Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w skompromitowanych systemach windows v2

  • 764 views
Uploaded on

MTS 2009

MTS 2009

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
764
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
14
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • Speakers:Thisslideis ONLY for agenda. Usenextslide to allpresentationsslides.
  • Speakers: Please do not remove nor editthisslide! Thisisinformationaboutevaluation form.

Transcript

  • 1. Metody pozyskiwania i zabezpieczania danych w skompromitowanych systemach Windows KRZYSZTOF BIŃKOWSKI Trener, Konsultant | Compendium CE / ISSA Polska
  • 2. Agenda Dowód elektroniczny Typy zbieranych danych Zbieranie danych: dane ulotne i dane nieulotne Pozyskiwanie danych Kopia bitowa dysku twardego Tworzenie obrazu dysku / Demo Dostęp do danych z zabezpieczonego materiału / Demo Kopia bitowa pamięci RAM / Demo Kopia bitowa pamięci flash / Demo Oprogramowanie COMPUTER FORENSICS
  • 3. Dowódelektroniczny
  • 4. Definicja Dowodem elektronicznym* nazywamy jakikolwiek sprzęt komputerowy, oprogramowanie lub dane, które możemy użyd, aby udowodnid dokonanie przestępstwa elektronicznego i odpowiedzied na jedno z pytao: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne. kompletny prawdziwy niepodważalny przekonywujący zdobyty zgodnie z prawem*Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
  • 5. Dowód elektroniczny Brak definicji prawnej Informacja w postaci elektronicznej o znaczeniu dowodowym Dowód rzeczowy Nośnik, a dowód elektroniczny Zasada swobodnej oceny dowodów
  • 6. Dowód elektroniczny - cechy Łatwośd modyfikacji Równośd kopii i oryginału Szczególne podejście
  • 7. Co może byd dowodem elektronicznym ? dane tekstowe (wiadomości graficzne wizualno-dźwiękowe (zapis dane numeryczne dźwiękowe (zapis rozmowy) e-mail) (zdjęcia, rysunki, schematy) kamery internetowej) Elementy składowe dowodu elektronicznego (przykłady): plik i jego dane dane informacje zawartośd przecho- pochodząc informacje wywane w logi ukryte (wraz z ez odzyskane (steganografia)metadanymi) archiwach podsłuchu
  • 8. Proces dochodzeniowy Ocena Pozyskiwanie Analiza Raport Zapoznaj się z Przygotuj narzędzia Analiza danych do analizy Zbierz iobowiązującymi sieciowych uporządkuj procedurami i Zbierz i zabezpiecz Analiza danych zebrane dane wytycznymi dane zawartych na Wykonaj raport Wybierz zespół Zachowaj i nośnikach specjalistów zarchiwizuj zewnętrznychPrzygotuj się do zgromadzone danezabezpieczania danych Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie
  • 9. Typy zbieranychdanych
  • 10. Dane ulotne i nieulotne Dane ulotne (ang. Volatile date) Dane nieulotne (ang. non-volatile date lub persistent data)
  • 11. Zbieranie danych ulotnychZrzut pamięci RAMBieżący czas i dataKonfiguracja systemu, tzw. profil systemuBieżące procesy (running processes)Pliki otwarte, startowe (autostart) oraz dane ze schowkaUżytkownicy zalogowani do systemu i aktualnie pracujący na serwerzeBiblioteki dynamiczne (DLL) i współdzieloneOtwarte porty i nawiązane połączenia siecioweInformacja na temat trasowania (ang. routing)Rootkit’yinne
  • 12. Zbieranie danych nieulotnych Nośnikami danych mogą byd: twarde dyski dyskietki, napędy ZIP, Jazz płyty CD/DVD pamięci FLASH ( klucze USB, pendrive’y ) karty pamięci ( np. SD, MMC, MS, MS PRO, CF, MINI SD, XD, inne ) dyski sieciowe taśmy palmtopy (Windows Mobile) telefony komórkowe oraz inne
  • 13. Pozyskiwaniedanych
  • 14. Wyłączony komputerSpisad protokółNie włączad !!!Zaleca się wyjęcie dyskówWykonad kopię dyskówWykonad sumę kontrolną dyskuWykonad sumę kontrolną kopiiZabezpieczyd oryginalny dysk
  • 15. Włączony komputerSpisad protokółWykonad zdjęcie ekranuWykonad zdjęcie otoczeniaWykonad zrzut pamięci oraz innychdanych ulotnych na nośnik zewnętrznyWykonad kopię dysku onlineWyłączyd komputerZaleca się wyjęcie dyskówWykonad kopię dysku offlineWykonad sumę kontrolną dyskuWykonad sumę kontrolną kopiiZabezpieczyd oryginalny dysk
  • 16. BlokeryZabezpieczyd nośnik przed zapisem ! Bloker sprzętowy Bloker ProgramowyHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesUsbStor
  • 17. Tworzenie obrazu dysku OFFLINE – dane nieulotone : Zaleca się podłączenie dysku przez bloker i wykonanie kopii na stacji badającego lub Uruchamiamy i bootujemy system CF z płyty CD/DVD Windows PE + własne narzędzia / Linux Live Np.. Helix, Encase (komercyjny) System Live musi montowad dyski w trybie READ ONLY !!! ONLINE – dane ulotne : Uruchamiamy program tworzący obraz z płyty CD,nośnika USB lub sieci Np.. FTK Imager Tworzenie i składowanie kopii obrazu : Dysk twardy połączony przez IDE/SATA/USB Pendrive USB Poprzez sied na innym komputerze, serwerze Dostęp do dysku w trybie do odczytu
  • 18. Kopia bitowa dysku PLIK PLIKPamiętajmy:Kopia nośnika musi byd wykonana bit po bicie (ang. bit-for-bit) !!!Oprócz klastrów z danymi powinny zostad skopiowane pozostałe obszary takiejak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowousunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca.
  • 19. Kopia dysku - narzędziaDarmowe: DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie projektu http://www.chrysocome.net/ddNp.. dd.exe if=.PhysicalDrive0 of=d: plik1.img FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB)Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach, szczegóły licencji dostępne są na stronie producenta. Format pliku obrazu dysku odczyt zapis dd RAW EnCase E01 FTK Imager logical image Ghost (tylko nieskompresowane obrazy dysku) ICS SafeBack (tylko do wersji 2.0) SMART (S01) FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
  • 20. Wykonanie kopii dysku
  • 21. Dostęp do danych – kopii dysku Podłączenie obrazu dysku w systemie Windows np. Mount Image Pro Uruchamianie dysku w wirtualnej maszynie np. Live View + VMware
  • 22. Dostęp do danych wykonanej kopii
  • 23. Kopia bitowa pamięci RAM Czy potrzebna ? Narzędzia: FTK Imager, MDD, Win32DD Analiza: Volatitity, BinText, Memoryze
  • 24. Kopia bitowa pamięci RAM
  • 25. Kopia bitowa pamięci flashZabezpieczenie danychKopia przed analiząOdzyskanie usuniętych danych
  • 26. Odzyskanie danych z kopii pamięci flash
  • 27. OprogramowanieCOMPUTERFORENSICS
  • 28. Darmowe zestawyCOMPUTER FORENSICS
  • 29. Komercyjne programyCOMPUTER FORENSICS WInHex
  • 30. Literatura RFC3227 - Guidelines for Evidence Collection and Archiving Fundamental Computer Investigation Guide For Windowshttp://technet.microsoft.com/en-us/library/cc162846.aspx First Responders Guide to Computer Forensicshttp://www.sei.cmu.edu/publications/documents/05.reports/05 hb001.html First Responders Guide to Computer Forensics: Advanced Topicshttp://www.sei.cmu.edu/publications/documents/05.reports/05 hb003/05hb003.html
  • 31. Grupa MSSUGTematyka najbliższych spotkao: Smart Card (warsztaty) OTP ( One Time Password)Zapraszamy na comiesięczne spotkania w Warszawiehttp://ms-groups.pl/MSSUG
  • 32. Oceo moją sesjęAnkieta dostępna na stronie www.mts2009.pl Wygraj wejściówki na następny MTS!
  • 33. © 2009 Microsoft Corporation. Wszelkie prawa zastrzeżone.Microsoft, Windows oraz inne nazwy produktów są lub mogą byd znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Microsoft w Stanach Zjednoczonych i innychkrajach. Zamieszczone informacje mają charakter wyłącznie informacyjny. FIRMA MICROSOFT NIE UDZIELA ŻADNYCH GWARANCJI (WYRAŻONYCH WPROST LUB DOMYŚLNIE), W TYMTAKŻE USTAWOWEJ RĘKOJMI ZA WADY FIZYCZNE I PRAWNE, CO DO INFORMACJI ZAWARTYCH W TEJ PREZENTACJI.