Guida al Computer - Lezione 159 - Windows 8.1 Update - Prompt dei comandi
Una macchina del tempo in Windows - Accesso e analisi delle copie shadow
1. Una macchina del tempo in
Windows
Accesso e analisi
delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
2. Accesso e analisi delle copie shadow
• Volume shadow copy (VSS) è un servizio di microsoG windows che crea è gesHsce
snapshots di volumi disco NTFS
• E’ il sistema di supporto al servizio di system restore, e permeOe di recuperare
importanH file di sistema in caso di gravi problemi soGware.
• E’ aRvo per default sul volume dove è installato il sistema operaHvo
• Il servizio traccia tuOe le modifiche che intervengono nel volume e crea
periodicamente dei contenitori che accumulano esclusivamente tali differenze
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
3. • Windows Server 2003
• Windows Vista (tutte le versioni)
• Windows Server 2008 e successivi
• Windows 7 (tutte le versioni)
• Windows 8 e 8.1 (tutte le versioni)
• Windows 10 (tutte le versioni)
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
• Creazione manuale (Vista & 7)
• Ogni 24 ore (Vista)
• Ogni 7 giorni (7)
• Prima di un aggiornamento di Windows (Vista & 7)
• Installazione di driver non cerHficaH (Vista & 7)
• L’uHlizzo di programmi che chiamano le API VSS di
sistema (Vista & 7)
Accesso e analisi delle copie shadow
4. • Non è un sistema di versionamento; le copie shadow permettono di accedere
solamente all’ultima versione del file in quel particolare punto di ripristino
• Non è un sistema di backup in quanto:
• verranno salvati solo i blocchi modificati e non gli interi file, quindi uno snapshot senza
il volume da cui proviene non ha molto senso (difference file)
• Gli snapshot sono salvati (per default) sullo stesso volume dei dati originali!
• Non c’è garanzia di creazione regolare degli snapshot (a meno che non lo creiamo
noi)
• Non c’è garanzia di trovare lo snapshot giusto quando lo andiamo a cercare
In definitiva VSS non è un servizio per l’utente, ma per il sistema
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
Accesso e analisi delle copie shadow
Cosa non sono le Shadow copy …
5. OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
• Ok…, e cosa ci trovo dentro alle copie shadow:
• Versioni precedenti dell’intero sistema
• Versioni precedenti di file attualmente nel sistema (registry
hive, eventi, file dell’utente)
• File non più nel sistema … se il file è stato scritto sul disco
e poi cancellato, è di sicuro in una shadow copy … se la
shadow copy esiste ancora
• Possibilità di trovare versioni in chiaro di file oggi cifrati
Accesso e analisi delle copie shadow
14. OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
• Ma spesso i PC da analizzare sono spenti, e quindi …
come accedo alle shadow copy in fase di dead
forensics?
• Non basta un doppio click sul difference file …
• I difference file dovranno essere valutati in seno al volume in cui si
trovano
• La «catena» di difference file dovrà essere integra, non dovranno
esserci dei buchi temporali
• I numerosi tools di computer forensics hanno affrontato la questione
in modo diverso.
Accesso e analisi delle copie shadow
15. OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
• Metodo «Windows»
• Tools : Ftk Imager, ImDisk, shadow Explorer, VHDtool – vboxmanage (Virtualbox)
• Operazioni da compiere
• Montaggio dell’immagine E01 con FTK imager e creazione unità di sistema (es. F:)
• vssadmin.exe list shadows /for=F: --- (errore, ops F: non è parte del Sistema!)
• Esecuzione di shadow explorer : --- ( errore, F: non viene visualizzato! )
• Tentativo di montaggio del volume con ImDisk --- (stesso errore del montaggio con
FTK)
• Conversione E01 in DD ---- FTK Imager
• Conversione DD in VHD ---- VBOXMANAGE
• Aggiunta del VHD --- Computer –Manage -- Disk Manager -- Action -> Attach VHD
• Spuntare il flag "Read-only“
• vssadmin.exe list shadows /for=F: (funziona!!!)
• mklink /d c:{test-shadow} ?GLOBALROOTDeviceHarddiskVolumeShadowCopy1
Accesso e analisi delle copie shadow
16. OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
• Metodo «Windows» - Decisamente impegnaHvo
• Encase, X-Ways, FTK e altri tools commerciali estraggono e analizzano le
shadow copy, ma se si confrontano i risultaH possono emergere differenze.
Meglio confrontare i risultaH oOenuH anche mediante l’uHlizzo di altri tools.
• A okobre 2012 Joachim Metz presenta le libvshadow
• Vengono inserite nella distro SIFT del SANS, oggi siamo alla V 3.0
• Danno la possibilità all’analista di accedere con semplicità, rapidità ed
eleganza alle shadow copy contenute in un volume di sistema Windows
Accesso e analisi delle copie shadow
17. OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
• Metodo OPEN - Decisamente migliore
Passo 1) Montaggio dell’immagine E01 (ewfmount), esposizione DD
Passo 2) Ricerca nel DD della partizione windows (sleuthkit)
Passo 3) Lettura elenco shadow copy (libvshadow)
Passo 4) Montaggio ed esposizione dell’elenco delle shadow copy (libvshadow)
Passo 5) Enjoy
Accesso e analisi delle copie shadow
18. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
Passo 5) Enjoy
libevt - Strumen4 per l’accesso ai file in formato EWF (E01)
ewfacquire ewfdebug
ewfinfo ewfrecover
ewfacquirestream ewfexport
ewfmount ewfverify
19. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
Passo 1) Montaggio dell’immagine E01 (ewfmount), esposizione DD
# ewfmount image.E01 /mnt/ewf
mnt/ewf# ls -la
total 4
drwxr-xr-x 2 root root 0 Nov 12 23:08 .
drwxr-xr-x 23 root root 4096 Mar 13 2014 ..
-r--r--r-- 1 root root 500107862016 Nov 12 23:08 ewf1
20. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
/mnt/ewf# mmls ewf1
DOS Partition Table
Offset Sector: 0
Units are in 512-byte sectors
Slot Start End Length Description
00: Meta 0000000000 0000000000 0000000001 Primary Table (#0)
01: ----- 0000000000 0000002047 0000002048 Unallocated
02: 00:00 0000002048 0028905471 0028903424 Unknown Type (0x27)
03: ----- 0028905472 0028907519 0000002048 Unallocated
04: 00:01 0028907520 0029112319 0000204800 NTFS (0x07)
05: 00:02 0029112320 0976773167 0947660848 NTFS (0x07)
Passo 2) Ricerca nel DD della par4zione windows (sleuth kit)
START in sectors
21. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
/mnt/ewf# fsstat -o 29112320 ewf1
FILE SYSTEM INFORMATION
--------------------------------------------
File System Type: NTFS
Volume Serial Number: BE08E18608E13E51
OEM Name: NTFS
Version: Windows XP
METADATA INFORMATION
--------------------------------------------
First Cluster of MFT: 786432
First Cluster of MFT Mirror: 2
Size of MFT Entries: 1024 bytes
Size of Index Records: 4096 bytes
Range: 0 - 147712
Root Directory: 5
*******************************
Passo 2) Ricerca nel DD della par4zione windows (sleuthkit) – Verifica file system
22. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
/mnt/ewf# fls -o 29112320 ewf1
*******************************
r/r 6-128-4: $Bitmap
r/r 7-128-1: $Boot
d/d 11-144-4: $Extend
r/r 2-128-1: $LogFile
r/r 0-128-1: $MFT
r/r 1-128-1: $MFTMirr
*******************************
d/d 40-144-6: Program Files
d/d 199-144-6: Program Files (x86)
d/d 277-144-6: ProgramData
d/d 62931-144-1: Programmi
*******************************
d/d 24648-144-7: System Volume Information
d/d 69618-144-5: temp
d/d 372-144-5: Users
*******************************
d/d 537-144-7: Windows
*******************************
Passo 2) Ricerca nel DD della par4zione windows (sleuthkit) – Verifica file system
23. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
/mnt/ewf# fls -o 29112320 ewf1 24648
*******************************
r/r 136008-128-1: {0fd04a8e-9811-11e1-8a61-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 63491-128-1: {14f706a1-9b39-11e1-89ce-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 60587-128-1: {14f7074b-9b39-11e1-89ce-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 72658-128-1: {39f9bb1f-9e52-11e1-b646-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 72549-128-1: {8a006247-a496-11e1-9b76-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 144364-128-1: {9f05d649-8f68-11e1-89ed-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 140159-128-1: {a5b19a36-976b-11e1-8c37-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 140683-128-1: {a5b19a70-976b-11e1-8c37-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 60142-128-1: {ceeeb5aa-9376-11e1-89ec-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 116748-128-1: {ddb3d5a0-a188-11e1-8c06-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
r/r 138871-128-1: {e4bc500a-9686-11e1-9aad-ccaf78c68d1c}{3808876b-c176-4e48-b7ae-04046e6cc752}
*******************************
Passo 2) Ricerca nel DD della par4zione windows (sleuth kit) – Verifica file system
24. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
/mnt/ewf# vshadowinfo -o $((29112320*512)) ewf1
*******************************
Volume Shadow Snapshot information:
Number of stores: 11
Store: 1
Identifier : 9f05d649-8f68-11e1-89ed-ccaf78c68d1c
Shadow copy set ID : cc13ecf3-e30e-4df1-a06c-dcb6178d29e0
Creation time : Apr 26, 2012 14:52:56.168795800 UTC
Shadow copy ID : 5e260bc5-cade-4a1c-b71c-e5c9ff5f71f6
Volume size : 485202354176 bytes
Attribute flags : 0x0042000d
*******************************
Passo 3) Lekura elenco shadow copy (libvshadow)
*******************************
Store: 11
Identifier : 8a006247-a496-11e1-9b76-ccaf78c68d1c
Shadow copy set ID : 3382b8c2-200c-4ca3-80d4-3bf27f60d473
Creation time : May 23, 2012 19:43:28.853775700 UTC
Shadow copy ID : 1de74652-0dd1-43e6-8ab2-592192189d72
Volume size : 485202354176 bytes
Attribute flags : 0x0042000d
25. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
/mnt/ewf# vshadowmount -o $((29112320*512)) ewf1 /mnt/vss
vshadowmount 20131209
/mnt/ewf# ls -la /mnt/vss/
total 4
drwxr-xr-x 2 root root 0 Nov 12 23:19 .
drwxr-xr-x 23 root root 4096 Mar 13 2014 ..
-r--r--r-- 1 root root 485202354176 Nov 12 23:19 vss1
-r--r--r-- 1 root root 485202354176 Nov 12 23:19 vss10
-r--r--r-- 1 root root 485202354176 Nov 12 23:19 vss11
-r--r--r-- 1 root root 485202354176 Nov 12 23:19 vss2
-r--r--r-- 1 root root 485202354176 Nov 12 23:19 vss3
-r--r--r-- 1 root root 485202354176 Nov 12 23:19 vss4
-r--r--r-- 1 root root 485202354176 Nov 12 23:19 vss5
-r--r--r-- 1 root root 485202354176 Nov 12 23:19 vss6
-r--r--r-- 1 root root 485202354176 Nov 12 23:19 vss7
-r--r--r-- 1 root root 485202354176 Nov 12 23:19 vss8
-r--r--r-- 1 root root 485202354176 Nov 12 23:19 vss9
Passo 4) Montaggio ed esposizione dell’elenco delle shadow copy (libvshadow)
26. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
/mnt/vss# mount vss1 /mnt/windows_mount1
Passo 5) Enjoy
27. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
EVTEXPORT EVTINFO
EVTXEXPORT EVTXINFO
Passo 5) Enjoy
libevt - Strumen4 per l’analisi degli even4 di sistema
28. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
/mnt/vss# evtxinfo /mnt/windows_mount1/Windows/System32/winevt/Logs/Security.evtx
evtxinfo 20140112
Windows Event Viewer Log (EVTX) information:
Version : 3.1
Number of records : 9647
Number of recovered records : 0
Log type : Security
Flags:
Is dirty
Passo 5) Enjoy
29. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
# evtxexport /mnt/windows_mount1/Windows/System32/winevt/Logs/Security.evtx > export-security.txt
Passo 5) Enjoy
****************************************************
Event number : 5977
Written time : Feb 12, 2012 18:05:23.521610600 UTC
Event level : Information (0)
Computer name : Tizio-VAIO
Source name : Microsoft-Windows-Security-Auditing
Event identifier : 0x00001210 (4624)
Number of strings : 20
String: 1 : S-1-5-18
String: 2 : TIZIO-VAIO$
String: 3 : WORKGROUP
****************************************************
30. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
Passo 5) Enjoy – Comparazione del registry
hOp://sourceforge.net/projects/regshot/
Regshot is an open-source (LGPL) registry compare
uHlity that allows you to quickly take a snapshot of
your registry and then compare it with a second one
- done aGer doing system changes or installing a
new soGware product.
31. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
Passo 5) Enjoy – Comparazione del registry
# mount vss1 /mnt/windows_mount1
# cp -a /mnt/windows_mount1/Users/Tizio/NTUSER.DAT NT-old.dat
# mount -o ro,offset=$((29112320*512)) /mnt/ewf/ewf1 /mnt/windows_mount
# cp -a /mnt/windows_mount/Users/Tizio/NTUSER.DAT NT-new.dat
hOp://sourceforge.net/projects/regshot/
Prelievo da Shadow
Prelievo da volume aOuale
32. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
Passo 5) Enjoy – Comparazione del registry
Keys added: 8
Values added: 36
Values modified: 25
Total changes: 69
hOp://www.howtogeek.com/198679/how-to-use-regshot-to-monitor-your-registry/
33. Accesso e analisi delle copie shadow
OSD Udine 2015 - Luigi Ranzato luigi.ranzato@gmail.com
Validazione temporale dei contenu4:
• Quale validità temporale posso dare a ciò che è contenuto nelle copie shadow?
• I file allocaH e molH dei cancellaH hanno metadaH che li posizionano nel tempo, ma
un seOore abbandonato nel free space di un volume shadow che conHene testo
interessante? …. Può essere datato?
• “Only one thing is sure, your finding is dated before the last modificaLon of that
shadow volume” ------- mail@x-ways.com
• hkps://technet.microsor.com/en-us/library/ee923636(v=ws.10).aspx