Vorstellung Unternehmen Qualität Portfolio Vorgehen Zeitpläne.
Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.
-
Upload
frieda-dresner -
Category
Documents
-
view
104 -
download
2
Transcript of Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.
![Page 1: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/1.jpg)
Computer Forensics
Einleitung
Basics
Vorgehen
Analyse
(c) Walt Disney
![Page 2: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/2.jpg)
2
Heute
Vortrag über „Computer Forensics“ Bedeutung, Motivation Vorgehen bei forensischer Analyse
Praktische Gruppenarbeit Detektivarbeit! Angegriffenes System analysieren Wer? Wie? Wann? Was?
Diskussion, Wissensaustausch
Einleitung
Basics
Vorgehen
Analyse
(c) Earthlink
![Page 3: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/3.jpg)
3
Vortragsübersicht
Einleitung, Motivation „Basics“ Vorgehensweise Eigentliche Analyse Zusammenfassung
Einleitung
Basics
Vorgehen
Analyse
![Page 4: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/4.jpg)
4
Computer Forensics = ?
Duden: Forensisch = gerichtlich
Allgemeinere Definition:„Gathering and analysing data in a manner as
free from distortion or bias as possible to reconstruct data or what has happened in the past on a system“
Einleitung
Basics
Vorgehen
Analyse
![Page 5: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/5.jpg)
5
Ziele
System analysieren Beweise Wer, Wann, Was, Wo, Wie?
Ereignisse im befallenen System Rekonstruieren Zeitlich ordnen
Konsequenzen ziehen Patches Updates
Einleitung
Basics
Vorgehen
Analyse
(c) Apple
![Page 6: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/6.jpg)
6
Forensische Grundsätze
Datenverlust minimieren System ausschalten? Vom Netz trennen?
Daten 1:1 kopieren Memory Partitionen (Harddisks)
Nur Kopien analysieren Erkenntnisse und Vorgehensweise notieren
Einleitung
Basics
Vorgehen
Analyse
![Page 7: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/7.jpg)
7
Ein paar „DON‘Ts“
Keine laufende Prozesse „killen“
Nie auf original Datenträger schreiben
Keine Befehle ausführen Trojaner!
Keine neue Software installieren
Einleitung
Basics
Vorgehen
Analyse
![Page 8: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/8.jpg)
8
Ausrüstung „Notkoffer“
„Sauberen“ Computer Vorzugsweise Linux Aktuellste Patches/Updates
Hardware Netzwerkkarte, CDRW, ... Harddisc: Genügend Platz für Images!
Zusätzlich: Hub, Netzwerkkabel, ... Floppy/CDROM mit wichtigsten Tools
Einleitung
Basics
Vorgehen
Analyse
![Page 9: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/9.jpg)
9
Vorgehensweise
Vorbereitung („Notkoffer“) Identifikation (Angriff?)
Dead oder Live System Daten sichern, Beweise sicherstellen Kopien (Images) „mounten“ System analysieren Konsequenzen ziehen
Einleitung
Basics
Vorgehen
Analyse
![Page 10: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/10.jpg)
10
Dead vs. Live System
Befallenes System Runterfahren (Dead System) Laufen lassen (Live System)
Bevorzugt: Live System Memory Dump möglich Laufende Prozesse Network Monitoring
Einleitung
Basics
Vorgehen
Analyse
![Page 11: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/11.jpg)
11
Daten sichern 1/2
Zielmedium sterilisieren Alle Daten löschen dd if=/dev/zero of=/dev/hda1
Memory Dump Daten auf Zielmedium sichern! Netcat nc... dd if= /dev/kmem of=output dd if= /dev/mem of=output
Einleitung
Basics
Vorgehen
Analyse
![Page 12: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/12.jpg)
12
Daten sichern 2/2
Harddisc Partitionen Informationen
/etc/fstab fdisk -l /dev/hda1
Format: UNIX, NTFS, ... Partitionen kopieren
dd if=/dev/hda1 of=/images/hda1.img MD5 Summe berechnen
md5sum hda1.img
Einleitung
Basics
Vorgehen
Analyse
![Page 13: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/13.jpg)
13
Images mounten
Befehlssyntax mount -o loop,ro,nodev,noexec, noatime /images/hda1.img /mnt/hda1
Nicht Linux/UNIX Partitionen mounten NTFSmount -t ntfs -o loop,ro ...
FAT16, FAT32mount –t vfat -o loop,ro ...
Einleitung
Basics
Vorgehen
Analyse
![Page 14: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/14.jpg)
14
System analysieren
Allgemeine Informationen über das System Passwort und Shadow Dateien Logfiles SUID Root Dateien Versteckte Verzeichnisse und /dev MAC-Time Analyse Wiederherstellen von gelöschten Daten
Einleitung
Basics
Vorgehen
Analyse
![Page 15: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/15.jpg)
15
System Informationen
Betriebssystem und Version /etc/issue
Zeitzone /etc/timezone
Boot Informationen /var/log/boot.log
Partitionstabelle und Zusatzinfos /etc/fstab fdisk -l /dev/hda1
Einleitung
Basics
Vorgehen
Analyse
![Page 16: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/16.jpg)
16
Passwort, Shadow Dateien
/etc/passwd Struktur: login-id:password:user-id#:group-
id#:User Info:home-dir:shell Verdächtig, z.B. Accounts ohne Passwort!
/etc/shadow Struktur: login-id:password:lastchg:min:max:
warn:inactive:expire:flag Verändert sich, nach folgenden Befehlen
passwd useradd, usermod und userdel
Einleitung
Basics
Vorgehen
Analyse
![Page 17: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/17.jpg)
17
MAC Time
MAC Time = Timestamp für Ereignisse Modified Accessed Changed
File: "passwd"Size: 1409 Blocks: 8 IO Block: 4096 Regular FileDevice: 302h/770d Inode: 212086 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root) Access: Thu Sep 11 13:55:37 2003Modify: Mon May 5 10:25:09 2003Change: Mon May 5 10:25:09 2003
bash-2.05$ stat passwd
stat: Zusatzinformationen zu File/Directory
![Page 18: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/18.jpg)
18
MAC Time Analyse mit TCT grave-robber -c /mnt -d /forensics -m -o LINUX2
Liefert wertvolle Informationen MAC Time aller Dateien in body Datei
Sequentiell ordnen: mactime
Gelöschte Inodes ils : Wiederherstellen ils2mac: MAC Time
![Page 19: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/19.jpg)
19
Zusammenfassung
Computer Forensics Methodisches Vorgehen nach Attacke Hilft uns Konsequenzen zu ziehen Prävention
Fahrlässiges Sicherheitsverhalten verändern!
![Page 20: Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.](https://reader036.fdocuments.net/reader036/viewer/2022082918/55204d7f49795902118d15d4/html5/thumbnails/20.jpg)
20
Bibliographie[1] LINUX/UNIX Tools unter Windows: http://users.erols.com/gmgarner/forensics/
[2] Forensische Computer: http://www.forensic-computers.com
[3] LINUX/UNIX Tools unter Windows: http://www.weihenstephan.de/~syring/win32/UnxUtils.html
[4] LINUX/UNIX Tools unter Windows: http://www.cygwin.com/
[5] Forensische Analyse: http://personal.ie.cuhk.edu.hk/~shlam/ssem/for/#part1
[6] Gute Tipps/Tricks zur forensischen Analyse: http://www.fish.com/forensics/class.html
[7] Infos rund um Rootkits: http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq
[8] Password Dateien: http://wks.uts.ohio-state.edu/sysadm_course/html/sysadm-238.html
[9] Shadow Datein: http://wks.uts.ohio-state.edu/sysadm_course/html/sysadm-240.html
[10] UID, GID: http://www.linuxbase.org/spec/gLSB/gLSB/usernames.html
[11] Nummerbereiche bei UID, GID: http://web.cs.ualberta.ca/systemssupport/Doc/Inprogress/uidgidrange/uidgid.txt
[12] The Coroner's Toolkit (TCT): http://www.porcupine.org/forensics/tct.html
[13] Autopsy Forensic Browser: http://www.sleuthkit.org/autopsy/download.php