Transcription
Linux/Unix forenzička akvizicija
Istraživanje Linux/Unix sistemaČetiri osnovna koraka forenzike Prikupljanje Čuvanje Analiziranje Prezentovanje (izveštaj)
Priprema Set alata (CD ili USB) koji sadrži pouzdaneforenzičke alate Snažna mašina sa instaliranim i forenzičkimalatima čisti disk obrisan za čuvanje stečenihdokaza.
NapomenaUvek pripremite sopstvene setove alata !! Imate posla sa kompromitovanim sistemom Pokrenite alate sa svog vlastitog USB-a ili uređaja Sačuvajte izlaz izvan kompromitovanog sistema
Forenzički alati – zajedničke karakteristike Osiguravaju forenzički ispravne operacije Obrada strukture podataka iz slike zaobilazećikernel Rad na slikama i na aktivnom sistemu
Osnovni koraci za izradu forenzičke slike Prikupljanje promenljivih podataka (uključujućiRAM) - u skladu sa politikom i prirodu slučaja Prikupljanje nepromenljivih podataka (slikemedija i prenosivi mediji)
Dobijanje promenjivih informacija Informacije o sistemuUpotreba memorijePokrenuti procesiPrijavljeni korisniciMrežne vezeKonfiguracija mrežnog interfejsa (promiskuitetnirežim?) .
Promenjivost informacije - dokaziPromenjivi DelimičnopromenjiviMemorijaSwap space ili pagefileProcesi koji se pokrećuOtvarane datotekeSkladište podataka (HDD, SSD .)Prenosivi mediji (CD, Zip, USB, itd.)Stabilni
lsof Ls open filesobična datoteka, direktorijum, posebna datoteka bloka, datoteka saposebnim znakovima, izvršne tekstualne reference, biblioteke, tokili mrežna datoteka Lsof [options] [filename/pid]KomandaRezultatlsofSvi otvoreni fajlovi koji pripadaju svim aktivnim procesimalsof –i [ipaddress]Internet konekcije koje pripadaju određenoj IP adresilsof -i 4 -a -p 1234Svi otvoreni mrežni IPv4 fajlovi koje koristi proces sa ID 1234lsof /dev/hda3Svi otvoreni fajlovi na uređaju /dev/hda3lsof /u/abe/fooPronalaženje procesa koji je otvorio /u/abe/foo
lsof – pronalaženje skrivenih prostorana disku Kreirajte proces koji otvara datoteku; prekinutivezu sa datotekom; nastavite da pišete u datotekuResursi diska ostaju u upotrebiDatoteka je nevidljiva za naredbu ls Kako identifikovati i pronaći?lsof L1 Šta se nalazi u ovoj skrivenoj datoteci?Pronađite koji proces otvara ovu datoteku pomoću lsofcd to /proc/ PID /cwd
Primeri naredbi za prikupljanjeinformacija iz aktivnog sistemaPrikazKomandaTrenutno vreme i datum sistemadateKada je sistem restartovanuptimeInformacije o sistemuuname –aInformacije o mrežnom interfejsuifconfigPronalaženje neobičnih procesa ili servisaps –eafMrežne konekcijenetstat –atUlogovani korisniciwPronalaženje SUID programafind / -uid 0 –perm -4000 2 /dev/nullLogovimore –f var/log/messagesPronalaženje izvršnih fajlova koji supromenjeni u jednom danufind /directory path –type f –a x –mtime -1Prikaz slobodne i iskorišćene memorijefreeiliilitopiliwholsof –i 4iliusers
Upotreba netcat ili cryptcat Za prenošenje pribavljenih podataka na forenzičkuradnu stanicu preko mreže Aktiviranje Netcat slušaoca na forenzičkoj radnojstanici (adresa 192.168.0.2)nc –l 2222 Smisleno Ime Slanje informacija na forenzičku radnu stanicuwho nc 192.168.0.2 2222
Akvizicija RAM memorije sa fizičkim pristupomsistemu Memdump za Linux, Unix, FreeBSD, Rezultati nisu zagarantovani zbog ograničenja u adresiranju Linux Memory Extractor (LiME)Modul za učitavanju kernel za akviziciju fizičke memorijeLinux/Android https://github.com/504ensicslabs/lime FmemKernel modul fmem.ko formira uređaj /dev/fmemsudo dd if /dev/fmem of mem.dd
F-Response za remote prikupljanjehttps://www.f-response.com/Upotreba dual-dongle za obavljanjedaljinskog forenzičkog pribavljanjamemorije i diskova. Jedan ključ za predmetni sistem Jedan ključ za sistem ispitivača
Forenzičko snimanje hard diskova Pribavljanje nepromenjivih podatakaKopija bit-stream kopira svaki bit koji se nalazi na čvrstimdiskovima FTK Imager Postoji mnogo forenzičkih alata velike brzineTableau series od Guidance Software Unix alat: ddman dd
Blokatori za sprečavanje izmenepodataka Software blokatoriKoristi se softver instaliran na forenzičku radnu stanicu da bi sesprečila izmena podataka na disku koji je priključenPrimeri:EnCase FastBloc SE (Software Edition)SAFE Block Win8 from ForensicSoft Inc. Hardware blokatoriKoristi uređaj "forenzički most" koji se fizički povezuje izmeđudokaznog diska i forenzičke radne stanicaPrimeri:fastBloc, UltrablockGuidance Software Forensic Bridge (T8u, T35u, )
Tableau TD2u iz Guidance Software
Kako to funkcioniše? Čita ulazne blokove jednom po jedan puta sauređaja na nivou bloka i stavlja ih u tampon(memoriju) Izlazi iz međuspremnika na željenu lokacijuPodrazumevana veličina bloka 512 bajta (4096 bita) Jednostavno premeštanje blokova bitova sauređaja na neko drugo mesto dd će kopirati metapodatke i blokove podataka ucelosti (bit-po-bit) - bez obzira da li su dodeljeniaktivnoj datoteci ili ne
Sintaksa Jednostavan primer:dd if šta se kopira of gde se kopira Podrazumevano se šalje u stdout Može se preusmeriti preko PIPE-a na netcat ilicryptcat dd if /dev/fd0 nc 192.168.1.2 2222
Opcije bs n (bytes)Ulaz i izlaz bloka od n bajtabs nk (n kilobajta)Veća veličina bloka (do 8k) može smanjiti vreme snimanja ibs q obs rVeličina ulaznog bloka q (bajtova)Izlazni blok veličine r (bajtova) Count s (blocks)Zaustavljanje nakon što se prenese s blokova podataka
Opcije Carving ddskip n (blocks)preskočite n blokova veličine ibs na početkuulazne datoteke pre kopiranjaseek n (blocks)Prije kopiranja preskočite n blokova obsveličine u izlaznoj datoteci
Odvajanje particija DOS Partition TableJedinice su u 512-bajtnim 00000000000000000000000001Primary Table ted02:00:00000000003200018841590001884128Linux (0x83)03:00:01000188416000020971510000212992Linux Swap dd if sda.dd skip 32 count 1884128 of sda1.dd dd if sda.dd skip 1884160 count 212992 of sda2.dd
Opcije ‘conv conversion[,conversion].Konvertovanje datoteke onako kako je navedeno uargumentima konverzije. (bez razmaka kodzareza)
Šta sa greškama Ako dd naiđe na grešku prilikom čitanja ulaznogbloka, postupak kopiranja prestaje!Može se prisiliti da nastavi (upotreba conv noerror)Potrebno je uključiti sinhronizaciju zajedno sa noerror oznakom dabi došlo do upisivanja nula na mestu grešaka conv noerror,sync dd if /dev/hdb1 of /case1/hdb1.dd conv noerror,sync
Druge upotrebe dd Serilizacija skladištaif /dev/zero of odredišteodredište se prepisuje nulamaif /dev/random of odredišteodredište se prepisuje sa nasumičnim podacima
Kako pristupimo izvornom mediju Fizički se uklanja disk iz računara osumnjičenog ipovezuje sa forenzičkom mašinom (neophodno jekoristiti blokator)dd if /dev/hda of /dev/hdbdd if /dev/hda of /case1/evidence.dd Pravljenje forenzičke kopije preko mrežekoristi se dd i nc
Upotreba nc za prikupnje Forenzička mašina sluša port 8888Jednom kada su podaci primljeničuvaju se na medijumunc –l 8888 /dev/hdbili se snimaju kao forenzička slikanc –l 8888 evidence.dd Mašina osumljičenog šalje podatkedd if /dev/hda nc ipaddr 8888 –w 3
sdd and dcfldd SddBrži je od dd u slučajevima kada veličina ulaznog bloka (ibs) nijejednaka veličini izlaznog bloka (obs).Statistike se lakše razumiju od onih iz 'dd’.Izveštava koliko je prepisanih bajtova, a koliko poslednjeg blok jekopiran Dcflddkorišćen od strane američke laboratorije za računarsku forenzikupoboljšana verzija ddpruža mogućnost generisanja hash-a prenesenih podatakaIma traku napretka koja prikazuje koliko je podataka poslato
Tableau series od Guidance Software Unix alat: dd man dd. Blokatori za sprečavanje izmene podataka Softwareblokatori Koristi se softver instaliran na forenzičku radnu stanicu da bi se sprečila izmena podataka na disku koji je priključen Primeri: EnCaseFastBlocSE (Software Edition) SAFE Block Win8 from ForensicSoftInc. Hardwareblokatori Koristi uređaj "forenzički most" koji se .
