PHDays/CTF/AfterpartyForensics

Forensics: Определение

Расследование инцидентов – это процесс исследования устройств хранения и передачи данных и каналов передачи данных для выявления неавторизованных, нежелательных или нелегальных действий.

Forensics: Цели

Выявление причин инцидента Восстановление последовательности

событий Определение исполнителя

/исполнителей Подготовка материалов для судебного

процесса

Forensics: Процесс

Идентификация инцидента Изоляция и/или сбор свидетельств Обработка, обзор и/или анализ

свидетельств Представление результатов

Задания с PHDays CTF 2011 / Afterparty

Проверяем знания, навыки и умение пользоваться инструментарием

Thumbs.dbРабота с памятьюПароли пользователейИсследуем pcap“malware” & coreutils

Thumbs.db: Windows thumbnail cache

JPEG, BMP, GIF, PNG, TIFF, AVI, PDF, PPTX, DOCX, HTML и многие другие

< Windows Vistaдиректория с файлами

> Windows Vista%userprofile%\AppData\Local\Microsoft\Windows\Explorer

Thumbs.db: превью файлов

Thumbs.db: листинг

Thumbs.db: «экспорт»

0004.jpg

Thumbs.db: дополнительные материалы

http://vinetto.sourceforge.net http://accessdata.com/media/en_us/print/paper

s/wp.Thumbs_DB_Files.en_us.pdf

Далее…

Работа с памятью Пароли пользователей Исследуем pcap “malware” & coreutils

Задание

Что имеем? zip архив

Что внутри? Readme Ubuntu 10.10 Server i386.vmx Ubuntu 10.10 Server i386.vmdk Ubuntu 10.10 Server i386.vmem

Вспомнить всё

Типы файлов VMware

.log Журнал событий.

.nvram Состояние BIOS-а виртуальной машины.

.vmdk Виртуальный диск с содержимым жесткого диска виртуальной машины.

.vmem Файл подкачки виртуальной машины с копией памяти гостевой системы. Этот файл существует только при работе виртуальной машины или в случае ошибки работы виртуальной машины.

Каждый snapshot имеет соответствующий vmem файл с сохраненной памятью на момент создания.

.vmsn Данные о состоянии виртуальной машины во время создания snapshot-а.

.vmsd Данные о snapshot-ах.

.vmss Состояние виртуальной машины на момент suspend-а.

.vmtm Конфигурационный файл для виртуальных машин объединенных в группы.

.vmx Основной конфигурационный файл виртуальной машины.

.vmxf Дополнительный конфигурационный файл для виртуальных машин объединенных в группы.

volatility: connscan, sockets

volatility: psscan

volatility: memdump

Листинг открытых файлов

Дамп памяти процесса

File carving: foremost

RAR зашифрован

*blueprint.txt – «*» показывает, что файл зашифрован

Открываем rar

Работа с памятью: дополнительные материалы

https://www.volatilesystems.com/default/volatility http://code.google.com/p/volatility/ http://www.forensicswiki.org/wiki/List_of_Volatility_P

lugins

Восстановление файлов: дополнительные материалы

http://foremost.sourceforge.net http://www.forensicswiki.org/wiki/File_Carving http://www.digitalforensicssolutions.com/Scalpel http://www.mcafee.com/us/resources/white-

papers/foundstone/wp-intro-to-file-carving.pdf

Статика vs. Динамика

Статика vs. Динамика

Корректное выключение При корректном выключении системы вредоносное

программное обеспечение может удалить различные свидетельства

Выключаем питание При отключении питания можно повредить файловую

систему или, к примеру, прервать процесс копирования данных из памяти на жесткий диск

Работающая система В общем, при выключении системы теряется

информация, которая хранится во временной памяти или, в случае с шифрованием данных, можно столкнуться с проблемой того, что расшифрованная информация становится недоступной

Восстанавливаем пароль root-а

init=/bin/bash mount –o remount,rw / less/vim/nano/passwd sync; sync

drink.zip

unzip drink.pcap

ICMP payload

Rfc792 Echo or Echo Reply Message

Malware: Поиск

Хеширование Сетевая активность Журналы …

Homework

/drink.pcap найти и разобрать malware

Решения на ggritsai@ptsecurity.ru

Hackerspaces!

secsem.blogspot.com

secsem.blogspot.com

FIN