Firma “COMPANY” 1 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
WYŻSZA SZKOŁA INFORMATYKI STOSO...
Firma “COMPANY” 2 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
Spis treści
1. Wprowadzenie ......
Firma “COMPANY” 3 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
1. WPROWADZENIE
1.1 Rodzaj incy...
Firma “COMPANY” 4 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
3.3 Szczegółowe działanie (Łańc...
Firma “COMPANY” 5 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
5. ZABEZPIECZANIE DOWODU
5.1 Pr...
Firma “COMPANY” 6 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
Drive Model: VMware Virtual IDE...
Firma “COMPANY” 7 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
7.1.2 Uruchomienie podejrzanego...
Firma “COMPANY” 8 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
Analiza pliku logów programu Sk...
Firma “COMPANY” 9 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
FC bmw3.bmp bmw32.bmp > wynik.t...
Firma “COMPANY” 10 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
SHA1- 3249f1f448575c8d91adce1a...
Firma “COMPANY” 11 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
8.2 Podsumowanie - znalezione ...
Firma “COMPANY” 12 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
Plik przedstawiający zdjęcie s...
Firma “COMPANY” 13 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
Załącznik 1 – Tworzenie obrazu...
Firma “COMPANY” 14 of 14
Raport z przeprowadzonego śledztwa komputerowego
2009.03.30
POUFNE
Załącznik 2 – Wykaz plików zał...
Upcoming SlideShare
Loading in …5
×

Mgr k.binkowski computer_forensics_raport

441 views

Published on

PRACA DYPLOMOWA - przykładowy raport
Krzysztof Bińkowski
ANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
441
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Mgr k.binkowski computer_forensics_raport

  1. 1. Firma “COMPANY” 1 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE WYŻSZA SZKOŁA INFORMATYKI STOSOWANEJ I ZARZĄDZANIA pod auspicjami Polskiej Akademii Nauk WYDZIAŁ INFORMATYKI Raport z przeprowadzonego wewnętrznego śledztwa komputerowego Przygotowany na zlecenie Zarządu firmy “COMPANY” Autor: Krzysztof Bińkowski Krzysztof Binkowski Digitally signed by Krzysztof Binkowski DN: sn=Binkowski, givenName=Krzysztof, cn=Krzysztof Binkowski, email=Krzysztof.Binkowski@gmail.com Date: 2009.10.13 00:58:35 +02'00'
  2. 2. Firma “COMPANY” 2 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE Spis treści 1. Wprowadzenie .................................................................................................................................3 1.1 Rodzaj incydentu .......................................................................................................................3 1.1.1 Miejsce zdarzenia ...............................................................................................................3 2. POSZKODOWANY.........................................................................................................................3 2.1 Poszkodowany...........................................................................................................................3 3. Lokalizacja dowodu elektronicznego..................................................................................................3 3.1 Opis dowodu .............................................................................................................................3 3.1.1 Opis systemu, sieci oraz serwerów........................................................................................3 3.2 Szczegóły zabezpieczenia podejrzanego komputera.......................................................................3 3.3 Szczegółowe działanie (Łańcuch dowodowy) ...............................................................................4 3.4 Umiejscowienie i lokalizacja dowodu ..........................................................................................4 4. DEFINICJE .....................................................................................................................................4 4.1 Wykorzystane narzędzia .............................................................................................................4 4.1.1 Informacje na temat wykorzystanych licencji.........................................................................4 5. ZABEZPIECZANIE DOWODU........................................................................................................5 5.1 Procedura potwierdzająca autentyczność dowodu..........................................................................5 5.1.1 Procedury...........................................................................................................................5 5.1.2 Wynik................................................................................................................................5 5.1.3 Weryfikacja........................................................................................................................5 5.2 Tworzenie kopi bitowej ..............................................................................................................5 5.2.1 Procedury...........................................................................................................................5 5.2.2 Wynik................................................................................................................................5 5.2.3 Weryfikacja........................................................................................................................6 6. WSTĘPNE OSZACOWANIE ZGROMADZONYCH DANYCH.........................................................6 6.1 Szczegóły istniejących danych.....................................................................................................6 6.1.1 Pliki systemu operacyjnego Windows XP Professional wersja angielska .................................. 6 6.1.2 Profil z danymi osobistymi użytkownika JKowalski...............................................................6 7. ANALIZA -wykaz czynności ............................................................................................................6 7.1 Procedury..................................................................................................................................6 7.1.1 Uruchomienie systemu wirtualnego na bazie przygotowanego obrazu systemu komp_jk.dd.0016 7.1.2 Uruchomienie podejrzanego systemu....................................................................................7 7.1.3 Zbadanie wykasowanych plików ..........................................................................................7 7.1.4 Szczegółowa analiza komputera wraz z listą zainstalowanych programów................................ 7 7.1.5 Analiza śladów i logów komunikatora GADUGADU.............................................................7 7.1.6 Analiza śladów i logów komunikatora SKYPE ......................................................................7 7.1.7 Analiza poczty elektronicznej...............................................................................................8 7.1.8 Analiza załączników ...........................................................................................................8 7.1.9 Alternatywne strumienie danych...........................................................................................9 8. WYNIKI........................................................................................................................................10 8.1 Podsumowanie - znalezione pliki...............................................................................................10 8.1.1 Plik poczty elektronicznej Outlook.pst ................................................................................10 8.1.2 Pliki tekstowe zawierające ukryte informacje.......................................................................10 8.2 Podsumowanie - znalezione pliki graficzne.................................................................................11 8.2.1 Pliki graficzne zawierające ukryte informacje......................................................................11 9. Wnioski.........................................................................................................................................11 9.1 Podsumowanie.........................................................................................................................11 9.2 Podsumowanie aktywności i działań ..........................................................................................12
  3. 3. Firma “COMPANY” 3 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE 1. WPROWADZENIE 1.1 Rodzaj incydentu Udostępnienie poufnych danych objętych tajemnicą przedsiębiorstwa przez pracownika firmy „COMPANY” z wykorzystaniem komputera firmowego. 1.1.1 Miejsce zdarzenia Siedziba firmy “COMPANY”, Warszawa, sieć lokalna podłączona do Internetu. 2. POSZKODOWANY 2.1 Poszkodowany Firma “COMPANY”, Warszawa 3. Lokalizacja dowodu elektronicznego 3.1 Opis dowodu 3.1.1 Opis systemu, sieci oraz serwerów Komputer pracujący jako stacja robocza, podłączony do firmowej sieci bezpośrednio w sieci LAN. Klasyczny komputer zawierający aplikację Microsoft Office 2003. Komputer został zainstalowany i przygotowany jako wirtualna maszyna pracująca w środowisku VMware z podłączeniem do Internetu. Nazwa komputera KRZYSZTO-287616 3.1.1.1 System Operating System: Microsoft(R) Windows XP Professional Manufacturer: VMware, Inc. Product Name: VMware Virtual Platform Serial Number : VMware-56 4d 2f 80 30 12 0a 48-6f 7c 92 a1 ee 38 39 72 Asset Tag : No Asset Tag 3.2 Szczegóły zabezpieczenia podejrzanego komputera Komputer zabezpieczono na podstawie pisemnego upoważnienia wydanego przez Zarząd firmy “COMPANY”. Zabezpieczenia dokonano dnia 14 marca 2009 o godz. 11.30.
  4. 4. Firma “COMPANY” 4 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE 3.3 Szczegółowe działanie (Łańcuch dowodowy) 2009.03.14 – godz. 11.30 – zabezpieczenie komputera / Krzysztof Bińkowski / COMPANY 2009.03.14 – godz. 11.49 – wykonanie kopii bitowej z dysku twardego / Krzysztof Bińkowski / COMPANY 2009.03.14 – godz. 12.30 – zdeponowanie komputera w magazynie / Krzysztof Bińkowski / COMPANY 3.4 Umiejscowienie i lokalizacja dowodu Dowód w postaci zabezpieczonego komputera, po wykonaniu kopi bitowej dysku twardego, został umieszczony w bezpiecznym miejscu – magazyn IT firmy „COMPANY”. Dostęp do tego pomieszczenia posiada tylko dział IT uczestniczący w śledztwie oraz zarząd firmy “COMPANY”. Pomieszczenie wyklucza dostęp osób postronnych. Komputer został zdeponowany w magazynie IT firmy „COMPANY” w dniu 14 marca 2009 o godz. 12.30 4. DEFINICJE 4.1 Wykorzystane narzędzia Helix_V1.9-07-13a-2007.iso FTK Imager v. 2.5.3.14 Live View 0.7b RECUVA w wersji 1.24.399 GGTols 2.6 release 3 RecoverMyEmail Trojan Image Security v.1.0 SkypeLogView v.1.10 PstPassword v.1.12 STREAMS v1.56 FCIV 4.1.1 Informacje na temat wykorzystanych licencji Programy wykorzystane do analizy danych posiadają licencję typu Freeware oprócz RecoverMyEmail, gdzie wykorzystano wersję demonstracyjną produktu
  5. 5. Firma “COMPANY” 5 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE 5. ZABEZPIECZANIE DOWODU 5.1 Procedura potwierdzająca autentyczność dowodu 5.1.1 Procedury Obraz dysku wykonany przy pomocy program FTK Image, który automatycznie wykonuje funkcję skrótu z wykonanej kopii bitowej dysku 5.1.2 Wynik [Computed Hashes] MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 5.1.3 Weryfikacja Image Verification Results: Verification started: Fri Apr 03 11:56:39 2009 Verification finished: Fri Apr 03 11:57:47 2009 MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d : verified SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 : verified 5.2 Tworzenie kopi bitowej 5.2.1 Procedury Kopia bitowa wykonana przy pomocy program FTK Imager, plik zapisano w formacie DD ( RAW) komp_jk.dd.001 - 2,99 GB (3 220 955 136 bytes) – obraz dysku komputera komp_jk.dd.001.txt – informacje szczegółowe na temat badanego dysku oraz obliczono funkcje skrótu dla wykonanego obrazu: MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 komp_jk.dd.001.csv – wykaz wszystkich plików wykonany podczas tworzenia obrazu 5.2.2 Wynik Information for .hostShared Foldersc2cdowodkomp_jk.dd: Physical Evidentiary Item (Source) Information: [Drive Geometry] Cylinders: 780 Tracks per Cylinder: 128 Sectors per Track: 63 Bytes per Sector: 512 Sector Count: 6,290,928 [Physical Drive Information]
  6. 6. Firma “COMPANY” 6 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE Drive Model: VMware Virtual IDE Hard Drive Drive Serial Number: 3030303030303030303030303030303030303130 Drive Interface Type: IDE Source data size: 3071 MB Sector count: 6290928 [Computed Hashes] MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 Image Information: Segment list: .hostShared Foldersc2cdowodkomp_jk.dd.001 5.2.3 Weryfikacja Image Verification Results: Verification started: Fri Apr 03 11:56:39 2009 Verification finished: Fri Apr 03 11:57:47 2009 MD5 checksum: f813c6c709c1602b8145a1ddc2b7e99d : verified SHA1 checksum: 2ffef538eabb22226d622dd05c8ae0aa0fcc2db3 : verified 6. WSTĘPNE OSZACOWANIE ZGROMADZONYCH DANYCH 6.1 Szczegóły istniejących danych 6.1.1 Pliki systemu operacyjnego Windows XP Professional wersja angielska Pliki systemowe wraz z profilami użytkowników, do wstępnej analizy wykorzystano plik dowodkomp_jk.dd.001.csv, który zawiera listę wszystkich plików. Plik został utworzony podczas wykonywania kopii bitowej obrazu dysku. 6.1.2 Profil z danymi osobistymi użytkownika JKowalski Profil użytkownika zawierający ustawienia systemowe oraz pliki osobiste 7. ANALIZA -wykaz czynności 7.1 Procedury 7.1.1 Uruchomienie systemu wirtualnego na bazie przygotowanego obrazu systemu komp_jk.dd.001 Wykorzystano aplikację Life View 0.7b, która przygotowała wirtualną maszynę system WMware, na podstawie przygotowanego obrazu w formacie DD (RAW). Program Life View przygotował wirtualną maszynę wraz z dodatkowym wirtualnym dyskiem niezbędnym do uruchomienia systemu, gdzie zostaną zapisane wszelkie operacje na dysku. Zabezpieczony plik obrazu, został podłączano w trybie tylko do odczytu, aby uniemożliwić wszelkie zmiany danych na badanym obrazie dysku.
  7. 7. Firma “COMPANY” 7 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE 7.1.2 Uruchomienie podejrzanego systemu System został uruchomiony w systemie VMware Workstation, do zalogowania się do systemy wykorzystano konto lokalnego administratora” Administrator”, hasło znane osobie badającej. 7.1.3 Zbadanie wykasowanych plików Przeanalizowano system pod katem usuniętych plików programem RECUVA w wersji 1.24.399. Wyniki odzyskanych plików znajdują się w raport.mgrrecuva, łączenie odzyskano 406 plików. Po szczegółowej analizie, zwrócono uwagę na pliki: • [000147].xls - 33,5 KB (34 304 bytes) – zawierający plany firmy • [000002].xls - 44,7 KB (45 864 bytes) – zawierający listę płac Zawartość plików została odzyskana z sektorów jeszcze nienadpisanych przez inne dane, co świadczy o tym, że pliki zostało celowo usunięte w ostatniej chwili, brak informacji na temat właściciela i znaczników czasu związanych z tymi plikami. Pliki znajdują się w katalogu raport.mgrrecuva_pliki i mają następujące sumy kontrolne; SHA1 - 639b3d793c250f9b8eae249108bdc79aa9e63787 [000147].xls SHA1 - 485d54f66527e6baf46eb9b854e95abb4c84712c [000002].xls 7.1.4 Szczegółowa analiza komputera wraz z listą zainstalowanych programów Do analizy wykorzystano program WinAudit, znajdujący się na w narzędziu HELIX v.1.9 Raport przedstawiający szczegółowe dane na temat badanego systemu i komputera znajduje się w pliku raport.mgrwinaudit KRZYSZTO-287616.pdf SHA1 - 3c4313ab77063b88f07a3d9530f68c58ac0a8e5a krzyszto-287616.pdf 7.1.5 Analiza śladów i logów komunikatora GADUGADU Do zbadania archiwum programu GaduGadu, wykorzystano narzędzie GGTols 2.6 release 3 Badany plik - C:Documents and SettingsJKowalskiGadu-GaduJaarchives.dat Wyniki zapisano w pliku raport.mgrggraport_gg.txt Analiza raportu wskazuje na komunikację z Panem Andrzejem Nowakiem. Znaleziono wskazówkę – adres http://www.brothersoft.com/trojan-image-security-50247.html, który wskazuje na zainteresowanie programem Trojan Image Security 1.0, służącym do ukrywania plików wewnątrz plików graficznych. Po sprawdzeniu komputera, program ten został zainstalowany na badanym komputerze w dniu 12.03.2009. SHA1 - b08d56c8088cd7014c35910ad3ecc21d raport_gg.txt 7.1.6 Analiza śladów i logów komunikatora SKYPE Do sprawdzenia archiwum SKYPE, znajdującego się w pliku C:Documents and SettingsJKowalskiApplication DataSkypejkowalski3456main.db wykorzystano program SkypeLogView v.1.10, plik logu został zapisany w raport.mgrskype skypelog.mht – SHA1 - e4009a97969cbbaede5ad89025fae344a9687bc3 skypelog.mht
  8. 8. Firma “COMPANY” 8 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE Analiza pliku logów programu Skype nie wniosła nic nowego do analizy, w tym przykładzie zauważamy, że nie zawsze znajdziemy jakieś dowody czy ślady. 7.1.7 Analiza poczty elektronicznej Do analizy znalezionego pliku C:Documents and SettingsJKowalskiLocal SettingsApplication DataMicrosoftOutlookOutlook.pst wykorzystano program Outlook zainstalowany na badanym komputerze, wykorzystując profil Administratora. Przy próbie otworzenia pliku, okazało się, że plik jest zabezpieczony hasłem. Do dalszej analizy niezbędne było odzyskanie hasła do pliku poczty. Do tego celu wykorzystano darmowy program PstPassword v.1.12. Korzystając z programu odzyskano kilka haseł, pozwalających na dostęp do badanego pliku poczty. Raport z odzyskanymi hasłami został zapisany w raport.mgroutlook PST Passwords List.mht. Przy pomocy odzyskanego hasła otworzono plik z pocztą Pana Jana Kowalskiego. SHA1 - 7542d98b48ca3dd6a20f4acf3a1567afeafc6c97 outlook.pst SHA1 - ee1cb368e86a76fb66b23715f5288ab005b2f6f1 pst passwords list.mht Po analizie zawartych w pliku wiadomości, ustalono liczne dowody komunikacji pomiędzy Panami Janem Kowalskim i Andrzejem Nowakiem. Analiza pozwoliła ustalić, iż Jan Kowalski wysłał dwa emaile pliki załącznikami do Pana Andrzeja Nowaka. Szczegóły wykrytych wiadomości poniżej: Od: Jan Kowalski [jkowalski3456@wp.pl] Wysłano: Thursday, March 12, 2009 11:30 PM Do: 'anowak3456@wp.pl' Temat: obiecane foto bmw Załącznik: bmw32.bmp SHA1 - f36245ae46da1598479ab2a6ecbf790c7cd2e98f bmw32.bmp Od: Jan Kowalski [jkowalski3456@wp.pl] Wysłano: Thursday, March 12, 2009 11:28 PM Do: 'anowak3456@wp.pl' Temat: fajna tapeta Załącznik: Sexy_Bikini_0362.bmp SHA1 - 0d173fd99efaeefb0f16c8e771e1f61ebe11f546 sexy_bikini_0362.bmp Pliki te poddano dalszej analizie. 7.1.8 Analiza załączników W pierwszej kolejności odszukano pliki znalezione w poczcie elektronicznej, Pliki bmw3.bmp i bmw32.bmp znajdujące się w katalogu: C:Documents and SettingsJKowalskiMy Documentssamochody oraz pliki Sexy_Bikini_036.bmp i Sexy_Bikini_0362.bmp znajdujące się w katalogu C:Documents and SettingsJKowalskiMy Documentsfotki Pozornie wyglądające i identyczne co do wielkości pliki bmw3.bmp i bmw32.bmp, zostały przejrzane i wyświetlone za pomocą wbudowanego programu do przeglądania plików graficznych. Różnic wizualnych nie dostrzeżono. W kolejnym kroku poddano pliki porównaniu binarnym za pomocą wbudowanego programu FC (File Compare):
  9. 9. Firma “COMPANY” 9 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE FC bmw3.bmp bmw32.bmp > wynik.txt Porównanie plików pozwoliło stwierdzić, że to są różne pliki pod kątem zawartości i mogą zawierać ukryte dane. W identyczny sposób porównano pliki Sexy_Bikini_036.bmp i Sexy_Bikini_0362.bmp, pliki również były rózne pod katem zawartości i mogą zawierać ukryte dane. Na badanym komputerze został znaleziony program „Trojan Image Security 1.0”. Za jego pomocą, otworzono i zbadano wysłane załączniki - pliki - bmw32.bmp i Sexy_Bikini_0362.bmp Po analizie wskazanych plików stwierdzono, iż w przesłanych plikach graficznych były ukryte pliki programu Excel zawierające poufne dane: Plik przedstawiający zdjęcie samochodu bmw32.bmp – zawierał arkusz kalkulacyjny: Plan_fundusz.xls - 45,0 KB (46 080 bytes) Plik z motywem tapety Sexy_Bikini_0362.bmp – zawierał arkusz kalkulacyjny Lista_plac_2009_01.xls - 33,5 KB (34 304 bytes) Ukryte pliki oraz pliki, w których ukryto dane zostały umieszczone w katalogu raport.mgrsteganografia SHA1 – 32cdbfa70b69d87049cea9cdd7eef061172c40f9 plan_fundusz.xls SHA1 - 5727b83c24e2d62374913a4d76cd6e23b7ac4daa lista_plac_2009_01.xls 7.1.9 Alternatywne strumienie danych Komputer poddano analizie pod kątem ukrytych plików w alternatywnych strumieniach danych. Do analizy wykorzystano darmową aplikację STREAMS v1.56, wynik poszukiwań został umieszczony w raport.mgradsads.txt. SHA1 - b7fb9e5fcedccb2cd50b5a45bd3ca2b8e04ea8b4 ads.txt Podejrzenie wzbudził znaleziony plik zadania.txt wewnątrz katalogu domowego użytkownika Jan Kowalskiego, który zawierał ukryty plik moje.txt c:Documents and SettingsJKowalskiMy Documentszadaniazadania.txt:moje.txt:$DATA 165 Zawartość plików zbadano przy pomocy notatnika. Wykorzystano polecenie Notepad zadania.txt Notepad zadania.txt:moje.txt Następnie pliki wyeksportowano przy pomocy programu FTK Imager i umieszczono w katalogu raport.mgrads Plik moje.txt zawierał ukryte treści: wyslac Andrzejowi fotki wyslac liste plac i plany upomniec sie o zaplata za ciezka prace ;) wyslac CV do Andrzeja Tel. do Andrzeja 500 500 xxx
  10. 10. Firma “COMPANY” 10 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE SHA1- 3249f1f448575c8d91adce1a71c3c5db0f1d443b zadania.txt SHA1 - 200dc097b3b92d6eafa5bd14174369ed43e910a2 moje.txt 8. WYNIKI 8.1 Podsumowanie - znalezione pliki 8.1.1 Plik poczty elektronicznej Outlook.pst C:Documents and SettingsJKowalskiLocal SettingsApplication DataMicrosoftOutlookOutlook.pst SHA1 - 7542d98b48ca3dd6a20f4acf3a1567afeafc6c97 outlook.pst Szczegóły wykrytych wiadomości wskazujące na wysłanie poufnych informacji poniżej: Od: Jan Kowalski [jkowalski3456@wp.pl] Wysłano: Thursday, March 12, 2009 11:30 PM Do: 'anowak3456@wp.pl' Temat: obiecane foto bmw Załącznik: bmw32.bmp SHA1 - f36245ae46da1598479ab2a6ecbf790c7cd2e98f bmw32.bmp Od: Jan Kowalski [jkowalski3456@wp.pl] Wysłano: Thursday, March 12, 2009 11:28 PM Do: 'anowak3456@wp.pl' Temat: fajna tapeta Załącznik: Sexy_Bikini_0362.bmp SHA1 - 0d173fd99efaeefb0f16c8e771e1f61ebe11f546 sexy_bikini_0362.bmp 8.1.2 Pliki tekstowe zawierające ukryte informacje Plik zadania.txt wewnątrz katalogu domowego użytkownika Jan Kowalskiego, który zawierał ukryty plik moje.txt c:Documents and SettingsJKowalskiMy Documentszadaniazadania.txt:moje.txt:$DATA 165 Plik moje.txt zawierał ukryte treści: wyslac Andrzejowi fotki wyslac liste plac i plany upomniec sie o zaplata za ciezka prace ;) wyslac CV do Andrzeja Tel. do Andrzeja 500 500 xxx SHA1- 3249f1f448575c8d91adce1a71c3c5db0f1d443b zadania.txt SHA1 - 200dc097b3b92d6eafa5bd14174369ed43e910a2 moje.txt
  11. 11. Firma “COMPANY” 11 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE 8.2 Podsumowanie - znalezione pliki graficzne 8.2.1 Pliki graficzne zawierające ukryte informacje Plik przedstawiający zdjęcie samochodu bmw32.bmp – zawierał arkusz kalkulacyjny: Plan_fundusz.xls - 45,0 KB (46 080 bytes) Plik z motywem tapety Sexy_Bikini_0362.bmp – zawierał arkusz kalkulacyjny Lista_plac_2009_01.xls - 33,5 KB (34 304 bytes) Ukryte pliki oraz pliki, w których ukryto dane zostały umieszczone w katalogu raport.mgrsteganografia SHA1 – 32cdbfa70b69d87049cea9cdd7eef061172c40f9 plan_fundusz.xls SHA1 - 5727b83c24e2d62374913a4d76cd6e23b7ac4daa lista_plac_2009_01.xls 9. WNIOSKI 9.1 Podsumowanie Na badanych komputerze znaleziono liczne ślady komunikacji pomiędzy podejrzanym osobami Panem Janem Kowalskim a Panem Andrzejem Nowakiem. Pan Jan Kowalski – był w stałym kontakcie z Panem Andrzejem Nowakiem – o czym świadczy archiwum GaduGadu. Z komunikacji pomiędzy obu panami wynika, iż Pan Andrzej Nowak poinstruował Pana Kowalskiego jak ukryć dane i wysłać je poprzez pocztę email. Analiza archiwum GaduGadu wskazuje na bezpośrednią komunikację z Panem Andrzejem Nowakiem. Znaleziono również wskazówkę – adres http://www.brothersoft.com/trojan-image-security-50247.html, który wskazuje na zainteresowanie programem Trojan Image Security 1.0, służącym do ukrywania plików wewnątrz plików graficznych. Program Trojan Image Security 1.0 został zainstalowany na badanym komputerze w dniu 12.03.2009. Po analizie zawartych w pliku poczty wiadomości, ustalono liczne dowody komunikacji pomiędzy Panami Janem Kowalskim i Andrzejem Nowakiem. Analiza pozwoliła ustalić, iż Jan Kowalski wysłał dwa emaile pliki z załącznikami do Pana Andrzeja Nowaka. Szczegóły wykrytych wiadomości poniżej: Od: Jan Kowalski [jkowalski3456@wp.pl] Wysłano: Thursday, March 12, 2009 11:28 PM Do: 'anowak3456@wp.pl' Temat: fajna tapeta Załącznik: Sexy_Bikini_0362.bmp Od: Jan Kowalski [jkowalski3456@wp.pl] Wysłano: Thursday, March 12, 2009 11:30 PM Do: 'anowak3456@wp.pl' Temat: obiecane foto bmw Załącznik: bmw32.bmp W przesłanych plikach graficznych były ukryte pliki programu Excel zawierające poufne dane:
  12. 12. Firma “COMPANY” 12 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE Plik przedstawiający zdjęcie samochodu bmw32.bmp – zawierał arkusz kalkulacyjny: Plan_fundusz.xls - 45,0 KB (46 080 bytes) Plik z motywem tapety Sexy_Bikini_0362.bmp – zawierał arkusz kalkulacyjny Lista_plac_2009_01.xls - 33,5 KB (34 304 bytes) Ukryte pliki : znaleziony plik zadania.txt wewnątrz katalogu domowego użytkownika Jan Kowalskiego zawierał ukryty plik moje.txt Plik moje.txt zawierał ukryte treści: wyslac Andrzejowi fotki wyslac liste plac i plany upomniec sie o zaplata za ciezka prace ;) wyslac CV do Andrzeja Tel. do Andrzeja 500 500 xxx Znalezione pliki wskazują jednoznacznie na złamanie tajemnicy przedsiębiorstwa przez Jana Kowalskiego poprzez ujawnienie danych poufnych. Dane zostały wysłane przy pomocy poczty elektronicznej po uprzednim ukryciu plików poufnych w plikach graficznych, które miały odwrócić uwagę czy uniemożliwić analizę wysłanych plików w systemie poczty elektronicznej. Pan Jan Kowalski działając z jasnym celem wysłania poufnych informacji, posunął się do zatarcia śladów przechowywania plików z poufnymi danymi ze swojego komputera. Działania Pana Jana Kowalskiego były zaplanowane i przemyślane. Celem tych działań było przekazania poufnych danych firmie konkurencyjnej. 9.2 Podsumowanie aktywności i działań 10:53:59 PM, 12.03.2009 r. przesłanie linku http://www.brothersoft.com/trojan-image-security-50247.html poprzez komunikator GG przez Pana Andrzeja Nowaka do Pana Jana Kowalskiego 12.03.2009 – przygotowanie plików zawierających ukryte poufne informacje 11:28 PM, 12.03.2009 – wysłanie emaila przez Pana Jana Kowalskiego (jkowalski3456@wp.pl) do Pana Andrzeja Nowaka (anowak3456@wp.pl), o temacie „fajna tapeta” zawierającego Załącznik: Sexy_Bikini_0362.bmp, który ukrywał plik - arkusz kalkulacyjny Lista_plac_2009_01.xls 11:30 PM, 12.03.2009 – wysłanie emaila przez Pana Jana Kowalskiego (jkowalski3456@wp.pl) do Pana Andrzeja Nowaka (anowak3456@wp.pl), o temacie „obiecane foto bmw” zawierającego Załącznik: bmw32.bmp, który ukrywał plik - arkusz kalkulacyjny: Plan_fundusz.xls
  13. 13. Firma “COMPANY” 13 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE Załącznik 1 – Tworzenie obrazu kopii bitowej Katalog dowod : 2009-03-14 11:49 3˙220˙955˙136 komp_jk.dd.001 2009-03-14 11:52 7˙466˙374 komp_jk.dd.001.csv 2009-04-03 14:13 120 komp_jk.dd.001.csv.sha1 2009-04-03 14:13 116 komp_jk.dd.001.sha1 2009-04-03 11:57 959 komp_jk.dd.001.txt 2009-04-03 14:13 120 komp_jk.dd.001.txt.sha1
  14. 14. Firma “COMPANY” 14 of 14 Raport z przeprowadzonego śledztwa komputerowego 2009.03.30 POUFNE Załącznik 2 – Wykaz plików załączonych na płycie DVD Wykaz plików dołączonych do raportu znajduje się w katalogu głównym wykaz_plikow.txt

×