Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Krzysztof BińkowskiTrener, KonsultantCompendium CE, ISSA Polska   14.03.2009
Zapoznanie z podstawowymi technikami ukrywaniainformacji oraz ich praktyczne poszukiwanie na przykładziedziałającego syste...
•   Scenariusz i plan działania•   Computer Forensics – informatyka śledcza•   Dowód elektroniczny•   Jak wykonać kopię dy...
• Pracownik podejrzany o przekazywanie danych konkurencji ale  brakuje nam dowodów, nie został złapany za rękę  Jan Kowals...
Ogólny schemat procesu dochodzeniowegoOcena                     Pozyskiwanie                 Analiza                 Rapor...
Dowodem elektronicznym* nazywamy jakikolwiek sprzęt komputerowy,  oprogramowanie lub dane, które możemy użyć, aby udowodni...
Proces klonowania dysków (tworzenia obrazów) możemy wykonać nakilka sposobów:•   Kopia dysk fizyczny --> dysk fizyczny – s...
OFFLINE – dane nieulotone :• Uruchamiamy i bootujemy system CF z płyty CD/DVD  Windows PE + własne narzędzia / Linux LiveN...
Darmowe:• DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie   projektu http://www.chrysocome.net...
• Wykorzystamy - bezpłatną wersję, już niedostępną : Helix_V1.9-07-13a-2007.iso  http://www.e-fense.com/ Helix3 Pro pojawi...
•   poczta elektroniczna•   dokumenty elektroniczne•   pliki tymczasowe•   partycje/ pliki wymiany•   logi i rejestry•   d...
Śmietnik - Recycle BinSkasowane pliki - czy na pewno są usunięte z dysku ?•  Kasowanie plików nie jest równoznaczne z ich ...
Darmowe :• Recuva - http://www.recuva.com/• File Recovery• wiele innychKomercyjne:• Ontrack EasyRecovery, Recover My Files...
Bogactwo komunikatorów:Gadu Gadu, Skype, Jabber, MSN, ICQ i wiele innychZastosowanie :• Biznesowe• Prywatne• Ograniczenie ...
• GG Tools – zestaw od odzyskiwania archiwum GG• http://mortka.pl/• Ggarch - poszukiwanie pliku archives.dat• Ggundel – od...
Czy ktoś dzisiaj jeszcze nie korzysta z poczty elektronicznej ?Co jest przesyłane pocztą elektroniczną ?Najbardziej popula...
• Odzyskiwanie hasła do pliku PST• PstPassword - http://www.nirsoft.net/utils/pst_password.html• Odzyskiwanie skasowanych ...
Charakterystyczny plik index.datPrzykładowe narzędzia:Web Browser Tools Package -http://www.nirsoft.net/web_browser_tools....
ADS – Alternatywne strumienie danych:• Własność NTFS ( znana od Win NT 3.1 )• Stworzona w celu kompatybilności z HFS•   (M...
• streams.exe (Sysinternals) – darmowe narzędzie, które  poszukuje danych zawartych w alternatywnych  strumieniach danych ...
Tworzymy plik tekstowy test.txtdir > test.txt:strumien.txtdirstreams.exe test.txtNotepad.exe test.txt:strumien.txtdel plik...
Steganografia:• Sposób na ukrywanie informacji w istniejących plikach  np. graficznych w sposób nie pogarszający obrazu dl...
Pan Jan Kowalski – był w stałym kontakcie – o czym świadczyarchiwum GaduGaduPan Jan Kowalski – wysłał emailem pliki do Pan...
Czy zawsze tak łatwo można zbadać każdy komputer ?Niestety NIE :(Techniki anti-forensics :• Szyfrowanie dysków , np. TrueC...
• Fundamental Computer Investigation Guide For Windows  http://technet.microsoft.com/en-us/library/cc162846.aspx• First Re...
Najbliższe spotkanie 7.04.2008Krzysztof Bińkowski     Paweł Pławiak          Krzysztof PietrzakWykład                  Wyk...
Zapraszamy na comiesięczne spotkania merytoryczne       Poświęcone tematyce bezpieczeństwa                   Wstęp wolny
Krzysztof.Binkowski@gmail.com
Podążając śladami użytkownika Windows –elementy informatyki śledczej
Podążając śladami użytkownika Windows –elementy informatyki śledczej
Podążając śladami użytkownika Windows –elementy informatyki śledczej
Podążając śladami użytkownika Windows –elementy informatyki śledczej
Podążając śladami użytkownika Windows –elementy informatyki śledczej
Podążając śladami użytkownika Windows –elementy informatyki śledczej
Podążając śladami użytkownika Windows –elementy informatyki śledczej
Upcoming SlideShare
Loading in …5
×

Podążając śladami użytkownika Windows – elementy informatyki śledczej

1,662 views

Published on

Podążając śladami użytkownika Windows – elementy informatyki śledczej

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Podążając śladami użytkownika Windows – elementy informatyki śledczej

  1. 1. Krzysztof BińkowskiTrener, KonsultantCompendium CE, ISSA Polska 14.03.2009
  2. 2. Zapoznanie z podstawowymi technikami ukrywaniainformacji oraz ich praktyczne poszukiwanie na przykładziedziałającego systemu.Minimum wykładu więcej praktycznych demonstracji.
  3. 3. • Scenariusz i plan działania• Computer Forensics – informatyka śledcza• Dowód elektroniczny• Jak wykonać kopię dysku spełniającą cechy dowodu• Analiza danych użytkownika• Poszukiwanie śladów:• Komunikatory: Gadu-Gadu, SKYPE• Poczta elektroniczna MS Outlook• Historia odwiedzanych stron – IE• Pliki - ADS• Pliki graficzne i steganografia• Podsumowanie zebranych dowodów
  4. 4. • Pracownik podejrzany o przekazywanie danych konkurencji ale brakuje nam dowodów, nie został złapany za rękę Jan Kowalski firma A - kolega Andrzeja Nowaka firma B Pan Nowak – pracuje u konkurencji  Nasze środowisko : – Windows XP PRO – stacja robocza Pana Kowalskiego – Office 2003, MS Outlook + pop3, GG, Skype – Przygotowane emaile, korespondencja GG oraz pliki z ukrytymi danymi Planowane działania: – Zabezpieczenie dowodów – kopia dysku -> do pliku – Analiza danych – Wnioski
  5. 5. Ogólny schemat procesu dochodzeniowegoOcena Pozyskiwanie Analiza RaportZapoznaj się z Przygotujobowiazującymi narzędzia doprocedurami i analizy Analiza danych Zbierz i sieciowychwytycznymi Zbierz i uporządkujWybierz zespół zabezpiecz dane Analiza danych zebrane danespecjalistów Zachowaj i zawartych na Wykonaj raportPrzygptuj się do zarchiwizuj nośnikachzabezpieczania zgromadzone zewnętrznychdanych dane Zabezpieczaj i dokumentuj wszystkie dowody na każdym etapie Warren G. Kruse II and Jay G. Heiser, „Computer Forensics: Incident Response Essentials”
  6. 6. Dowodem elektronicznym* nazywamy jakikolwiek sprzęt komputerowy, oprogramowanie lub dane, które możemy użyć, aby udowodnić dokonanie przestępstwa elektronicznego i odpowiedzieć na jedno z pytań: kto, co, kiedy, gdzie, dlaczego oraz w jaki sposób. W chwili obecnej najczęstszym dowodem fizycznym jest dysk twardy, komórka, palmtop czy wszelkie nośniki takie jak dyskietki, płyty CD/DVD, pamięci flash, karty pamięci, taśmy lub inne nośniki magnetyczne.Dowód, który będzie użyty w procesie sądowym powinien być:• kompletny• prawdziwy• niepodważalny• przekonywujący• zdobyty zgodnie z prawem* Definicja według :Solomon Michael G., Barrett Diane , Broom Neil: Computer Forensics JumpStart, Sybex 2005
  7. 7. Proces klonowania dysków (tworzenia obrazów) możemy wykonać nakilka sposobów:• Kopia dysk fizyczny --> dysk fizyczny – stosowany głównie do uruchomienia systemu z dysku• Dysk --> plik obrazu – najbardziej popularny i najbardziej efektywny sposób przygotowania danych do dalszej analizy• Plik obrazu –> dysk fizyczny – przywracanie obrazu na dysk fizycznyPamiętajmy:• Kopia nośnika musi być wykonana bit po bicie (ang. bit-for-bit) !!!• Oprócz klastrów z danymi powinny zostać skopiowane pozostałe obszary takie jak, „resztki danych” (ang. slack file) oraz dane ukryte, częściowo usunięte, zaszyfrowane oraz puste jeszcze niezapisane danymi miejsca.• Jeśli tylko to możliwe podłączajmy się do dysków w trybie READ ONLY• Zaopatrzmy się w odpowiednio duży dysk !!!
  8. 8. OFFLINE – dane nieulotone :• Uruchamiamy i bootujemy system CF z płyty CD/DVD Windows PE + własne narzędzia / Linux LiveNp.. Helix, Encase (komercyjny)ONLINE – dane ulotne :• Uruchamiamy program tworzący obraz z płyty CD,nośnika USB lub sieciNp.. FTK ImagerTworzenie i składowanie kopii obrazu :• Dysk twardy połączony przez IDE/SATA/USB• Pendrive USB• Poprzez sieć na innym komputerze, serwerze• Dostęp do dysku w trybie do odczytu - programowe i sprzętowe blokery
  9. 9. Darmowe:• DD.exe (chrysocome.net) DD dla Windows dostępny na licencji GPL, na stronie projektu http://www.chrysocome.net/ddNp.. dd.exe if=.PhysicalDrive0 of=d: plik1.img• FTK Imager (AccessData) – w pełni okienkowy program do tworzenia obrazów dysku w celu dalszej analizy, wersja PEŁNA / LITE (działa z CD/USB)Program ten jest wersją komercyjną, ale dopuszczalne jest również darmowe wykorzystanie w kilku przypadkach,szczegóły licencji dostępne są na stronie producenta. Format pliku obrazu dysku odczyt zapis dd RAW EnCase E01 FTK Imager logical image Ghost (tylko nieskompresowane obrazy dysku) SafeBack (tylko do wersji 2.0) SMART (S01)FTK Imager jest jednym z narzędzi firmy AccessData, z zestawu FTK Forensic Toolkit, http://www.accessdata.com/common/pagedetail.aspx?PageCode=downloads
  10. 10. • Wykorzystamy - bezpłatną wersję, już niedostępną : Helix_V1.9-07-13a-2007.iso http://www.e-fense.com/ Helix3 Pro pojawi się około kwietnia 2009Wykonamy kopię obrazuKonwersja i uruchomienie pliku obrazu w wirtualnej maszynie:Live View - http://liveview.sourceforge.net/Mount Image Pro – podłączenie obrazu DD jak dysk w systemieTRAIL – 30 dni testów
  11. 11. • poczta elektroniczna• dokumenty elektroniczne• pliki tymczasowe• partycje/ pliki wymiany• logi i rejestry• dane przeglądarki• pliki kolejkowania wydruku• cookies• dane skasowane• dane z backupu• Ukrywanie tekstu w plikach graficznych (steganography)• Inne …..
  12. 12. Śmietnik - Recycle BinSkasowane pliki - czy na pewno są usunięte z dysku ?• Kasowanie plików nie jest równoznaczne z ich usunięciem z twardego dysku, pliki po skasowaniu pozostają na dysku a system oznacza te pliki jako skasowane• Jeśli klastry skasowanego pliku nie zostały powtórnie użyte ( nadpisane innym plikiem) to bardzo łatwo możemy odzyskać te pliki• Jeśli pliki zostały nadpisane kilkakrotnie – pliki nie są do odzyskania , np. Eraser
  13. 13. Darmowe :• Recuva - http://www.recuva.com/• File Recovery• wiele innychKomercyjne:• Ontrack EasyRecovery, Recover My Files, inne
  14. 14. Bogactwo komunikatorów:Gadu Gadu, Skype, Jabber, MSN, ICQ i wiele innychZastosowanie :• Biznesowe• Prywatne• Ograniczenie kosztów rozmów telefonicznychPrzeważnie pozostawią ślady w postaci plików zawierających logi lub archiwaKażdy komunikator i jego wersja wymaga unikalnego podejścia !
  15. 15. • GG Tools – zestaw od odzyskiwania archiwum GG• http://mortka.pl/• Ggarch - poszukiwanie pliku archives.dat• Ggundel – odzyskiwanie skasowanego archiwum przez aplikację GG http://users.v-lo.krakow.pl/~anszom/ggarch/win32.zip• Skypelogview – http://www.nirsoft.net/utils/skype_log_view.htmlC:Documents and Settings[Profile Name]Application DataSkype[Skype User]Szukamy pliku main.db
  16. 16. Czy ktoś dzisiaj jeszcze nie korzysta z poczty elektronicznej ?Co jest przesyłane pocztą elektroniczną ?Najbardziej popularne aplikacje:• Outlook Express, MS Outlook• ThunderBird, The Bat• Poczta przez witrynę www• wiele innych
  17. 17. • Odzyskiwanie hasła do pliku PST• PstPassword - http://www.nirsoft.net/utils/pst_password.html• Odzyskiwanie skasowanych emaili:Czy się uda ? Jeśli wykonamy kompaktowanie pliku PST ?• Recover My Email - http://www.recover-my-email.com/ - wersja trial
  18. 18. Charakterystyczny plik index.datPrzykładowe narzędzia:Web Browser Tools Package -http://www.nirsoft.net/web_browser_tools.html• IECookiesView , IEHistoryView, IECacheView• MozillaCookiesView , MozillaHistoryView , MozillaCacheView• OperaCacheView , ChromeCacheView , Inne• Index.dat Analyzer v2.5 - http://www.systenance.com/indexdat.phpinne• Pasco - http://sourceforge.net/projects/odessa• Galleta - - http://sourceforge.net/projects/odessa
  19. 19. ADS – Alternatywne strumienie danych:• Własność NTFS ( znana od Win NT 3.1 )• Stworzona w celu kompatybilności z HFS• (Macintosh hierarchical file system )• Każdy plik w systemie NTFS posiada przynajmniej jeden strumień :$DATA• Alternatywny strumień po prostu inny plik podpięty do istniejącego pliku lub katalogu
  20. 20. • streams.exe (Sysinternals) – darmowe narzędzie, które poszukuje danych zawartych w alternatywnych strumieniach danych (ADS NTFS)• dir /r (MS Vista)• LADS.exe , ADSDetector, ADSSpy, sfind.exe• inne
  21. 21. Tworzymy plik tekstowy test.txtdir > test.txt:strumien.txtdirstreams.exe test.txtNotepad.exe test.txt:strumien.txtdel plik:strumienType notepad.exe > calc.exe:virus.exestart c:calc.exe:virus.exe
  22. 22. Steganografia:• Sposób na ukrywanie informacji w istniejących plikach np. graficznych w sposób nie pogarszający obrazu dla ludzkiego oka• Znane od dawna, np. atrament sympatyczny, długopis UV• Szyfrowanie danych w plikach graficznych• Przesyłanie zaszyfrowanych plików bądź informacji tekstowych• Do przesyłania przeważnie używa się kanałów publicznych, emaile, serwery www etc
  23. 23. Pan Jan Kowalski – był w stałym kontakcie – o czym świadczyarchiwum GaduGaduPan Jan Kowalski – wysłał emailem pliki do Pana AndrzejaNowaka :bmw32.bmp i Sexy_Bikini_0362.bmpzawierające poufne dane :Plan_fundusz.xls i Lista_plac_2009_01.xlsukryte za pomocą steganografii
  24. 24. Czy zawsze tak łatwo można zbadać każdy komputer ?Niestety NIE :(Techniki anti-forensics :• Szyfrowanie dysków , np. TrueCrypt, EFS• Szyfrowanie poczty elektronicznej• Bezpieczne kasowanie danych , np. Eraser, DBAN• Steganografia – stosowanie silnych haseł i algorytmów• Czyszczenie śladów aktywności użytkownika w internecie• Przechowywanie danych i programów na pendrive np. 64 GB PortableApps, U3• Korzystanie z systemów Live CD• i inne
  25. 25. • Fundamental Computer Investigation Guide For Windows http://technet.microsoft.com/en-us/library/cc162846.aspx• First Responders Guide to Computer Forensics http://www.sei.cmu.edu/publications/documents/05.reports/05hb001.html• First Responders Guide to Computer Forensics: Advanced Topics http://www.sei.cmu.edu/publications/documents/05.reports/05hb003/05hb003.html
  26. 26. Najbliższe spotkanie 7.04.2008Krzysztof Bińkowski Paweł Pławiak Krzysztof PietrzakWykład Wykład WykładPraktyczne zastosowanie Shadow Groups & Wprowadzenie do grupykart inteligentnych Subscriptions Groups Security - MSSUG
  27. 27. Zapraszamy na comiesięczne spotkania merytoryczne Poświęcone tematyce bezpieczeństwa Wstęp wolny
  28. 28. Krzysztof.Binkowski@gmail.com

×