Metody pozyskiwania i zabezpieczania danych w

skompromitowanych systemach Windows

KRZYSZTOF BIŃKOWSKITrener, Konsultant | Compendium CE / ISSA Polska

Agenda Dowód elektroniczny Typy zbieranych danych Zbieranie danych: dane ulotne i dane nieulotne Pozyskiwanie danych Kopia bitowa dysku twardego Tworzenie obrazu dysku / Demo Dostęp do danych z zabezpieczonego materiału / Demo Kopia bitowa pamięci RAM / Demo Kopia bitowa pamięci flash / Demo Oprogramowanie COMPUTER FORENSICS

Dowód elektroniczny

DefinicjaDowodem elektronicznym* nazywamy jakikolwiek sprzęt komputerowy, oprogramowanie lub dane, które możemy użyć, aby udowodnić dokonanie przestępstwa elektronicznego i odpowiedzieć na jedno z pytań: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne.

kompletny

prawdziwy

niepodważalny

przekonywujący

zdobyty zgodnie z prawem

*Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005

Dowód elektronicznyBrak definicji prawnej

Informacja w postaci elektronicznej o znaczeniu dowodowym

Dowód rzeczowy

Nośnik, a dowód elektroniczny

Zasada swobodnej oceny dowodów

Dowód elektroniczny - cechyŁatwość modyfikacji

Równość kopii i oryginału

Szczególne podejście

Co może być dowodem elektronicznym ?

dane tekstowe (wiadomości e-

mail)

dane numeryczne

graficzne (zdjęcia, rysunki,

schematy)

dźwiękowe (zapis rozmowy)

wizualno-dźwiękowe

(zapis kamery internetowej)

Elementy składowe dowodu elektronicznego (przykłady):

plik i jego zawartość

(wraz z metadanymi)

dane przecho-

wywane w archiwach

logidane

pochodzące z podsłuchu

informacje odzyskane

informacje ukryte (steganografia)

Proces dochodzeniowy

Ocena

Zapoznaj się z obowiązującymi procedurami i wytycznymi

Wybierz zespół specjalistów

Przygotuj się do zabezpieczania

danych

Pozyskiwanie

Przygotuj narzędzia do analizy

Zbierz i zabezpiecz dane

Zachowaj i zarchiwizuj zgromadzone dane

Analiza

Analiza danych sieciowych

Analiza danych zawartych na

nośnikach zewnętrznych

Raport

Zbierz i uporządkuj zebrane dane

Wykonaj raport

Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie

Typy zbieranych danych

Dane ulotne i nieulotne

Dane ulotne (ang. Volatile date)

Dane nieulotne (ang. non-volatile date lub

persistent data)

Zbieranie danych ulotnychZrzut pamięci RAM

Bieżący czas i data

Konfiguracja systemu, tzw. profil systemu

Bieżące procesy (running processes)

Pliki otwarte, startowe (autostart) oraz dane ze schowka

Użytkownicy zalogowani do systemu i aktualnie pracujący na serwerze

Biblioteki dynamiczne (DLL) i współdzielone

Otwarte porty i nawiązane połączenia sieciowe

Informacja na temat trasowania (ang. routing)

Rootkit’y

inne

Zbieranie danych nieulotnychNośnikami danych mogą być:

twarde dyski

dyskietki, napędy ZIP, Jazz

płyty CD/DVD

pamięci FLASH ( klucze USB, pendrive’y )

karty pamięci ( np. SD, MMC, MS, MS PRO, CF, MINI SD, XD, inne )

dyski sieciowe

taśmy

palmtopy (Windows Mobile)

telefony komórkowe

oraz inne

Pozyskiwanie danych

Wyłączony komputerSpisać protokół

Nie włączać !!!

Zaleca się wyjęcie dysków

Wykonać kopię dysków

Wykonać sumę kontrolną dysku

Wykonać sumę kontrolną kopii

Zabezpieczyć oryginalny dysk

Włączony komputerSpisać protokółWykonać zdjęcie ekranuWykonać zdjęcie otoczeniaWykonać zrzut pamięci oraz innychdanych ulotnych na nośnik zewnętrznyWykonać kopię dysku onlineWyłączyć komputerZaleca się wyjęcie dyskówWykonać kopię dysku offlineWykonać sumę kontrolną dyskuWykonać sumę kontrolną kopiiZabezpieczyć oryginalny dysk

BlokeryZabezpieczyć nośnik przed zapisem !

Bloker sprzętowy

Bloker Programowy

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor

Tworzenie obrazu dysku OFFLINE – dane nieulotone :

Zaleca się podłączenie dysku przez bloker i wykonaniekopii na stacji badającegolubUruchamiamy i bootujemy system CF z płyty CD/DVDWindows PE + własne narzędzia / Linux Live Np.. Helix, Encase (komercyjny)System Live musi montować dyski w trybie READ ONLY !!!

ONLINE – dane ulotne : Uruchamiamy program tworzący obraz z płyty CD,nośnika USB lub sieciNp.. FTK Imager

Tworzenie i składowanie kopii obrazu : Dysk twardy połączony przez IDE/SATA/USB Pendrive USB

Poprzez sieć na innym komputerze, serwerzeDostęp do dysku w trybie do odczytu

Kopia bitowa dysku

PLIK

PLIK

Pamiętajmy:Kopia nośnika musi być wykonana bit po bicie (ang. bit-for-bit) !!! Oprócz klastrów z danymi powinny zostać skopiowane pozostałe obszary takie jak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowo usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca.

Kopia dysku - narzędziaDarmowe: DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie projektu

http://www.chrysocome.net/ddNp.. dd.exe if=\\.\PhysicalDrive0 of=d:\ \plik1.img

FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB)

Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach, szczegóły licencji dostępne są na stronie producenta.

FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads

Format pliku obrazu dysku odczyt zapis

dd RAW

EnCase E01

FTK Imager logical image

Ghost (tylko nieskompresowane obrazy dysku)

ICS

SafeBack (tylko do wersji 2.0)

SMART (S01)

■

■

■

■

■

■

■

■

■

■

■

Wykonanie kopii dysku

Dostęp do danych – kopii dysku

Podłączenie obrazu dysku w systemie Windowsnp. Mount Image Pro

Uruchamianie dysku w wirtualnej maszynienp. Live View + VMware

Dostęp do danych wykonanej kopii

Kopia bitowa pamięci RAM

Czy potrzebna ?

Narzędzia:FTK Imager, MDD, Win32DD

Analiza:Volatitity, BinText, Memoryze

Kopia bitowa pamięci RAM

Kopia bitowa pamięci flash

Zabezpieczenie danych

Kopia przed analizą

Odzyskanie usuniętych danych

Odzyskanie danych z kopii pamięci flash

OprogramowanieCOMPUTERFORENSICS

Darmowe zestawy COMPUTER FORENSICS

Komercyjne programyCOMPUTER FORENSICS

WInHex

Literatura RFC3227 - Guidelines for Evidence Collection and Archiving

Fundamental Computer Investigation Guide For Windowshttp://technet.microsoft.com/en-us/library/cc162846.aspx

First Responders Guide to Computer Forensicshttp://www.sei.cmu.edu/publications/documents/05.reports/05hb001.html

First Responders Guide to Computer Forensics: Advanced Topics

http://www.sei.cmu.edu/publications/documents/05.reports/05hb003/05hb003.html

Grupa MSSUG

Tematyka najbliższych spotkań: Smart Card (warsztaty) OTP ( One Time Password)

Zapraszamy na comiesięczne spotkania w Warszawie

http://ms-groups.pl/MSSUG

Oceń moją sesję

Ankieta dostępna na stronie www.mts2009.pl

Wygraj wejściówki na następny MTS!

© 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone. Microsoft, Windows oraz inne nazwy produktów są lub mogą być znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innych krajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYM TAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.