Digitalna forenzika - University of Ljubljana › files › courses › fri-courses ›...

DigitalnaforenzikaAndrejBrodnik

AndrejBrodnik:Digitalnaforenzika

Računalnik

poglavje15• pričakovanopredznanje:

• arhitekturaračunalnikov• osnovedelovanja(BIOS)• operacijskisistem• sekundarnipomnilnik(disk)innjegovaorganizacija• datotečnisistemi


Zagonračunalnika

• korakiobzagonuračunalnika• obzagonusesprožiBIOS(BasicInputOutputSystem)

• OpenFirmware(MacPowerPC),EFI(MacIntel),OpenBootPROM(Sun),…

• tanarediPOST(PowerOnSelfTest)

• podatkiodelovanjusoshranjenivxROM• včasihgesloščitipodatke– dobitigeslooduporabnika


Zagonračunalnika...

• primerMoussawi:

Računalnikjebilzelodolgoshranjeninsejespraznilabaterijanamatičniplošči.

Dostopbilmogočspomočjopodatkov,kijihsojihpridobilišepredtem,kojezmanjkalonapajanja.

• pomembnokakosopodatkikodirani• ASCII,...• tankidebelikonec

• kajsezgodi,čeodnesešdisknadrugračunalnik


Formatdatoteke

• datotekeimajonazačetkuposebnepodpise(www.garykessler.net/library/file_sigs.html)• jpg:FFD8FFE0,aliFFD8FFE3• gif:474946383761 ali 47,ali 4946383961• doc:D0CF11E0A1B11AE1


Formatdatoteke–primer

• jpegzakodiranaexif(Exchangeableimagefileformat)datoteka


Formatdatoteke

• datotekajelahkognezdenavdrugidatoteki• poiščemodatoteko• jolahkooznačimoinprepišemo(copy-paste)• aliuporabimoorodjedd

• temupostopkurečemoobrezovanje/klesanje(carving)• drugaorodja:

• scalpel(http://www.digitalforensicssolutions.com/Scalpel/),DataLifter(http://www.datalifter.com/)• EnCase (http://www.guidancesoftware.com/forensic.htm),FTK(ForensicToolkit,http://accessdata.com/products/computer-forensics/ftk),X-Ways(http://www.x-ways.net/)


Izrezovanje

• nakoncudobimosamovsebinoinnemeta-podatkovizimenika• drugiproblemje,dasolahkopodatkirazmetanipodisku

• Adroit(http://digital-assembly.com/products/adroit-photo-forensics/)


Formatdatoteke– izziv

• Izziv: vgnezditevenodatotekodrugodatotekoterjoobjavitenaforumu.Natonajdrugikolegipoiščejovgnezdenodatotekoterjoizluščijo.Pritemuporabiteorodjeddalikakšnoodorodijomenjenihnaprejšnjistrani.• Izziv: sedajparazpršitedatotekovvečkosovinvsakegavstavitevdrugodatotekotervseobjavitenaforumu.Ponovnonajkolegipoiščejovašeporazdeljenekose.


Shrambapodatkovinskrivanje

• V/Ienotesopriključenenaračunalnikpreko:• vodila(IDE,ATA,SATA;SCSI,firewire)• vmesnika(controller)

• vmesnikisolahkotudipametni• SMART(Self-Monitoring,Analysis,andReportingTechnology)• hranistatistikedostopovinostalipodobnipodatki• običajnonisopomembnizaforenzičnoraziskavo



• podatketrajnoobičajnohranimonadisku• kakoizgledatrdidisk?



• kakojeorganizirandisk?• plošče,sledi(cilindri),sektorji,gruče

• naprvisledi,prvemsektorjusonadzornipodatki(MBR,masterbootrecord)• velikost(geometrija),slabibloki,particije,...

• kakoizgledaorganizacijapriSSD?



• Izziv: poiščiteorodjeanadiskinpoglejtekajznainzmorepočeti.

• Izziv: kakšnajestrukturaMBR?SestavitesvojMBRingaobjavitevforumu.



• pogledvbotsektorWindows95strojazorodjemNortonDiskUtils



• poenostavljenaorganiziranostdiskazdatotečnimsistemomFAT



• particija,volumen,snopič/del• vnjejdatotečnisistem• lahkotudibrezdatotečnegasistema



• skrivanjepodatkovzaradinotranjeinzunanjefragmentacije:• skrivanjeznotrajsektorja(bloka)– težkoinneobičajno• skrivanjeznotrajgruče• skrivanjeznotrajparticije(particijeseobičajnozačnejonazačetkusledi• skrivanjeparticije

• kriptiranjeparticije• servisnipodatki:DCO(Drive/deviceconfigurationoverlay)inHPA(Host/hiddenprotectedarea)–http://www.forensicswiki.org/wiki/DCO_and_HPA



• virusskritvpraznemkoncuparticije(volumeslack)



• kojedatotekaizbrisana,podatkineizginejo• tudi,koformatiramodisk,podatkineizginejo

• poglejteorodjefdisk• rezultatobehoperacijjepravilendatotečnisisteminkopicapraznihblokov

• orodja:sleuthkit (http://www.sleuthkit.org/),NortonDiskEdit,…



• primerrekonstrukcijedatoteknasvežeformatiranemdiskuzorodjemEnCase



• Izziv: poglejtekakoizgledaMBRinbootsektornavašemračunalnikuzustreznimorodjem.Poročajteotemnaforumu.• Izziv: preveritekonfiguracijovašegadiska.


Skrivanjepodatkov

• skrivanjeparticij• orodjeTestDisk(http://www.cgsecurity.org/)

• naravnidatotek• skrivanjedatotek:npr.MSWindows:attrib+H indir/AH• parlament.jpg->test.exe• slikovpredstavitev(ppt)

• najnovejšaorodja


Geslainkriptiranje

• orodjazarazbijanjeiniskanjegesel• PasswordRecoveryTool– PRTKinDistributedNetworkAttack– DNA(http://accessdata.com/products/computer-forensics/decryption)• JohntheRipper(www.openwall.com/john/)• CainandAbel(www.oxid.it/cain.html)• AdvancedArchivePasswordRecovery(www.elcomsoft.com/azpr.html)


Geslainkriptiranje

• večokriptiranjuinkriptografijikasneje• nekajprimerov

• orodjecaesar,rot13• podporazaPGP• orodjecrypt


OSWindows

poglavje17• datotečnisistemi• reševanjepodatkov• zabeležke(logfiles)• register• komunikacijskesledi


OSWindows– datotečnisistemi

• dvaosnovnasistemaFAT(FileAllocationTable)inNTFS(NewTechnologyFileSystem)

• FAT• razvitnajprejzagibkediske(diskete)• FAT12,FAT16,FAT32


DatotečnisistemFAT

• FATxxjepovezanseznamindeksovgruč,vkaterihjeshranjenaposameznadatoteka• xxpomeništevilobitovuporabljenihzaindeks• 12=212=4096,16=216=65.536,32=228=268.435.456


DatotečnisistemFAT

• pogledkorenadatotečnegasistemanagibkemdiskuspomočjoprogramaX-Ways• hraničastvorjenjainzadnjespremembealedatumzadnjegadostopa


FAT


DatotečnisistemFAT

• Izziv: samipoglejtekakoizgledaFATnavašemdisku.Poglejtešeposebejtistegruče,kisoprazne– nisodelnobenegadatotečnegasistema.


DatotečnisistemNTFS

• sodobnejšidatotečnisistem• vsejevdatotekah• podatkeodatotekahhranivsistemskihdatoteki$MFT• imenikjesamodatoteka(Bdrevesnastruktura)• jednevniškidatotečnisistem(journal)inhranitransakcijenaddatotekovsistemskidatoteki$LogFile

• podpiravečfunkcionalnostiglededatotek• pravicadostopa(ACL– AccessControlList)

• boljevarovan,sajhranikopijepodatkovodatotečnemsistemunavečihmestih($MFTMirr)



• Izziv: poiščitevsvojemNTFSsistemugruče,kisoprazne(neuporabljene)innatopoglejtenjihovovsebino.


NTFS– $MFT

• primerenegazapisav$MFT• zapissestojiizprilastkov(attributes)• zapisjevelik1kB• čejedatotekamajhna,sehranikarvzapisu• pribrisanjusamozastavicainpotemsezapisponovnouporabi


NTFS– iskanjepodatkov

• pridatotekiobstajapojemfizičnevelikostivelikosti(gruče),logičnevelikosti(zapisvimeniku)inpojemkoncadatoteke(EOF)


NTFS– MFTzapis

• poglednaMFTzapisinrazlikamedobemavelikostima


NTFS– iskanjepodatkov

• vimenikulahkoobstajajodatotekezenakimiimeni



• Izziv: kateregručesestavljajovašodatoteko?• Izziv:poiščitezasedenaneuporabljendelvašedatoteke(nakaterihgručah)inkajvnjem.• Izziv: Kajsezgodi,čenaredimo1000datotek,jihnato1000pobrišemoindelamonaprej?


Kodiranječasapridatotekah

• FAT:1.1.1980+LLLLLLLMMMMDDDDDhhhhhmmmmmmsssss


Kodiranječasapridatotekah

• FILETIME• 64bitnizapis• vrednost=1.1.1600+število*100ns


NTFS– sledidatotek

• različneoperacijerazličnovplivajonazabeleženečasevimeniku(tvorjenje– TV,zadnjidostop– ZD,zadnjasprememba– ZS,zapisspremenjen(NTFS)– VS):• premikdatotekevsnopiču:nevplivananič• premikdatotekevdrugisnopič:TV,ZD,VS• kopiranjedatoteke(ciljnadatoteka):TV,ZD,VS• odreži&prilepi(cut&paste):ZD(*)• primi&potegni(drag&drop):ZD(*)• zbriši:ZD,VS

• posebnosti:• datotekanapalčki,lahkoprekoscp/...:TV>ZS• pribrisanjuimenika,sepodatkiodatotekahnespreminjajo


NTFS– sledidatotek...

• vsebinapisarniškihdatotekvsebujemetapodatkeizimenika• Shranikot:čenaistodatoteko,gredejanskozaprepisinnezatvorjenjenovedatotekevimeniku,nepavdatoteki

• tiskanjenajprejprepišedatotekovposebenimenikterjošelenatonatisne• C:\Windows\Spool\Printers,C:\WinNT\System32\Spool\Printers• tudi,kotiskamospletnovsebinoipd.


NTFS– sledidatotek...

• Izziv: najditedatoteko,kiimačastvorjenjavečjiodčasazadnjespremembe.• Izziv: Kajlahkorečete,čeimanekdotakšnodatotekonasistemuinimačaszadnjegadostopaenakčasutvorjenja?• Izziv: kajjetoEMFnačintiskanja?Kajsevtemprimerushranivdatotekitiskalniškevrste(spooler)?


Reševanjepodatkov

• reševanjeizbrisanihdatotek• različnaorodja,kijihlahkopoganjamonaWindowsOS


� orodjeSleuthKitvkombinaciji zAutopsyBrowseromogočacelopregledovanjeprekobrskalnika(http://www.sleuthkit.org/autopsy/)

Reševanjepodatkov...

• Izziv: namestitesleuthkitinAutopsyBrowserinpoiščiteizgubljenedatoteke.



• iskanjeizgubljenihdatotekizvelikeneoblikovanegmote• enakokotobrezovanjudatotek


• orodje DataLifter:iščemoizgubljenodatotekoizdvehgmotpraznegaprostorainenegapreostankadatotečnegasistema


• čemajhnadatotekaprepiševeliko,lahkovečinovelikedatotekerekonstruiramo


• enCase:primernakupoval-negavozičkavCDUniverse,kisejeznašelvpreostankudatotečnegaprostora

Zabeležke(logfiles)

• operacijskisistem(odvisnoodnastavitev)beležimarsikaj• dostopidovirov,• pojavljanjeinbrisanjevirov,• napakeitd.

• shranjenena%systemroot%\system32\config (c:\winnt\...)• različnezabelžkevrazličnihdatotekah:Appevent.evt,Secevent.evt,Sysevent.evt


Zabeležke

• Izziv: preveriteformatevtdatotekeinpoglejte,kdajvnjih,kdajsteseprijavilivsistem.


Register

• vOSWindowssospremenljivkeokoljaprocesadefiniranevregistru• dejanskosopodatkishranjenivdatotekah(hives)vsistemskemimeniku%systemroot%\system32\config• ntuser.dat zavsakegauporabnikasvojadatoteka

• datotekelahkopregledujemozWindowsorodjemregedt32(EnCase,FTK,...)


Register

• Izziv: preučiteforenzičnovrednostpodatkovvregistru.


Omrežnesledi

• nekajtudiizsistemskegaokolja• obvzpostavitvipovezave,...

• večinaizviraneposrednoizaplikacij• brskalniki,poštniagenti,...


Omrežnesledi- brskalniki

• zgodovina:• firefox-3jehranilzgodovinovsqlitepodatkovnibaziPlaces.sqlite• internetexplorerhranizgodovinovindex.dat• orodjasonavoljozaiskanjepotehbazah:Oddesa(www.odessa.sourceforge.net)

• lokalni predpomnilnik• piškoti


Brskalniki– piškoti

• primerpregledapiškotovzCookieView(www.digitaldetective.co.uk)


Brskalniki

• Izziv: poiščitekakšniostankevsvojempredpomnilnikuinjihpreveritezzgodovinobrskanja.• Izziv: dobiteodprijateljadatotekozzgodovinonjegvegabrskalnikainjorazvozljajte.• Izziv: preveritekakšnevsesledipuščabrskalnikIE,kakšneMozillainkakšneOpera.


E-pošta

• sledisoodvisneodpoštnegaagenta,kigauporabljamo• poslanainprejetapošta• povzetkiIMAPnabiralnikov

• vsebina,kijezanimiva• samobesedilopošte• priponke(!)– MIMEformat


Drugiprogrami

• različniprogramipuščajorazličnesledi• omrežnoprogramje

• dostopdodrugihsistemov• dostopdrugihsistemovdonašegasistema

• sistemskiprogramipuščajosledivregistru


Slediomrežnegadostopa

• telnetdostopdoacf2.nyu.edu


Digitalna forenzika - University of Ljubljana › files › courses › fri-courses ›...

Documents

Transcript of Digitalna forenzika - University of Ljubljana › files › courses › fri-courses ›...