it forensik
DESCRIPTION
Mazur Lukas Pitscheider Guido Fh Stp – IT SECURITY 06. IT Forensik. Agenda. Was ist IT-Forensik? Wo/Was soll ich suchen? Analysearten Forensik-Distributionen Tools im Detail Limitations Info-Quellen Vorführung. Was ist IT-Forensik?. Spuren auf IT-Systemen / Netzwerken - PowerPoint PPT PresentationTRANSCRIPT
Mazur Lukas
Pitscheider Guido
Fh Stp – IT SECURITY 06
Agenda
Was ist IT-Forensik? Wo/Was soll ich suchen? Analysearten Forensik-Distributionen Tools im Detail Limitations Info-Quellen Vorführung
Was ist IT-Forensik?
Spuren auf IT-Systemen / Netzwerken Suchen / Auswerten / Dokumentieren
Klassische Fragen (W-Fragen)Motivation des „Angreifers“
Zusammenhänge erkennen/beweisen Schwachstellen identifizieren
Wo/Was soll ich suchen?Was soll ich suchen? Log-Files / Event-Logs Zeitstempel beachten Browser-cache
Suchanfragen Webmail History …
Selbst verfasste Dokumente Programme/Tools
Wo soll kann ich (noch) suchen ADS Unallocated Space Slack Space Steganografie
Analysearten Online
Laufendes SystemFlüchtiger Speicher
○ RAM○ Cache○ Netzwerk
OfflineMassenspeicherKeine Änderungen
Online – Analyse
VorteileKompletter SystemzustandLaufende ApplikationenCrypt-FS / Encrypted Files
NachteileVeränderung des SystemsTransport i.a. nicht möglich„Fallen“
Offline - Analyse
VorteileKeine ÄnderungenWiederholbarkeit der AnalyseParallelisieren der Arbeit möglichTransport leicht möglich
NachteileFlüchtige Daten verloren
(Dienste, RAM, Netzwerk, Passwörter)
Vorgangsweise - Online CD-Tools nutzen RAM-Dump
Laufende Programme○ Outlook, Webmail,…
ARP-TableNetstatDns-cache
!!!! Mit jeder Tätigkeit kompromittiere !!!!!!!! ich das System !!!!
Vorgangsweise - Offline Datenträger-Image
Write-Blocker Prüfsumme bilden
„Hashen“ Auf Kopie arbeiten
Mount … -r Am Ende Prüfsumme
vergleichenWenn ungleich =>Image kompromittiert
und somit ungültig!
Distributionen Helix
Debian-basierte Linux DistributionForensik Tools für AnalyseBootfähiges Live – System (CD-ROM)Gute DokumentationLaufende WeiterentwicklungWindows Tools inkludiert
WeitereAuditor…
Tools im Detail Imaging:
dd○ Das non-plus-ultra imaging tool ○ Auch übers Netz mittels netcat!
Bsp: ○ Suspect PC: #dd if=/dev/sda | pipebench | gzip -fast | netcat -l -p 2000
○ Client#netcat 192.168.x.x 2000 | gunzip | pipebench > /dump/img.dd
Tools im Detail Prüfsummen über Platten
und Image-Dateien
# md5sum img.dd# md5sum /dev/sda# sha1sum img.dd# sha1sum /dev/hda
Partitionierung / KlassifizierungFdiskdisktype
Tools im Detail
Textsuche Kontext / Stichwort-Liste sollte bekannt /
vorbereitet sein
BSP: Namen, Telefonnummern, Mail, Drogen, Waffen, Terror, Bomben, Al-Kaida
Bsp: (sehr einfach)
#cat img.dd | strings | egrep -i -f keywords.txt
Tools im Detail Strings / ifind / istat
Strings: „Suche den Byteoffset mit dem Keyword“Ifind: „Zeige mir den Inode zu dem Datenblock“ Istat: „Zeite mir die Inode-Infomationen zu dem
Inode“ (Filename, Blocks,…)
Bsp: cat img.dd | strings –el | egrep <keyword> ifind –d (byteoffset/fs-blocksize) img.dd istat img.dd <inode>
Tools im Detail
FS BlöckeVoll belegt (Files)Teilweise belegt (slackspace)Nicht belegt (unallocated, gelöscht)
# dls /dev/loop1 > unallocated.dd# dls –s /dev/loop1 > slackspace.dd
Tools im Detail
Undelete
NTFS: ntfsundeleteFAT/EXT: Sleuthkit
Ntfsundelete /dev/loop1 Ntfsundelete /dev/loop1 –u <inode> -d /recovery
Tools im Detail
Undelete Magicrescue
○ Anhand von Filesignaturen(recipies) werden Files recovered (unallocated-space)
○ Bsp: magicrescue –r /KNOPPIX/usr/local/share/
magicrescue/recipes/zip –d /unallocated.dd
Weitere Toolsforemost
Tools im Detail
Archivezip, bzip, tar…
Falls Passwort geschützt○ Fcrackzip
○ Bsp: # fcrackzip -D -p /usr/share/dict/french -u /archive.dll
Alternative Data Streams Man kann auf NTFS Datenträgern ADS an
normale Files anhängen ohne diese zu überschreiben / Größe ändern, …
=> tolle Möglichkeit Informationen zu verstecken
Tools zum Finden von ADS: LadsFfind
ADS in der Praxis
Limitations Nicht alles was man bei CSI sieht ist
auch in der Realität möglich!
Verbrannte Festplatten Allgemein HW-DefekteEncrypted Files
○ PGPEncrypted FileSystems
○ Truecrypt○ EFS
Infoquellen
http://www.d-fence.be/ http://www.linux-forensics.com/ http://www.forensicswiki.org/wiki/Main_Page http://www.computerforensicsworld.com/ http://www.forensicfocus.com/ http://www.forensics.nl/
http://www.d-fence.be http://www.lnx4n6.be
Vorführung
Zurücklehnen
&
Partizipieren
Vielen Dank für Ihre Aufmerksamkeit!