Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w skompromitowanych systemach windows v2

1,169 views
1,024 views

Published on

MTS 2009

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,169
On SlideShare
0
From Embeds
0
Number of Embeds
11
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Speakers:Thisslideis ONLY for agenda. Usenextslide to allpresentationsslides.
  • Speakers: Please do not remove nor editthisslide! Thisisinformationaboutevaluation form.
  • Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w skompromitowanych systemach windows v2

    1. 1. Metody pozyskiwania i zabezpieczania danych w skompromitowanych systemach Windows KRZYSZTOF BIŃKOWSKI Trener, Konsultant | Compendium CE / ISSA Polska
    2. 2. Agenda Dowód elektroniczny Typy zbieranych danych Zbieranie danych: dane ulotne i dane nieulotne Pozyskiwanie danych Kopia bitowa dysku twardego Tworzenie obrazu dysku / Demo Dostęp do danych z zabezpieczonego materiału / Demo Kopia bitowa pamięci RAM / Demo Kopia bitowa pamięci flash / Demo Oprogramowanie COMPUTER FORENSICS
    3. 3. Dowódelektroniczny
    4. 4. Definicja Dowodem elektronicznym* nazywamy jakikolwiek sprzęt komputerowy, oprogramowanie lub dane, które możemy użyd, aby udowodnid dokonanie przestępstwa elektronicznego i odpowiedzied na jedno z pytao: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne. kompletny prawdziwy niepodważalny przekonywujący zdobyty zgodnie z prawem*Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
    5. 5. Dowód elektroniczny Brak definicji prawnej Informacja w postaci elektronicznej o znaczeniu dowodowym Dowód rzeczowy Nośnik, a dowód elektroniczny Zasada swobodnej oceny dowodów
    6. 6. Dowód elektroniczny - cechy Łatwośd modyfikacji Równośd kopii i oryginału Szczególne podejście
    7. 7. Co może byd dowodem elektronicznym ? dane tekstowe (wiadomości graficzne wizualno-dźwiękowe (zapis dane numeryczne dźwiękowe (zapis rozmowy) e-mail) (zdjęcia, rysunki, schematy) kamery internetowej) Elementy składowe dowodu elektronicznego (przykłady): plik i jego dane dane informacje zawartośd przecho- pochodząc informacje wywane w logi ukryte (wraz z ez odzyskane (steganografia)metadanymi) archiwach podsłuchu
    8. 8. Proces dochodzeniowy Ocena Pozyskiwanie Analiza Raport Zapoznaj się z Przygotuj narzędzia Analiza danych do analizy Zbierz iobowiązującymi sieciowych uporządkuj procedurami i Zbierz i zabezpiecz Analiza danych zebrane dane wytycznymi dane zawartych na Wykonaj raport Wybierz zespół Zachowaj i nośnikach specjalistów zarchiwizuj zewnętrznychPrzygotuj się do zgromadzone danezabezpieczania danych Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie
    9. 9. Typy zbieranychdanych
    10. 10. Dane ulotne i nieulotne Dane ulotne (ang. Volatile date) Dane nieulotne (ang. non-volatile date lub persistent data)
    11. 11. Zbieranie danych ulotnychZrzut pamięci RAMBieżący czas i dataKonfiguracja systemu, tzw. profil systemuBieżące procesy (running processes)Pliki otwarte, startowe (autostart) oraz dane ze schowkaUżytkownicy zalogowani do systemu i aktualnie pracujący na serwerzeBiblioteki dynamiczne (DLL) i współdzieloneOtwarte porty i nawiązane połączenia siecioweInformacja na temat trasowania (ang. routing)Rootkit’yinne
    12. 12. Zbieranie danych nieulotnych Nośnikami danych mogą byd: twarde dyski dyskietki, napędy ZIP, Jazz płyty CD/DVD pamięci FLASH ( klucze USB, pendrive’y ) karty pamięci ( np. SD, MMC, MS, MS PRO, CF, MINI SD, XD, inne ) dyski sieciowe taśmy palmtopy (Windows Mobile) telefony komórkowe oraz inne
    13. 13. Pozyskiwaniedanych
    14. 14. Wyłączony komputerSpisad protokółNie włączad !!!Zaleca się wyjęcie dyskówWykonad kopię dyskówWykonad sumę kontrolną dyskuWykonad sumę kontrolną kopiiZabezpieczyd oryginalny dysk
    15. 15. Włączony komputerSpisad protokółWykonad zdjęcie ekranuWykonad zdjęcie otoczeniaWykonad zrzut pamięci oraz innychdanych ulotnych na nośnik zewnętrznyWykonad kopię dysku onlineWyłączyd komputerZaleca się wyjęcie dyskówWykonad kopię dysku offlineWykonad sumę kontrolną dyskuWykonad sumę kontrolną kopiiZabezpieczyd oryginalny dysk
    16. 16. BlokeryZabezpieczyd nośnik przed zapisem ! Bloker sprzętowy Bloker ProgramowyHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor
    17. 17. Tworzenie obrazu dysku OFFLINE – dane nieulotone : Zaleca się podłączenie dysku przez bloker i wykonanie kopii na stacji badającego lub Uruchamiamy i bootujemy system CF z płyty CD/DVD Windows PE + własne narzędzia / Linux Live Np.. Helix, Encase (komercyjny) System Live musi montowad dyski w trybie READ ONLY !!! ONLINE – dane ulotne : Uruchamiamy program tworzący obraz z płyty CD,nośnika USB lub sieci Np.. FTK Imager Tworzenie i składowanie kopii obrazu : Dysk twardy połączony przez IDE/SATA/USB Pendrive USB Poprzez sied na innym komputerze, serwerze Dostęp do dysku w trybie do odczytu
    18. 18. Kopia bitowa dysku PLIK PLIKPamiętajmy:Kopia nośnika musi byd wykonana bit po bicie (ang. bit-for-bit) !!!Oprócz klastrów z danymi powinny zostad skopiowane pozostałe obszary takiejak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowousunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca.
    19. 19. Kopia dysku - narzędziaDarmowe: DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie projektu http://www.chrysocome.net/ddNp.. dd.exe if=.PhysicalDrive0 of=d: plik1.img FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB)Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach, szczegóły licencji dostępne są na stronie producenta. Format pliku obrazu dysku odczyt zapis dd RAW EnCase E01 FTK Imager logical image Ghost (tylko nieskompresowane obrazy dysku) ICS SafeBack (tylko do wersji 2.0) SMART (S01) FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
    20. 20. Wykonanie kopii dysku
    21. 21. Dostęp do danych – kopii dysku Podłączenie obrazu dysku w systemie Windows np. Mount Image Pro Uruchamianie dysku w wirtualnej maszynie np. Live View + VMware
    22. 22. Dostęp do danych wykonanej kopii
    23. 23. Kopia bitowa pamięci RAM Czy potrzebna ? Narzędzia: FTK Imager, MDD, Win32DD Analiza: Volatitity, BinText, Memoryze
    24. 24. Kopia bitowa pamięci RAM
    25. 25. Kopia bitowa pamięci flashZabezpieczenie danychKopia przed analiząOdzyskanie usuniętych danych
    26. 26. Odzyskanie danych z kopii pamięci flash
    27. 27. OprogramowanieCOMPUTERFORENSICS
    28. 28. Darmowe zestawyCOMPUTER FORENSICS
    29. 29. Komercyjne programyCOMPUTER FORENSICS WInHex
    30. 30. Literatura RFC3227 - Guidelines for Evidence Collection and Archiving Fundamental Computer Investigation Guide For Windowshttp://technet.microsoft.com/en-us/library/cc162846.aspx First Responders Guide to Computer Forensicshttp://www.sei.cmu.edu/publications/documents/05.reports/05 hb001.html First Responders Guide to Computer Forensics: Advanced Topicshttp://www.sei.cmu.edu/publications/documents/05.reports/05 hb003/05hb003.html
    31. 31. Grupa MSSUGTematyka najbliższych spotkao: Smart Card (warsztaty) OTP ( One Time Password)Zapraszamy na comiesięczne spotkania w Warszawiehttp://ms-groups.pl/MSSUG
    32. 32. Oceo moją sesjęAnkieta dostępna na stronie www.mts2009.pl Wygraj wejściówki na następny MTS!
    33. 33. © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.Microsoft, Windows oraz inne nazwy produktów są lub mogą byd znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innychkrajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYMTAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.

    ×