Live Forensics
II Ogólnopolska Konferencja
Informatyki Śledczej
Przemysław Krejza, EnCE, ACE
Minęły już czasy kiedy wystarczyło wyłączyć
maszynę i zabrać ją do badania. Technologia się
zmieniła - standardowa pamięć RAM
ma pojemność od 2 do 8 Gb,
ma pojemność od 2 do 8 Gb,
Nie można ignorować pamięci jako cennego zródła
informacji
Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis
Cal Waits Joseph Ayo Akinyele Richard Nolan Larry Rogers August 2008
Live vs. post mortem
Nie zawsze możemy wyłączyć,
Wyłączenie może być na amen ,
Możemy mieć więcej informacji,
Możemy mieć więcej informacji,
Bo to proste&
Live forensics najlepsze praktyki
Od najbardziej do najmniej ulotnych:
1. Pamięć fizyczna(RAM),
2. Ulotne dane systemu,
2. Ulotne dane systemu,
3. Żywy obraz dysku lub kopia plików/folderów,
4. Post mortem,
Co w pamięci piszczy?
" Uruchomione procesy
Wszelkiego typu malware - rootkity i trojany.
" Otwarte pliki
Edytowane dokumenty, nawet nie zapisane.
Pozostałości emaili, nawet pochodzących z poczty www.
Zawartość stron internetowych, nawet szyfrowanych.
Otwierane obrazy.
" Połączenia sieciowe i otwarte porty.
" Otwarte klucze rejestru.
" Informacje związane z uruchomionymi aplikacjami (np. aktywne rozmowy
komunikatorów).
" Bufory związane z ekranem, klawiaturą, dyskiem itd. (np. rekordy MFT).
" Hasła zapisane w sposób jawny.
" Inne informacje systemowe.
MFT cache
Dictionary
Live forensics - ryzyka
" Narzędzia pozostawiają ślad:
Czy nie będzie to problemem?
Czy zleceniodawca to zaakceptuje?
Czy da się wyjaśnić ten fakt przed sądem?
" Jak dobrze znasz swoje narzędzia:
Jakie ślady pozostawiają?
Zadziałają na danym systemie?
Crash?
Malware
Live forensics najlepsze praktyki
" Dokumentuj każdy krok.
" Musisz mieć pełny dostęp do systemu.
" Nie zamykaj żadnych okien, dokumentów lub programów.
" Nie ufaj obcemu systemowi operacyjnemu.
" Staraj się wykonać akwizycję w jak najmniejszej ilości kroków.
" Staraj się wykonać akwizycję w jak najmniejszej ilości kroków.
" Pamiętaj aby nośnik na który wykonujesz zrzut pamięci był
większy niż zrzucana pamięć.
" Używaj wyłącznie zaufanych narzędzi. Im mniej pamięci
alokuje narzędzie tym lepiej:
Nigilant32 < 1Mb
Helix - ok 18Mb
Narzędzia
FastDump Pro FastDump WinEn MDD Memoryze Win32DD Encase
Community WinEn64
Producent HBGary HBGary Guidance ManTech Mandiant Mattieu Suiche Guidance
Software Software
Licencja Free Płatna Płatna Free Free GNU Płatna
64bit Nie Tak Tak Nie - - Tak
>4Gb Nie Tak Tak - - - Tak
Win 2008 Nie Tak - - - Tak Tak
serwer
Win 2003 Nie Tak Tak Tak Tak Tak Tak
serwer
Win XP Tak Tak Tak Tak Tak Tak Tak
Vista Nie Tak Tak Tak SP1 Tak Tak
Live forensics wyzwania
" Brak możliwości uruchomienia narzędzi:
Zdalna akwizycja:
" F-Response
" EnCase Enterprise Edition lub FIM
" EnCase Enterprise Edition lub FIM
" Brak praw administracyjnych
Zrestartuj i użyj obcego systemu operacyjnego.
Live forensics wyzwania
" System operacyjny 64 bitowy
FastDump Pro lub Winen
" Więcej niż 4GB RAM
FastDump Pro
" Brak możliwości podłączenia nośnika na kopię
" Brak możliwości podłączenia nośnika na kopię
Helix i Netcat
F-Response
EnCase Enterprise Edition lub FIM
" konsola jest zablokowana
Live forensics - konsola jest zablokowana
1. Komputer posiada port firewire:
winlockpwn
" Proces opisany przez Adama Boileau (Metlstorm)
używa jednej z funkcji firewire do wyszukania i
używa jednej z funkcji firewire do wyszukania i
modyfikacji procesu logowania windows,
" Zawarty w Helix od 1.9,
" Pozwala na zalogowanie dowolnym hasłem,
Live forensics - konsola jest zablokowana
2. Komputer posiada port firewire:
Zestaw narzędzi: Pythonraw1394, Businfo, Romtool,
1394memimage
" Pozwalają na użycie portu firewire w celu uzyskania
" Pozwalają na użycie portu firewire w celu uzyskania
dostępu do innej maszyny,
" Dostępne od Helix 1.9,
" Nie wymagają logowania,
Live forensics - konsola jest zablokowana
3: Zrestartuj i użyj innego systemu operacyjnego do
akwizycji:
"
" Najlepiej proste wersje linux distro (syslinux)
" Msramdmp użyty z nośnika bootowalnego pozwala na
akwizycje RAM na nośnik zewnętrzny.
Ta opcja jest ryzykowna i zależna od sprzętu !!!
Live forensics - konsola jest zablokowana
4: wyłącz zasilanie i postępuj standardowo& .
4: wyłącz zasilanie i postępuj standardowo& .
Linki
" Oprogramowanie
" MDD www.mantech.com
" Win32Dd www.win32dd.msuiche.net
" Fast Dump www.hbgary.com
" Fast Dump www.hbgary.com
" Memoryze www.mandiant.com
" EnCase Enterprise www.encase.com
" F-Response www.f-response.com
" HB Gary Responder www.hbgary.com
" EnCase Enterprise: www.encase.com
Wyszukiwarka
Podobne podstrony:
2010 04 O metodzie Kinesio Taping, Ewa Jaraczewska2010 07 22 Rozp MON Ćwiczenia wojskowe2010 04 I, Robot Intelligent You Call that IntelligentKrasnodębski Z , 2010 04 14 Rz, Już nie przeszkadza (L Kaczyński)22 pole magnetyczne, indukcja elektromagnetycznaElektrotechnika (materiały pomocnicze do ćwiczeń)TI 97 04 22 T pl(1)04 Stosowanie materiałów pomocniczych w przemyśleSEMTRAK 98 1998 VIII Konferencja Naukowa Traksji Elektrycznej Materiały konferencyjneTI 97 04 22 K L N pl(1)FIDE Trainers Surveys 2010 04 28 Jeroen Bosch Euwe s Long Moves2010 04 Wirtualizacja z hypervisorem VMware ESXi [Rozwiazania]więcej podobnych podstron