpenRemote
gedoplan
openHAB @ rheinJUG Düsseldorf
openHAB @ rheinJUG Düsseldorf
Thomas Eichstädt-Engelen
DevicePro Flyer deutsch
DevicePro Flyer deutsch
cynapspro GmbH
Windows 8 connected
Windows 8 connected
Digicomp Academy AG
Similar a 6 jürg fischer it forensics in virtuellen umgebungen
(20)
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 der Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
JFS 2011 - Top 10 Tools & Methoden - Baumgartner, Oehmichen
BED-Con - Tools für den täglichen Kampf als Entwickler
BED-Con - Tools für den täglichen Kampf als Entwickler
Ant im Detail
Ant im Detail
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
OSMC 2011 | Collectd in der großen weiten Welt - Anbindung des Datensammlers ...
Infonova Devopscon München 2015
Infonova Devopscon München 2015
Weltvermessen mit OpenDataCam - Wie ich einmal eine Viertelmillionen Autos ge...
Weltvermessen mit OpenDataCam - Wie ich einmal eine Viertelmillionen Autos ge...
Living on the Edge - Microservices in der Wildnis
Living on the Edge - Microservices in der Wildnis
Top 10 Internet Trends 2009
Top 10 Internet Trends 2009
Was sind virtuelle Maschinen? Wie nutzt man sie? Und welchen Nutzen kann man...
Was sind virtuelle Maschinen? Wie nutzt man sie? Und welchen Nutzen kann man...
Citrix Day 2014: Enterprise Mobility - Citrix Lösungen mit Workpace Suite
Citrix Day 2014: Enterprise Mobility - Citrix Lösungen mit Workpace Suite
Grundlagen Virtualisierung
Grundlagen Virtualisierung
Container im Betrieb - Ergebnisse der Validieren Docker vs. LXC
Container im Betrieb - Ergebnisse der Validieren Docker vs. LXC
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
Citrix XenDesktop 4
Citrix XenDesktop 4
Einführung in Puppet und Vagrant
Einführung in Puppet und Vagrant
Gebäudeautomation mit Java und OpenRemote
Gebäudeautomation mit Java und OpenRemote
openHAB @ rheinJUG Düsseldorf
openHAB @ rheinJUG Düsseldorf
DevicePro Flyer deutsch
DevicePro Flyer deutsch
Windows 8 connected
Windows 8 connected
Más de Digicomp Academy AG
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Digicomp Academy AG
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Digicomp Academy AG
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Digicomp Academy AG
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Digicomp Academy AG
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Digicomp Academy AG
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Digicomp Academy AG
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Digicomp Academy AG
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Digicomp Academy AG
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Digicomp Academy AG
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Digicomp Academy AG
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
Minenfeld IPv6
Minenfeld IPv6
Digicomp Academy AG
Was ist design thinking
Was ist design thinking
Digicomp Academy AG
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Digicomp Academy AG
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Digicomp Academy AG
General data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
Más de Digicomp Academy AG
(20)
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Minenfeld IPv6
Minenfeld IPv6
Was ist design thinking
Was ist design thinking
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
General data protection regulation-slides
General data protection regulation-slides
6 jürg fischer it forensics in virtuellen umgebungen
1.
Juerg Fischer
Security Analyst Sunworks GmbH, Ennetbaden Microsoft Certified Trainer, EC-Council Certified Instructor ©SUNWORKSS
2.
» Forensics Grundlagen
» ...und in virtuellen Umgebungen? » Unterschiede virtueller Umgebungen » Live Forensics » Forensics der Hostsysteme » Unterstützende Tools (Kommerzielle und Open Source) » Live Demo » Fazit 2 ©SUNWORKS Digicomp – Hacking Day `11 S
3.
3 ©SUNWORKS
Digicomp – Hacking Day `11 S
4.
» 3 Beispiele
˃ Provider ˃ Maschinenbaufirma ˃ Industriebetrieb mit eigener SW-Entwicklung » Forensics-Begriff auf alle Seiten offen » Oft Interpretationssache oder Verbund mit anderen Services wie Pentest, Ethical Hacking 4 ©SUNWORKS Digicomp – Hacking Day `11 S
5.
» Was ist
möglich? ˃ Wiederherstellung gelöschter Daten ˃ Erkennung wann sich Dateien geändert haben, modifiziert wurden, gelöscht wurden ˃ Überprüfung welche Geräte angeschlossen wurden ˃ Welche Applikationen wurden von einem Benutzer installiert oder deinstalliert? ˃ Welche Websites wurden besucht? ˃ Welche Mails wurden mit welchen Attachments verschickt 5 ©SUNWORKS Digicomp – Hacking Day `11 S
6.
1. Computer Crime
wird festgestellt 2. Durchsuchungsbefehl wird beantragt (falls notwendig) 3. First Responder Prozeduren werden durchgeführt 4. Beweismittel werden zusammengetragen 5. Beweismittel werden geschützt ins Labor transportiert 6. 2 Bit-Stream Kopien werden erstellt 7. Chain of Custody wird erstellt 8. Originale Beweismittel werden an einem sicheren Ort gelagert 9. Kopie des Images wird analysiert 10.Forensic Report wird erstellt 6 ©SUNWORKS Digicomp – Hacking Day `11 S
7.
» Datenverlust während
der Analyse minimieren ˃ System ausschalten? ˃ Vom Netz trennen? » Daten 1:1 kopieren ˃ Memory ˃ Partitionen (Harddisks) » Nur Kopien analysieren » Erkenntnisse und Vorgehensweise notieren » Während der forensischen Analyse darf nichts verändert werden 7 ©SUNWORKS Digicomp – Hacking Day `11 S
8.
» Datenverlust während
der Analyse minimieren ˃ System ausschalten? ˃ Vom Netz trennen? » Daten 1:1 kopieren ˃ Memory ˃ Partitionen (Harddisks) » Nur Kopien analysieren » Erkenntnisse und Vorgehensweise notieren » Während der forensischen Analyse darf nichts verändert werden 8 ©SUNWORKS Digicomp – Hacking Day `11 S
9.
9 ©SUNWORKS
Digicomp – Hacking Day `11 S
10.
» Grundsatzfragen
˃ Was erwarten wir? ˃ Wo sind die Daten? ˃ Wem gehören die Daten? ˃ Welche Forensik Technik verwenden wir? ˃ Wie bekomme ich Daten aus virtuellen Maschinen oder der Cloud? ˃ Welche Tools verwende ich dazu? 10 ©SUNWORKS Digicomp – Hacking Day `11 S
11.
» Aufsetzen relativ
einfach » Vorbereitete Appliances können nur aus dem Internet heruntergeladen werden » Bridge Funktion ermöglicht schnellen Netzwerkzugriff via Hostsystem » Durch NAT kann auch nicht gemanagter Verkehr mit dem Netzwerk statt finden. ˃ Malicious Software Installation ˃ Netzwerk Schwachstellen ˃ Clients mit fehlgeleiteten Verbindungen 11 ©SUNWORKS Digicomp – Hacking Day `11 S
12.
» Ist die
Umgebung Physikalisch oder Virtuell? » Ist die Virtualisierung Hardware- oder Software- basierend? » Sind identifizierbare Mac Adressen vorhanden? » Sind identifizierbare Herstellerinformationen verfügbar? » Sind identifizierbare Hardware Drives vorhanden? 12 ©SUNWORKS Digicomp – Hacking Day `11 S
13.
Server Virtualisierung
Desktop Virtualisierung ˃ VMWare ˃ VMWare + Linux und Windows + Komplette Virtualisierung möglich Hostsysteme möglich ˃ Microsoft Virtual PC + bare-metal möglich + Beliebige Windows Hostsysteme möglich ˃ Microsoft Virtual Server ˃ Windows Virtual PC (Windows 7) + Windows Hostsysteme + setzt Hardware Virtualisierungs- ˃ Citrix XEN Server Features voraus + Bare-metal System ˃ XENSource + Citrix, alle bekannten Gastsysteme ˃ OracleVM ˃ Parallels + Für Oracle und nicht-Oracle- Anwendungen + Windows, Linux und Mac OSX Plattformen ˃ SUN Virtual Box + Mac OSX, Linux und Windows 13 ©SUNWORKS Support Digicomp – Hacking Day `11 S
14.
» Via USB
zu starten » MojoPac ˃ Entwickelt von Ringcube ˃ Encapsulation eines kompletten Windows Desktops » MokaFive ˃ Spinoff der University Stanford ˃ Basiert auf einem Thin Client Modell » Portable Virtualbox ˃ Entwickelt von Innotek ˃ SUN übernahm 2008 den Betrieb 14 ©SUNWORKS Digicomp – Hacking Day `11 S
15.
15 ©SUNWORKS
Digicomp – Hacking Day `11 S
16.
» Sehr populär
» Unterschiedliche Szenarien notwendig ob Statisch oder Live » Sehr oft als Testplattform verwendet » Möglichkeit Veränderungen zu löschen und mit dem vorherigen Snapshot zu starten 16 ©SUNWORKS Digicomp – Hacking Day `11 S
17.
» VM innerhalb
eines Forensic Images ist schwierig zu durchsuchen » Typische Forensic Software erkennt die VM- Dateien als unbekannte Dateitypen » Images können aber bei verschiedenen Virtualisierungslösungen gemounted werden » Einige Forensic Software Lösungen erlauben VMs zu laden und somit zu analysieren. Somit wird die vmdk-Datei einem Case zugeordnet. » Kommerzielle Tools (Bsp. Encase) erkennen die Festplatten/Partitionen der VMs 17 ©SUNWORKS Digicomp – Hacking Day `11 S
18.
»
FTK Imager » Liveview (bei Workstation und ESX) » Encase » MMLS & DD » CAINE » Helix » … 18 ©SUNWORKS Digicomp – Hacking Day `11 S
19.
» Unterschiede zwischen
dem Original und der virtuellen Maschine können mit Tools wie Compare Snapshots aufgezeigt werden. » Die Idee dabei ist es zwei Snapshots zu vergleichen (ein Original und ein mit Malware infiziertes System. » Ein Vergleich der Dateien mit einem Hex-Editor ist wesentlich schwieriger. » Integriert ist eine Search Engine welche nach Erweiterungen wie .sys oder .exe sucht. Mit einer Erweiterung der Suchregeln (zB. System32 wird die Suche noch effizienter. 19 ©SUNWORKS Digicomp – Hacking Day `11 S
20.
» VMEM
» Analyse des Speichers einer VM 20 ©SUNWORKS Digicomp – Hacking Day `11 S
21.
Typ
Beschreibung vmx Primäres Virtual Machine Configuration File vmsd Snapshot Descrypter File vmtm Configuration File for Teaming Funktionalitäten vmdk Disk Descripter File Log VMWare Logfiles nvram Bios Settings der VM vmss Suspend File, Status der Suspended VM. vmsn Snapshot Files vmsd Snapshot Descripter File vmem Auslagerungsdatei der VM 21 ©SUNWORKS Digicomp – Hacking Day `11 S
22.
» Erstellen eines
Snapshots und der .vmsm-Datei der VM ohne irgend etwas im Code des Gastsystems zu verändern. » Erstellen der Integrität der Evidence Files. » Einhalten der «Chain of custody». 22 ©SUNWORKS Digicomp – Hacking Day `11 S
23.
» Verbinden auf
die ESXi- Befehl Funktion Service Konsole über SSH Vim-cmd vmsvc/- Löscht die .vmdk destroy vmid und .vmx Dateien » Verwendung des CLI- auf der Festplatte Interfaces chkconfig –l Zeigt Daemons welche auf dem » Verwenden des esxcfg- Hypervisor laufen info Command esxcfg –info Zeigt die Wealth Informationen eines ESX-Hosts auf Esxcfg –nics-l Zeigt die Network Interface 23 ©SUNWORKS Informationen an Digicomp – Hacking Day `11 S
24.
» Sysinternal Tools
vor dem Shutdown virtueller Maschinen verwenden um Services, offene Ports und weitere Informationen zu sichern. Tool Funktion Accessenum.exe Unterstützt Benutzer Berechtigungs- Informationen auf den Dateien und der Registry durch die API Autoruns.exe Informationen aus dem Bootvorgang Pendmoves.exe Dateien welche via Schedule umbenannt oder gelöscht werden im nächsten Bootvorgang Logonsessions.exe Aktive Logon Sessions 24 ©SUNWORKS Digicomp – Hacking Day `11 S
25.
25 ©SUNWORKS
Digicomp – Hacking Day `11 S
26.
» Können Sie
dem OS vertrauen? ˃ Kernel Level Rootkits ˃ Wissen Sie wem Sie vertrauen? » Whole Disk Encryption ˃ BitLocker, EFS, CFS, TCFS, sfs, etc. ˃ Schalten Sie das System aus und dann, ooops … » Was machen Sie mit einem Memory Dump? ˃ Rekonstruieren der Prozesse (running and dead?) ˃ Suchen mit entsprechenden Filtern 26 ©SUNWORKS Digicomp – Hacking Day `11 S
27.
»
Interaktion zwischen zwei Computern » Internet macht die Analyse bedeutend komplexer » Verschlüsselung, Steganography » “Sicheres” Löschen » Betriebssystemfunktionen! ˃ ext3 Dateisystem in Linux ˃ Secure Recycle Bin in Mac OS X » Kriminelle wenden immer bessere Techniken an » Einige Daten sind nur im RAM vorhanden 27 ©SUNWORKS Digicomp – Hacking Day `11 S
28.
» Die meisten
Forensic Tools booten auf ihrem OS ihre Basisdienste ˃ Informationen müssen aus dem physikalischen Speicher gelesen werden ˃ Disk Dumping » User-Level Rootkits ˃ Modifizieren von Systemaufrufen (ls, ps, du, df) ˃ Ändern der Disk-Space Statistik, Auflisten der laufenden Prozesse, etc. 28 ©SUNWORKS Digicomp – Hacking Day `11 S
29.
» Grosse Festplatten
˃ Kapazität nimmt massiv zu ˃ Terabyte Systems sind gross aber schon weit verbreitet ˃ Searching (oder indexing) braucht Zeit ˃ Mirroring braucht Zeit » Minimale Downtime (Mission Critical Systeme) » Schwieriger um Beweise zu sammeln » Einige Daten sind nur im RAM vorhanden 29 ©SUNWORKS Digicomp – Hacking Day `11 S
30.
» Grosse Festplatten
˃ Kapazität nimmt massiv zu ˃ Terrabyte Systems sind gross aber schon weit verbreitet ˃ Searching (oder indexing) braucht Zeit ˃ Mirroring braucht Zeit » Minimale Downtime (Mission Critical Systeme) » Schwieriger um Beweise zu sammeln 30 ©SUNWORKS Digicomp – Hacking Day `11 S
31.
» Zeitstempel immer
notwendig, da er die Referenz für eine Veränderung ist » Vorsicht bei Forensics auf dem originalem System (bei einem Start von Windows oder Linux werden mehr als 1000 Dateien verändert) » Verdächtige Prozesse dürfen nicht verändert werden » Nur vertrauenswürdige Programme verwenden (Angreifer baut meistens Hintertüren, … ein) » Ordnungsgemässer Shutdown könnte Beweise vernichten 31 ©SUNWORKS Digicomp – Hacking Day `11 S
32.
» Folgende Formattypen
können analysiert werden: ˃ DMF, VHD, ISO, IMA, IMZ » Disk Image vom dem Zielsystem kopieren » Hash über das Image legen » Disk mit WinImage analysieren und Evidence Dateien herauslösen » Zweiten Hash über das Image legen um zu bestätigen dass sich das Image nicht verändert hat » Herausgelöste Dateien in Forensic Tool laden und analysieren 32 ©SUNWORKS Digicomp – Hacking Day `11 S
33.
» Scripts können
via ADS versteckt werden » Suche schwierig, da Dateien nicht im Explorer angezeigt werden 33 ©SUNWORKS Digicomp – Hacking Day `11 S
34.
» c:programme oder
c:program files ˃ VMWare ˃ Microsoft Virtual PC ˃ Bochs ˃ DOSBox ˃ Portable Virtual Privacy Machine » «My Dokuments» oder «eigene Dateien» ˃ My LivePC’s ˃ My LivePC Documents ˃ My Shared LivePC Documents » «Documents» oder «Dokumente» ˃ My Virtual Machines » «Documents and Settings» oder «Dokumente und Einstellungen» ˃ VirtualBox 34 ©SUNWORKS Digicomp – Hacking Day `11 S
35.
» Registry
˃ Tool RegRipper um schnell Informationen zu finden » Ntuser.dat » Ntuser.log 35 ©SUNWORKS Digicomp – Hacking Day `11 S
36.
» In Netzwerkkomponenten
» Im RAM » Auf Businesskritischen Mascheinen ˃ können nicht einfach ausgeschaltet werden » Auf Storage-Devices ˃ Bei einen 1TB Server wird das Erstellen des Images ein zeitliches Problem werden ˃ Wie sieht es dann bei 10TB aus und wie transportieren wir die Daten ins Labor? 36 ©SUNWORKS Digicomp – Hacking Day `11 S
37.
» Es werden
die selben Produkte wie für die Analyse verwendet » Nur auf einem relativ “ruhigem” System ist eine solche Analyse realistisch » Win: dd if=.PhysicalDrive0 of=e:pd0.dd » Linux: dd if=/dev/hdc of=/mnt/images/hdc.dd 37 ©SUNWORKS Digicomp – Hacking Day `11 S
38.
»
Registry Settings reg.exe » Microsoft Security IT rockxp » Event Logs psloglist, dumpevt » Dump IE-Settings index.dat » Devices devcon » Slack Space drivespy, Forensik Software » Virtueller Speicher System Scanner, X-Ways Forensics » Versteckte Partitionen Partition Logic 38 ©SUNWORKS Digicomp – Hacking Day `11 S
39.
» Systemzeit
time/t » Eingeloggte Benutzer psloggedon, net sessions, Logonsessions » Offene Dateien net file command, psfile, openfiles » Netzwerkverbindungen netstat, » Prozessinformationen Tlist, Tasklist, Pslist, Listdlls, Handle, Openports » Promisdetect promisdetect, promqry 39 ©SUNWORKS Digicomp – Hacking Day `11 S
40.
» Windows
˃ Offene Files ˃ Offene Network Connections ˃ Registry Activity ˃ Open DLLs ˃ … » Unix ˃ Offene Files ˃ Offene Network Connections ˃ Zugriff auf korrespondierende EXE ˃ Environment Variablen ˃ … 40 ©SUNWORKS Digicomp – Hacking Day `11 S
41.
» Wenn virtuelle
Maschine erstellt wird, wird Speicher alloziert. » Änderungen am physikalischen Speicher bewirkt ebenfalls eine Änderung der Virtuellen Maschinen und der Performance. » Limitierung des physikalischen Speichers, vermindert die Gefahr dass das Hostsystem «crashed». » Reservation von Speicher für virtuelle Maschinen schränkt Funktionalität ein erhöht aber die Sicherheit da der Speicherbereich bekannt ist. 41 ©SUNWORKS Digicomp – Hacking Day `11 S
42.
» VMWare teilt
seinen virtuellen Maschinen Speicher zu » Direkter Zugriff der VM auf Speicher nicht möglich » Somit können nicht wesentlich mehr forensische Informationen gefunden werden wenn der VM mehr Speicher zugewiesen wird. 42 ©SUNWORKS Digicomp – Hacking Day `11 S
43.
» Auswertung des
Speichers erfolgt über die .vmem-Datei. » Analyse kann über Open Source Tools wie dd, Volatility Framework, HBGary Responder, oder beliebige Kommerzielle Forensik Tools vorgenommen werden. 43 ©SUNWORKS Digicomp – Hacking Day `11 S
44.
» Ein Trusted
Dump wurde erstellt, was nun? » Der Dump wird analysiert um relevante Informationen über Processe, Threads, Offene Dateien, Sockets, etc. zu bekommen » Erstens: analysieren der Lists/Tables der Kernel Structures » Zweitens: “carving” für interessante Objekte » Speicherinhalte dumpchk.exe » Prozesse Eprocess » Speicherprozess Parser Lsproc.pl 44 ©SUNWORKS Digicomp – Hacking Day `11 S
45.
45 ©SUNWORKS
Digicomp – Hacking Day `11 S
46.
» Folgende Komponenten
werden überprüft: ˃ Windows Registry ˃ Auslagerungsdatei ˃ Hibernation-Datei ˃ Papierkorb ˃ Druck-Dateien ˃ Dateisystem Internals ˃ File Carving ˃ Slack Space 46 ©SUNWORKS Digicomp – Hacking Day `11 S
47.
» Daten
˃ Dateien ˃ Ordner » Metadaten ˃ Zeitstempel (Ändern, Zugriff, Erstellen, Löschen) ˃ Owner ˃ Sicherheitsbeschreibung » Strukturen ˃ Superblock/Master File Table/File Access Table ˃ Inodes/Clusters ˃ Daten 47 ©SUNWORKS Digicomp – Hacking Day `11 S
48.
» Daten-Wiederherstellung verlangt
Wissen über die Dateisystem-Internals » Disk Layout » Was wurde wann gelöscht? » Verschiedene Dateisysteme sind heute vorhanden ˃ DOS / Windows: FAT, FAT16, FAT32, NTFS ˃ Unix: ext2, ext3, Reiser, JFS, … more ˃ Mac: MFS, HFS, HFS+ 48 ©SUNWORKS Digicomp – Hacking Day `11 S
49.
» Volatile Daten
können einfach modifiziert werden oder verloren gehen » Folgende Volatilen Daten können analysiert werden: ˃ Systemzeit ˃ Eingeloggte User ˃ Offene Dateien ˃ Netzwerk-Informationen, Netzwerk-Verbindungen, Netzwerkstatus ˃ Prozess Informationen, Prozess Memory ˃ Service / Treiber Informationen ˃ Verbundene Netzlaufwerke, Freigaben ˃ … 49 ©SUNWORKS Digicomp – Hacking Day `11 S
50.
» Nicht Volatile
Daten werden verwendet für den Secondary Storage und bestehen über eine lange Zeitdauer. ˃ Versteckte Dateien, ADS Streams ˃ Slack Space, nicht allozierte Cluster ˃ Auslagerungsdatei ˃ Index Dat Files ˃ Metadaten ˃ Nicht verwendete Partitionen, versteckte Partitionen ˃ Registry Einstellungen ˃ … 50 ©SUNWORKS Digicomp – Hacking Day `11 S
51.
» Mit einer
Live-Analyse werden viele Infos verfügbar. » Für die „kompletten“ Daten ist aber eine Post Mortem Analyse sinnvoller. » Post Mortem Analyse ProDiscover » Benutzer Aktivität NTUSER.DAT: Lastwrite 51 ©SUNWORKS Digicomp – Hacking Day `11 S
52.
» Mit einer
Live-Analyse werden viele Infos verfügbar. » Für die „kompletten“ Daten ist aber eine Post Mortem Analyse sinnvoller. » Post Mortem Analyse ProDiscover » Benutzer Aktivität NTUSER.DAT: Lastwrite 52 ©SUNWORKS Digicomp – Hacking Day `11 S
53.
53 ©SUNWORKS
Digicomp – Hacking Day `11 S
54.
Einfache Tools
Integrierte Tools » Viele einfachen Tools » Open Source reichen für kleine ˃ Sleuth-Kit Investigations ˃ Coroners Toolkit ˃ F.I.R.E » Mit integrierten Tools ˃ Helix können ˃ Autopsy Sie auch Images erstellen ˃ CAINE » Hex-Editoren reichen » Kommerzielle teilweise ˃ Encase (in jedem Gericht schon für Detailinfos akzeptiert) ˃ Gargoyle Investigator ˃ Forensic Tool Kit 54 ©SUNWORKS Digicomp – Hacking Day `11 S
55.
» Helix basiert
auf einer Knoppix Live Linux CD » Direkter Boot in die Linux-Umgebung möglich » Kernels, excellente Hardwareerkennung, und viele Applikationen können verwendet werden » Helix hat eine speziellen Windows Autorun Side für Incident Response and Forensics » Helix ist fokussiert auf Incident Response and Forensics Tools 55 ©SUNWORKS Digicomp – Hacking Day `11 S
56.
» Helix läuft
in zwei verschiedenen Modes ˃ Windows and Linux » Im Windows Mode läuft es als Standard Windows Application und wird verwendet um Informationen von einem “live” System zu sammeln 56 ©SUNWORKS Digicomp – Hacking Day `11 S
57.
» CAINE (Computer
Aided Investigative Environment) ist eine italienische GNU/Linux Live Distribution für IT Forensics. CAINE bietet eine komplexe Forensics Umgebung mit integrierten Tools und einem benutzerfreundlichen GUI » Folgende Komponenten sind beim Gebrauch von CAINE wichtig: ˃ Eine Umgebung welche den Benutzer durch alle 4 Phasen führt ˃ Eine halbautomatische Erstellung der Schlussreports 57 ©SUNWORKS Digicomp – Hacking Day `11 S
58.
Folgende Komponenten sind
in Accessdata vorhanden: » Password Recovery Toolkit ˃ Password Recovery für bekannte Applikationen » Distributed Network Attack ˃ Password Recovery für geschützte Dateien » Registry Viewer ˃ Lässt bekannte Registry Einträge sichtbar machen und generiert Reports » Wipe Drive ˃ Überschreibt Daten eines Computers 58 ©SUNWORKS Digicomp – Hacking Day `11 S
59.
» Der FTK
ermöglicht eine umfassende Forensische Analyse mit expliziter Case- Sicherheit » Er enthält Index- und Suchfunktionen, eine umfassende Datei-Recovery und Grafikanalyse » Vorteile: ˃ Integrierte Lösung ˃ Integrierte Oracle Datenbank und erweiterte Suche ˃ Sehr performant ˃ Intuitives Benutzerinterface 59 ©SUNWORKS Digicomp – Hacking Day `11 S
60.
» „DIE“ Forensicslösung
» Wird vom Gros der Gerichte anerkannt » Auch in grossen Umgebungen einsetzbar » Analysiert mehrere Plattformen » Auch für grosse Volumes einsetzbar » Transferiert Evidence-Files direkt zum Law- Enforcement » Netzwerklösung möglich 60 ©SUNWORKS Digicomp – Hacking Day `11 S
61.
Open Source Tools
Kommerzielle Tools » Kostenlos herunter- » Zum Teil teure Produkte zuladen und zu » Case immer integraler verwenden Bestandteil » Einfach im Gebrauch » Sicherheit eingebaut » Für einfache Analysen » Komplexer im ideal Gebrauch » Optimale Report- generierung » Gerichtbar 61 ©SUNWORKS Digicomp – Hacking Day `11 S
62.
Forensische Analyse mit
Helix und Forensic Tool Kit 62 ©SUNWORKS Digicomp – Hacking Day `11 S
63.
» Fazit
˃ Forensics ist eine sehr vielfältige Aufgabe ˃ Grösste Gefahr einer optimalen Analyse sind die sich verändernden Dateien und der Verbund der virtuellen Umgebung ˃ Zu analysierende Host- und Gastsysteme müssen bekannt sein » Deshalb ˃ Virtualisierungs- System- und Forensics-Spezialisten sind für eine Investigation virtueller Umgebungen notwendig ˃ Professionelle Tools sind zweckmässig Für Fragen stehen wir gerne zur Verfügung: Phone:+41 56 249 44 11 Mail: info@sunworks.ch 63 ©SUNWORKS Digicomp – Hacking Day `11 S
64.
Juerg Fischer
Security Analyst Sunworks GmbH, Ennetbaden Microsoft Certified Trainer, EC-Council Certified Instructor ©SUNWORKS Schweizerische Post - Endjahrestagung 2009
Descargar ahora