digitalna forenzika - lusylusy.fri.uni-lj.si/files/courses/fri-courses/forenzika/prosojnice/... ·...
Post on 06-Feb-2018
269 Views
Preview:
TRANSCRIPT
1/2/17
1
DigitalnaforenzikaAndrejBrodnik
AndrejBrodnik:Digitalnaforenzika
Računalnik
poglavje15• pričakovanopredznanje:• arhitekturaračunalnikov• osnovedelovanja(BIOS)• operacijskisistem• sekundarnipomnilnik(disk)innjegovaorganizacija• datotečnisistemi
AndrejBrodnik:Digitalnaforenzika
Zagonračunalnika
• korakiobzagonuračunalnika• obzagonusesprožiBIOS(BasicInputOutputSystem)• OpenFirmware(MacPowerPC),EFI(MacIntel),OpenBootPROM(Sun),…
• tanarediPOST(PowerOnSelfTest)
• podatkiodelovanjusoshranjenivxROM• včasihgesloščitipodatke– dobitigeslooduporabnika
AndrejBrodnik:Digitalnaforenzika
1/2/17
2
Zagonračunalnika...
• primerMoussawi:
Računalnikjebilzelodolgoshranjeninsejespraznilabaterijanamatičniplošči.
Dostopbilmogočspomočjopodatkov,kijihsojihpridobilišepredtem,kojezmanjkalonapajanja.
• pomembnokakosopodatkikodirani• ASCII,...• tankidebelikonec
• kajsezgodi,čeodnesešdisknadrugračunalnik
AndrejBrodnik:Digitalnaforenzika
Formatdatoteke
• datotekeimajonazačetkuposebnepodpise(www.garykessler.net/library/file_sigs.html)• jpg:FFD8FFE0,aliFFD8FFE3• gif:474946383761 ali 47,ali 4946383961• doc:D0CF11E0A1B11AE1
AndrejBrodnik:Digitalnaforenzika
Formatdatoteke–primer
• jpegzakodiranaexif(Exchangeableimagefileformat)datoteka
AndrejBrodnik:Digitalnaforenzika
1/2/17
3
Formatdatoteke
• datotekajelahkognezdenavdrugidatoteki• poiščemodatoteko• jolahkooznačimoinprepišemo(copy-paste)• aliuporabimoorodjedd
• temupostopkurečemoobrezovanje/klesanje(carving)• drugaorodja:• scalpel(http://www.digitalforensicssolutions.com/Scalpel/),DataLifter(http://www.datalifter.com/)• EnCase (http://www.guidancesoftware.com/forensic.htm),FTK(ForensicToolkit,http://accessdata.com/products/computer-forensics/ftk),X-Ways(http://www.x-ways.net/)
AndrejBrodnik:Digitalnaforenzika
Izrezovanje
• nakoncudobimosamovsebinoinnemeta-podatkovizimenika• drugiproblemje,dasolahkopodatkirazmetanipodisku• Adroit(http://digital-assembly.com/products/adroit-photo-forensics/)
AndrejBrodnik:Digitalnaforenzika
Formatdatoteke– izziv
• Izziv: vgnezditevenodatotekodrugodatotekoterjoobjavitenaforumu.Natonajdrugikolegipoiščejovgnezdenodatotekoterjoizluščijo.Pritemuporabiteorodjeddalikakšnoodorodijomenjenihnaprejšnjistrani.• Izziv: sedajparazpršitedatotekovvečkosovinvsakegavstavitevdrugodatotekotervseobjavitenaforumu.Ponovnonajkolegipoiščejovašeporazdeljenekose.
AndrejBrodnik:Digitalnaforenzika
1/2/17
4
Shrambapodatkovinskrivanje
• V/Ienotesopriključenenaračunalnikpreko:• vodila(IDE,ATA,SATA;SCSI,firewire)• vmesnika(controller)
• vmesnikisolahkotudipametni• SMART(Self-Monitoring,Analysis,andReportingTechnology)• hranistatistikedostopovinostalipodobnipodatki• običajnonisopomembnizaforenzičnoraziskavo
AndrejBrodnik:Digitalnaforenzika
Shrambapodatkovinskrivanje
• podatketrajnoobičajnohranimonadisku• kakoizgledatrdidisk?
AndrejBrodnik:Digitalnaforenzika
Shrambapodatkovinskrivanje
• kakojeorganizirandisk?• plošče,sledi(cilindri),sektorji,gruče
• naprvisledi,prvemsektorjusonadzornipodatki(MBR,masterbootrecord)• velikost(geometrija),slabibloki,particije,...
• kakoizgledaorganizacijapriSSD?
AndrejBrodnik:Digitalnaforenzika
1/2/17
5
Shrambapodatkovinskrivanje
• Izziv: poiščiteorodjeanadiskinpoglejtekajznainzmorepočeti.
• Izziv: kakšnajestrukturaMBR?SestavitesvojMBRingaobjavitevforumu.
AndrejBrodnik:Digitalnaforenzika
Shrambapodatkovinskrivanje
• pogledvbotsektorWindows95strojazorodjemNortonDiskUtils
AndrejBrodnik:Digitalnaforenzika
Shrambapodatkovinskrivanje
• poenostavljenaorganiziranostdiskazdatotečnimsistemomFAT
AndrejBrodnik:Digitalnaforenzika
1/2/17
6
Shrambapodatkovinskrivanje
• particija,volumen,snopič/del• vnjejdatotečnisistem• lahkotudibrezdatotečnegasistema
AndrejBrodnik:Digitalnaforenzika
Shrambapodatkovinskrivanje
• skrivanjepodatkovzaradinotranjeinzunanjefragmentacije:• skrivanjeznotrajsektorja(bloka)– težkoinneobičajno• skrivanjeznotrajgruče• skrivanjeznotrajparticije(particijeseobičajnozačnejonazačetkusledi• skrivanjeparticije
• kriptiranjeparticije• servisnipodatki:DCO(Drive/deviceconfigurationoverlay)inHPA(Host/hiddenprotectedarea)–http://www.forensicswiki.org/wiki/DCO_and_HPA
AndrejBrodnik:Digitalnaforenzika
Shrambapodatkovinskrivanje
• virusskritvpraznemkoncuparticije(volumeslack)
AndrejBrodnik:Digitalnaforenzika
1/2/17
7
Shrambapodatkovinskrivanje
• kojedatotekaizbrisana,podatkineizginejo• tudi,koformatiramodisk,podatkineizginejo• poglejteorodjefdisk
• rezultatobehoperacijjepravilendatotečnisisteminkopicapraznihblokov
• orodja:sleuthkit (http://www.sleuthkit.org/),NortonDiskEdit,…
AndrejBrodnik:Digitalnaforenzika
Shrambapodatkovinskrivanje
• primerrekonstrukcijedatoteknasvežeformatiranemdiskuzorodjemEnCase
AndrejBrodnik:Digitalnaforenzika
Shrambapodatkovinskrivanje
• Izziv: poglejtekakoizgledaMBRinbootsektornavašemračunalnikuzustreznimorodjem.Poročajteotemnaforumu.• Izziv: preveritekonfiguracijovašegadiska.
AndrejBrodnik:Digitalnaforenzika
1/2/17
8
Skrivanjepodatkov
• skrivanjeparticij• orodjeTestDisk(http://www.cgsecurity.org/)
• naravnidatotek• skrivanjedatotek:npr.MSWindows:attrib+H indir/AH• parlament.jpg->test.exe• slikovpredstavitev(ppt)
• najnovejšaorodja
AndrejBrodnik:Digitalnaforenzika
Geslainkriptiranje
• orodjazarazbijanjeiniskanjegesel• PasswordRecoveryTool– PRTKinDistributedNetworkAttack– DNA(http://accessdata.com/products/computer-forensics/decryption)• JohntheRipper(www.openwall.com/john/)• CainandAbel(www.oxid.it/cain.html)• AdvancedArchivePasswordRecovery(www.elcomsoft.com/azpr.html)
AndrejBrodnik:Digitalnaforenzika
Geslainkriptiranje
• večokriptiranjuinkriptografijikasneje• nekajprimerov• orodjecaesar,rot13• podporazaPGP• orodjecrypt
AndrejBrodnik:Digitalnaforenzika
1/2/17
9
OSWindows
poglavje17• datotečnisistemi• reševanjepodatkov• zabeležke(logfiles)• register• komunikacijskesledi
AndrejBrodnik:Digitalnaforenzika
OSWindows– datotečnisistemi
• dvaosnovnasistemaFAT(FileAllocationTable)inNTFS(NewTechnologyFileSystem)
• FAT• razvitnajprejzagibkediske(diskete)• FAT12,FAT16,FAT32
AndrejBrodnik:Digitalnaforenzika
DatotečnisistemFAT
• FATxxjepovezanseznamindeksovgruč,vkaterihjeshranjenaposameznadatoteka• xxpomeništevilobitovuporabljenihzaindeks• 12=212=4096,16=216=65.536,32=228=268.435.456
AndrejBrodnik:Digitalnaforenzika
1/2/17
10
DatotečnisistemFAT
• pogledkorenadatotečnegasistemanagibkemdiskuspomočjoprogramaX-Ways• hraničastvorjenjainzadnjespremembealedatumzadnjegadostopa
AndrejBrodnik:Digitalnaforenzika
FAT
AndrejBrodnik:Digitalnaforenzika
DatotečnisistemFAT
• Izziv: samipoglejtekakoizgledaFATnavašemdisku.Poglejtešeposebejtistegruče,kisoprazne– nisodelnobenegadatotečnegasistema.
AndrejBrodnik:Digitalnaforenzika
1/2/17
11
DatotečnisistemNTFS
• sodobnejšidatotečnisistem• vsejevdatotekah• podatkeodatotekahhranivsistemskihdatoteki$MFT• imenikjesamodatoteka(Bdrevesnastruktura)• jednevniškidatotečnisistem(journal)inhranitransakcijenaddatotekovsistemskidatoteki$LogFile
• podpiravečfunkcionalnostiglededatotek• pravicadostopa(ACL– AccessControlList)
• boljevarovan,sajhranikopijepodatkovodatotečnemsistemunavečihmestih($MFTMirr)
AndrejBrodnik:Digitalnaforenzika
DatotečnisistemNTFS
AndrejBrodnik:Digitalnaforenzika
DatotečnisistemNTFS
• Izziv: poiščitevsvojemNTFSsistemugruče,kisoprazne(neuporabljene)innatopoglejtenjihovovsebino.
AndrejBrodnik:Digitalnaforenzika
1/2/17
12
NTFS– $MFT
• primerenegazapisav$MFT• zapissestojiizprilastkov(attributes)• zapisjevelik1kB• čejedatotekamajhna,sehranikarvzapisu• pribrisanjusamozastavicainpotemsezapisponovnouporabi
AndrejBrodnik:Digitalnaforenzika
NTFS– iskanjepodatkov
• pridatotekiobstajapojemfizičnevelikostivelikosti(gruče),logičnevelikosti(zapisvimeniku)inpojemkoncadatoteke(EOF)
AndrejBrodnik:Digitalnaforenzika
NTFS– MFTzapis
• poglednaMFTzapisinrazlikamedobemavelikostima
AndrejBrodnik:Digitalnaforenzika
1/2/17
13
NTFS– iskanjepodatkov
• vimenikulahkoobstajajodatotekezenakimiimeni
AndrejBrodnik:Digitalnaforenzika
DatotečnisistemNTFS
• Izziv: kateregručesestavljajovašodatoteko?• Izziv:poiščitezasedenaneuporabljendelvašedatoteke(nakaterihgručah)inkajvnjem.• Izziv: Kajsezgodi,čenaredimo1000datotek,jihnato1000pobrišemoindelamonaprej?
AndrejBrodnik:Digitalnaforenzika
Kodiranječasapridatotekah
• FAT:1.1.1980+LLLLLLLMMMMDDDDDhhhhhmmmmmmsssss
AndrejBrodnik:Digitalnaforenzika
1/2/17
14
Kodiranječasapridatotekah
• FILETIME• 64bitnizapis• vrednost=1.1.1600+število*100ns
AndrejBrodnik:Digitalnaforenzika
NTFS– sledidatotek
• različneoperacijerazličnovplivajonazabeleženečasevimeniku(tvorjenje– TV,zadnjidostop– ZD,zadnjasprememba– ZS,zapisspremenjen(NTFS)– VS):• premikdatotekevsnopiču:nevplivananič• premikdatotekevdrugisnopič:TV,ZD,VS• kopiranjedatoteke(ciljnadatoteka):TV,ZD,VS• odreži&prilepi(cut&paste):ZD(*)• primi&potegni(drag&drop):ZD(*)• zbriši:ZD,VS
• posebnosti:• datotekanapalčki,lahkoprekoscp/...:TV>ZS• pribrisanjuimenika,sepodatkiodatotekahnespreminjajo
AndrejBrodnik:Digitalnaforenzika
NTFS– sledidatotek...
• vsebinapisarniškihdatotekvsebujemetapodatkeizimenika• Shranikot:čenaistodatoteko,gredejanskozaprepisinnezatvorjenjenovedatotekevimeniku,nepavdatoteki
• tiskanjenajprejprepišedatotekovposebenimenikterjošelenatonatisne• C:\Windows\Spool\Printers,C:\WinNT\System32\Spool\Printers• tudi,kotiskamospletnovsebinoipd.
AndrejBrodnik:Digitalnaforenzika
1/2/17
15
NTFS– sledidatotek...
• Izziv: najditedatoteko,kiimačastvorjenjavečjiodčasazadnjespremembe.• Izziv: Kajlahkorečete,čeimanekdotakšnodatotekonasistemuinimačaszadnjegadostopaenakčasutvorjenja?• Izziv: kajjetoEMFnačintiskanja?Kajsevtemprimerushranivdatotekitiskalniškevrste(spooler)?
AndrejBrodnik:Digitalnaforenzika
Reševanjepodatkov• reševanjeizbrisanihdatotek• različnaorodja,kijihlahkopoganjamonaWindowsOS
AndrejBrodnik:Digitalnaforenzika
� orodjeSleuthKitvkombinaciji zAutopsyBrowseromogočacelopregledovanjeprekobrskalnika(http://www.sleuthkit.org/autopsy/)
Reševanjepodatkov...
• Izziv: namestitesleuthkitinAutopsyBrowserinpoiščiteizgubljenedatoteke.
AndrejBrodnik:Digitalnaforenzika
1/2/17
16
Reševanjepodatkov...
• iskanjeizgubljenihdatotekizvelikeneoblikovanegmote• enakokotobrezovanjudatotek
AndrejBrodnik:Digitalnaforenzika
• orodje DataLifter:iščemoizgubljenodatotekoizdvehgmotpraznegaprostorainenegapreostankadatotečnegasistema
Reševanjepodatkov...
• čemajhnadatotekaprepiševeliko,lahkovečinovelikedatotekerekonstruiramo
AndrejBrodnik:Digitalnaforenzika
• enCase:primernakupoval-negavozičkavCDUniverse,kisejeznašelvpreostankudatotečnegaprostora
Zabeležke(logfiles)
• operacijskisistem(odvisnoodnastavitev)beležimarsikaj• dostopidovirov,• pojavljanjeinbrisanjevirov,• napakeitd.
• shranjenena%systemroot%\system32\config (c:\winnt\...)• različnezabelžkevrazličnihdatotekah:Appevent.evt,Secevent.evt,Sysevent.evt
AndrejBrodnik:Digitalnaforenzika
1/2/17
17
Zabeležke
• Izziv: preveriteformatevtdatotekeinpoglejte,kdajvnjih,kdajsteseprijavilivsistem.
AndrejBrodnik:Digitalnaforenzika
Register
• vOSWindowssospremenljivkeokoljaprocesadefiniranevregistru• dejanskosopodatkishranjenivdatotekah(hives)vsistemskemimeniku%systemroot%\system32\config• ntuser.dat zavsakegauporabnikasvojadatoteka
• datotekelahkopregledujemozWindowsorodjemregedt32(EnCase,FTK,...)
AndrejBrodnik:Digitalnaforenzika
Register
• Izziv: preučiteforenzičnovrednostpodatkovvregistru.
AndrejBrodnik:Digitalnaforenzika
1/2/17
18
Omrežnesledi
• nekajtudiizsistemskegaokolja• obvzpostavitvipovezave,...
• večinaizviraneposrednoizaplikacij• brskalniki,poštniagenti,...
AndrejBrodnik:Digitalnaforenzika
Omrežnesledi- brskalniki
• zgodovina:• firefox-3jehranilzgodovinovsqlitepodatkovnibaziPlaces.sqlite• internetexplorerhranizgodovinovindex.dat• orodjasonavoljozaiskanjepotehbazah:Oddesa(www.odessa.sourceforge.net)
• lokalni predpomnilnik• piškoti
AndrejBrodnik:Digitalnaforenzika
Brskalniki– piškoti
• primerpregledapiškotovzCookieView(www.digitaldetective.co.uk)
AndrejBrodnik:Digitalnaforenzika
1/2/17
19
Brskalniki
• Izziv: poiščitekakšniostankevsvojempredpomnilnikuinjihpreveritezzgodovinobrskanja.• Izziv: dobiteodprijateljadatotekozzgodovinonjegvegabrskalnikainjorazvozljajte.• Izziv: preveritekakšnevsesledipuščabrskalnikIE,kakšneMozillainkakšneOpera.
AndrejBrodnik:Digitalnaforenzika
E-pošta
• sledisoodvisneodpoštnegaagenta,kigauporabljamo• poslanainprejetapošta• povzetkiIMAPnabiralnikov
• vsebina,kijezanimiva• samobesedilopošte• priponke(!)– MIMEformat
AndrejBrodnik:Digitalnaforenzika
Drugiprogrami
• različniprogramipuščajorazličnesledi• omrežnoprogramje• dostopdodrugihsistemov• dostopdrugihsistemovdonašegasistema
• sistemskiprogramipuščajosledivregistru
AndrejBrodnik:Digitalnaforenzika
1/2/17
20
Slediomrežnegadostopa
• telnetdostopdoacf2.nyu.edu
AndrejBrodnik:Digitalnaforenzika
top related