2. Forensics: Определение
Расследование инцидентов – это процесс
исследования устройств хранения и
передачи данных и каналов передачи
данных для выявления неавторизованных,
нежелательных или нелегальных
действий.
3. Forensics: Цели
Выявление причин инцидента
Восстановление последовательности
событий
Определение исполнителя
/исполнителей
Подготовка материалов для судебного
процесса
4. Forensics: Процесс
Идентификация инцидента
Изоляция и/или сбор свидетельств
Обработка, обзор и/или анализ
свидетельств
Представление результатов
5. Задания с PHDays CTF 2011 / Afterparty
Проверяем знания, навыки и умение
пользоваться инструментарием
Thumbs.db
Работа с памятью
Пароли пользователей
Исследуем pcap
“malware” & coreutils
6. Thumbs.db: Windows thumbnail cache
JPEG, BMP, GIF, PNG, TIFF, AVI, PDF,
PPTX, DOCX, HTML и многие другие
< Windows Vista
директория с файлами
> Windows Vista
%userprofile
%AppDataLocalMicrosoftWindows
Explorer
10. Thumbs.db: дополнительные материалы
http://vinetto.sourceforge.net
http://accessdata.com/media/en_us/print/paper
s/wp.Thumbs_DB_Files.en_us.pdf
11. Далее…
Работа с памятью
Пароли пользователей
Исследуем pcap
“malware” & coreutils
12. Задание
Что имеем?
zip архив
Что внутри?
Readme
Ubuntu 10.10 Server i386.vmx
Ubuntu 10.10 Server i386.vmdk
Ubuntu 10.10 Server i386.vmem
13. Вспомнить всё
Типы файлов VMware
.log Журнал событий.
.nvram Состояние BIOS-а виртуальной машины.
.vmdk Виртуальный диск с содержимым жесткого диска виртуальной
машины.
.vmem Файл подкачки виртуальной машины с копией памяти гостевой
системы. Этот файл существует только при работе виртуальной машины
или в случае ошибки работы виртуальной машины.
Каждый snapshot имеет соответствующий vmem файл с сохраненной
памятью на момент создания.
.vmsn Данные о состоянии виртуальной машины во время создания
snapshot-а.
.vmsd Данные о snapshot-ах.
.vmss Состояние виртуальной машины на момент suspend-а.
.vmtm Конфигурационный файл для виртуальных машин объединенных в
группы.
.vmx Основной конфигурационный файл виртуальной машины.
.vmxf Дополнительный конфигурационный файл для виртуальных машин
объединенных в группы.
20. Работа с памятью: дополнительные материалы
https://www.volatilesystems.com/default/volatility
http://code.google.com/p/volatility/
http://www.forensicswiki.org/wiki/List_of_Volatility_P
lugins
21. Восстановление файлов: дополнительные материалы
http://foremost.sourceforge.net
http://www.forensicswiki.org/wiki/File_Carving
http://www.digitalforensicssolutions.com/Scalpel
http://www.mcafee.com/us/resources/white-
papers/foundstone/wp-intro-to-file-carving.pdf
23. Статика vs. Динамика
Корректное выключение
При корректном выключении системы вредоносное
программное обеспечение может удалить различные
свидетельства
Выключаем питание
При отключении питания можно повредить файловую
систему или, к примеру, прервать процесс
копирования данных из памяти на жесткий диск
Работающая система
В общем, при выключении системы теряется
информация, которая хранится во временной памяти
или, в случае с шифрованием данных, можно
столкнуться с проблемой того, что расшифрованная
информация становится недоступной
