Live Forensics
II Ogólnopolska Konferencja
Informatyki Śledczej
Przemysław Krejza, EnCE, ACE
 Minęły już czasy kiedy wystarczyło wyłączyć
maszynę i zabrać ją do badania. Technologia się
zmieniła - standardowa pamięć RAM
ma pojemność od 2 do 8 Gb,
ma pojemność od 2 do 8 Gb,
Nie można ignorować pamięci jako cennego z
ródła
informacji
Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis
Cal Waits Joseph Ayo Akinyele Richard Nolan Larry Rogers August 2008
Live vs. post mortem
 Nie zawsze możemy wyłączyć,
 Wyłączenie może być na  amen ,
 Możemy mieć więcej informacji,
 Możemy mieć więcej informacji,
 Bo to proste&
Live forensics  najlepsze praktyki
Od najbardziej do najmniej ulotnych:
1. Pamięć fizyczna(RAM),
2. Ulotne dane systemu,
2. Ulotne dane systemu,
3.  Żywy obraz dysku lub kopia plików/folderów,
4. Post mortem,
Co w pamięci piszczy?
" Uruchomione procesy
 Wszelkiego typu malware - rootkity i trojany.
" Otwarte pliki
 Edytowane dokumenty, nawet nie zapisane.
 Pozostałości emaili, nawet pochodzących z poczty www.
 Zawartość stron internetowych, nawet szyfrowanych.
 Otwierane obrazy.
" Połączenia sieciowe i otwarte porty.
" Otwarte klucze rejestru.
" Informacje związane z uruchomionymi aplikacjami (np. aktywne rozmowy
komunikatorów).
" Bufory związane z ekranem, klawiaturą, dyskiem itd. (np. rekordy MFT).
" Hasła zapisane w sposób jawny.
" Inne informacje systemowe.
MFT cache
Dictionary
Live forensics - ryzyka
" Narzędzia pozostawiają ślad:
 Czy nie będzie to problemem?
 Czy zleceniodawca to zaakceptuje?
 Czy da się wyjaśnić ten fakt przed sądem?
" Jak dobrze znasz swoje narzędzia:
 Jakie ślady pozostawiają?
 Zadziałają na danym systemie?
 Crash?
 Malware
Live forensics  najlepsze praktyki
" Dokumentuj każdy krok.
" Musisz mieć pełny dostęp do systemu.
" Nie zamykaj żadnych okien, dokumentów lub programów.
" Nie ufaj obcemu systemowi operacyjnemu.
" Staraj się wykonać akwizycję w jak najmniejszej ilości kroków.
" Staraj się wykonać akwizycję w jak najmniejszej ilości kroków.
" Pamiętaj aby nośnik na który wykonujesz  zrzut pamięci był
większy niż zrzucana pamięć.
" Używaj wyłącznie zaufanych narzędzi. Im mniej pamięci
alokuje narzędzie tym lepiej:
 Nigilant32 < 1Mb
 Helix - ok 18Mb
Narzędzia
FastDump Pro FastDump WinEn MDD Memoryze Win32DD Encase
Community WinEn64
Producent HBGary HBGary Guidance ManTech Mandiant Mattieu Suiche Guidance
Software Software
Licencja Free Płatna Płatna Free Free GNU Płatna
64bit Nie Tak Tak Nie - - Tak
>4Gb Nie Tak Tak - - - Tak
Win 2008 Nie Tak - - - Tak Tak
serwer
Win 2003 Nie Tak Tak Tak Tak Tak Tak
serwer
Win XP Tak Tak Tak Tak Tak Tak Tak
Vista Nie Tak Tak Tak SP1 Tak Tak
Live forensics  wyzwania
" Brak możliwości uruchomienia narzędzi:
 Zdalna akwizycja:
" F-Response
" EnCase Enterprise Edition lub FIM
" EnCase Enterprise Edition lub FIM
" Brak praw administracyjnych
 Zrestartuj i użyj  obcego systemu operacyjnego.
Live forensics  wyzwania
" System operacyjny 64 bitowy
 FastDump Pro lub Winen
" Więcej niż 4GB RAM
 FastDump Pro
" Brak możliwości podłączenia nośnika na kopię
" Brak możliwości podłączenia nośnika na kopię
 Helix i Netcat
 F-Response
 EnCase Enterprise Edition lub FIM
" konsola jest zablokowana
Live forensics - konsola jest zablokowana
1. Komputer posiada port firewire:
winlockpwn
" Proces opisany przez Adama Boileau (Metlstorm) 
używa jednej z funkcji firewire do wyszukania i
używa jednej z funkcji firewire do wyszukania i
modyfikacji procesu logowania windows,
" Zawarty w Helix od 1.9,
" Pozwala na zalogowanie dowolnym hasłem,
Live forensics - konsola jest zablokowana
2. Komputer posiada port firewire:
Zestaw narzędzi: Pythonraw1394, Businfo, Romtool,
1394memimage
" Pozwalają na użycie portu firewire w celu uzyskania
" Pozwalają na użycie portu firewire w celu uzyskania
dostępu do innej maszyny,
" Dostępne od Helix 1.9,
" Nie wymagają logowania,
Live forensics - konsola jest zablokowana
3: Zrestartuj i użyj innego systemu operacyjnego do
akwizycji:
"
" Najlepiej proste wersje linux distro (syslinux)
" Msramdmp użyty z nośnika bootowalnego pozwala na
akwizycje RAM na nośnik zewnętrzny.
Ta opcja jest ryzykowna i zależna od sprzętu !!!
Live forensics - konsola jest zablokowana
4: wyłącz zasilanie i postępuj standardowo& .
4: wyłącz zasilanie i postępuj standardowo& .
Linki
" Oprogramowanie
" MDD www.mantech.com
" Win32Dd www.win32dd.msuiche.net
" Fast Dump www.hbgary.com
" Fast Dump www.hbgary.com
" Memoryze www.mandiant.com
" EnCase Enterprise www.encase.com
" F-Response www.f-response.com
" HB Gary Responder www.hbgary.com
" EnCase Enterprise: www.encase.com