Глеб Грицай - forensics
TRANSCRIPT
PHDays/CTF/AfterpartyForensics
Forensics: Определение
Расследование инцидентов – это процесс исследования устройств хранения и передачи данных и каналов передачи данных для выявления неавторизованных, нежелательных или нелегальных действий.
Forensics: Цели
Выявление причин инцидента Восстановление последовательности
событий Определение исполнителя
/исполнителей Подготовка материалов для судебного
процесса
Forensics: Процесс
Идентификация инцидента Изоляция и/или сбор свидетельств Обработка, обзор и/или анализ
свидетельств Представление результатов
Задания с PHDays CTF 2011 / Afterparty
Проверяем знания, навыки и умение пользоваться инструментарием
Thumbs.dbРабота с памятьюПароли пользователейИсследуем pcap“malware” & coreutils
Thumbs.db: Windows thumbnail cache
JPEG, BMP, GIF, PNG, TIFF, AVI, PDF, PPTX, DOCX, HTML и многие другие
< Windows Vistaдиректория с файлами
> Windows Vista%userprofile%\AppData\Local\Microsoft\Windows\Explorer
Thumbs.db: превью файлов
Thumbs.db: листинг
Thumbs.db: «экспорт»
0004.jpg
Thumbs.db: дополнительные материалы
http://vinetto.sourceforge.net http://accessdata.com/media/en_us/print/paper
s/wp.Thumbs_DB_Files.en_us.pdf
Далее…
Работа с памятью Пароли пользователей Исследуем pcap “malware” & coreutils
Задание
Что имеем? zip архив
Что внутри? Readme Ubuntu 10.10 Server i386.vmx Ubuntu 10.10 Server i386.vmdk Ubuntu 10.10 Server i386.vmem
Вспомнить всё
Типы файлов VMware
.log Журнал событий.
.nvram Состояние BIOS-а виртуальной машины.
.vmdk Виртуальный диск с содержимым жесткого диска виртуальной машины.
.vmem Файл подкачки виртуальной машины с копией памяти гостевой системы. Этот файл существует только при работе виртуальной машины или в случае ошибки работы виртуальной машины.
Каждый snapshot имеет соответствующий vmem файл с сохраненной памятью на момент создания.
.vmsn Данные о состоянии виртуальной машины во время создания snapshot-а.
.vmsd Данные о snapshot-ах.
.vmss Состояние виртуальной машины на момент suspend-а.
.vmtm Конфигурационный файл для виртуальных машин объединенных в группы.
.vmx Основной конфигурационный файл виртуальной машины.
.vmxf Дополнительный конфигурационный файл для виртуальных машин объединенных в группы.
volatility: connscan, sockets
volatility: psscan
volatility: memdump
Листинг открытых файлов
Дамп памяти процесса
File carving: foremost
RAR зашифрован
*blueprint.txt – «*» показывает, что файл зашифрован
Открываем rar
Работа с памятью: дополнительные материалы
https://www.volatilesystems.com/default/volatility http://code.google.com/p/volatility/ http://www.forensicswiki.org/wiki/List_of_Volatility_P
lugins
Восстановление файлов: дополнительные материалы
http://foremost.sourceforge.net http://www.forensicswiki.org/wiki/File_Carving http://www.digitalforensicssolutions.com/Scalpel http://www.mcafee.com/us/resources/white-
papers/foundstone/wp-intro-to-file-carving.pdf
Статика vs. Динамика
Статика vs. Динамика
Корректное выключение При корректном выключении системы вредоносное
программное обеспечение может удалить различные свидетельства
Выключаем питание При отключении питания можно повредить файловую
систему или, к примеру, прервать процесс копирования данных из памяти на жесткий диск
Работающая система В общем, при выключении системы теряется
информация, которая хранится во временной памяти или, в случае с шифрованием данных, можно столкнуться с проблемой того, что расшифрованная информация становится недоступной
Восстанавливаем пароль root-а
init=/bin/bash mount –o remount,rw / less/vim/nano/passwd sync; sync
drink.zip
unzip drink.pcap
ICMP payload
Rfc792 Echo or Echo Reply Message
Malware: Поиск
Хеширование Сетевая активность Журналы …
Hackerspaces!
secsem.blogspot.com
secsem.blogspot.com
FIN