Live Forensics. II Ogólnopolska Konferencja Informatyki Śledczej. Przemysław Krejza, EnCE, ACE

Wielkość: px
Rozpocząć pokaz od strony:

Download "Live Forensics. II Ogólnopolska Konferencja Informatyki Śledczej. Przemysław Krejza, EnCE, ACE"

Transkrypt

1 Live Forensics II Ogólnopolska Konferencja Informatyki Śledczej Przemysław Krejza, EnCE, ACE

2 Minęły już czasy kiedy wystarczyło wyłączyć maszynę i zabrać ją do badania. Technologia się zmieniła - standardowa pamięć RAM ma pojemność od 2 do 8 Gb, Nie można ignorować pamięci jako cennego źródła informacji Computer Forensics: Results of Live Response Inquiry vs. Memory Image Analysis Cal Waits Joseph Ayo Akinyele Richard Nolan Larry Rogers August 2008

3 Live vs. post mortem Nie zawsze możemy wyłączyć, Wyłączenie może być na amen, Możemy mieć więcej informacji, Bo to proste

4 Live forensics najlepsze praktyki Od najbardziej do najmniej ulotnych: 1. Pamięć fizyczna(ram), 2. Ulotne dane systemu, 3. Żywy obraz dysku lub kopia plików/folderów, 4. Post mortem,

5 Co w pamięci piszczy? Uruchomione procesy Wszelkiego typu malware- rootkity i trojany. Otwarte pliki Edytowane dokumenty, nawet nie zapisane. Pozostałości i, nawet pochodzących z poczty www. Zawartość stron internetowych, nawet szyfrowanych. Otwierane obrazy. Połączenia sieciowe i otwarte porty. Otwarte klucze rejestru. Informacje związane z uruchomionymi aplikacjami (np. aktywne rozmowy komunikatorów). Bufory związane z ekranem, klawiaturą, dyskiem itd. (np. rekordy MFT). Hasła zapisane w sposób jawny. Inne informacje systemowe.

6 MFT cache

7 Dictionary

8 Live forensics-ryzyka Narzędzia pozostawiają ślad: Czy nie będzie to problemem? Czy zleceniodawca to zaakceptuje? Czy da się wyjaśnić ten fakt przed sądem? Jak dobrze znasz swoje narzędzia: Jakie ślady pozostawiają? Zadziałają na danym systemie? Crash? Malware

9 Live forensics najlepsze praktyki Dokumentuj każdy krok. Musisz mieć pełny dostęp do systemu. Nie zamykaj żadnych okien, dokumentów lub programów. Nie ufaj obcemu systemowi operacyjnemu. Staraj się wykonać akwizycję w jak najmniejszej ilości kroków. Pamiętaj aby nośnik na który wykonujesz zrzut pamięci był większy niż zrzucana pamięć. Używaj wyłącznie zaufanych narzędzi. Im mniej pamięci alokuje narzędzie tym lepiej: Nigilant32 < 1Mb Helix -ok 18Mb

10 Narzędzia FastDump Pro FastDump Community WinEn WinEn64 MDD Memoryze Win32DD Encase Producent HBGary HBGary Guidance Software ManTech Mandiant Mattieu Suiche Guidance Software Licencja Free Płatna Płatna Free Free GNU Płatna 64bit Nie Tak Tak Nie - - Tak >4Gb Nie Tak Tak Tak Win 2008 serwer Nie Tak Tak Tak Win 2003 serwer Nie Tak Tak Tak Tak Tak Tak Win XP Tak Tak Tak Tak Tak Tak Tak Vista Nie Tak Tak Tak SP1 Tak Tak

11 Live forensics wyzwania Brak możliwości uruchomienia narzędzi: Zdalna akwizycja: F-Response EnCase Enterprise Edition lub FIM Brak praw administracyjnych Zrestartuj i użyj obcego systemu operacyjnego.

12 Live forensics wyzwania System operacyjny 64 bitowy FastDumpPro lubwinen Więcej niż 4GB RAM FastDump Pro Brak możliwości podłączenia nośnika na kopię Helix i Netcat F-Response EnCase Enterprise Edition lub FIM konsola jest zablokowana

13 Live forensics-konsola jest zablokowana 1. Komputer posiada port firewire: winlockpwn Proces opisany przez Adama Boileau(Metlstorm) używa jednej z funkcji firewiredo wyszukania i modyfikacji procesu logowania windows, Zawarty whelix od 1.9, Pozwala na zalogowanie dowolnym hasłem,

14 Live forensics-konsola jest zablokowana 2. Komputer posiada port firewire: Zestaw narzędzi: Pythonraw1394, Businfo, Romtool, 1394memimage Pozwalają na użycie portufirewirew celu uzyskania Pozwalają na użycie portufirewirew celu uzyskania dostępu do innej maszyny, Dostępne od Helix 1.9, Nie wymagają logowania,

15 Live forensics-konsola jest zablokowana 3: Zrestartuj i użyj innego systemu operacyjnego do akwizycji: Najlepiej proste wersje linux distro(syslinux) Msramdmpużyty z nośnika bootowalnegopozwala na akwizycje RAM na nośnik zewnętrzny. Ta opcja jest ryzykowna i zależna od sprzętu!!!

16 Live forensics-konsola jest zablokowana 4: wyłącz zasilanie i postępuj standardowo.

17 Linki Oprogramowanie MDD Win32Dd Fast Dump Memoryze EnCase Enterprise F-Response HB Gary Responder EnCase Enterprise: