1 / 23

IT Forensik

Mazur Lukas Pitscheider Guido Fh Stp – IT SECURITY 06. IT Forensik. Agenda. Was ist IT-Forensik? Wo/Was soll ich suchen? Analysearten Forensik-Distributionen Tools im Detail Limitations Info-Quellen Vorführung. Was ist IT-Forensik?. Spuren auf IT-Systemen / Netzwerken

deacon
Download Presentation

IT Forensik

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Mazur Lukas Pitscheider Guido Fh Stp – IT SECURITY 06 IT Forensik

  2. Agenda • Was ist IT-Forensik? • Wo/Was soll ich suchen? • Analysearten • Forensik-Distributionen • Tools im Detail • Limitations • Info-Quellen • Vorführung

  3. Was ist IT-Forensik? • Spuren auf IT-Systemen / Netzwerken • Suchen / Auswerten / Dokumentieren • Klassische Fragen (W-Fragen) • Motivation des „Angreifers“ • Zusammenhänge erkennen/beweisen • Schwachstellen identifizieren

  4. Wo/Was soll ich suchen? Was soll ich suchen? • Log-Files / Event-Logs • Zeitstempel beachten • Browser-cache • Suchanfragen • Webmail • History • … • Selbst verfasste Dokumente • Programme/Tools Wo soll kann ich (noch) suchen • ADS • Unallocated Space • Slack Space • Steganografie

  5. Analysearten • Online • Laufendes System • Flüchtiger Speicher • RAM • Cache • Netzwerk • Offline • Massenspeicher • Keine Änderungen

  6. Online – Analyse • Vorteile • Kompletter Systemzustand • Laufende Applikationen • Crypt-FS / Encrypted Files • Nachteile • Veränderung des Systems • Transport i.a. nicht möglich • „Fallen“

  7. Offline - Analyse • Vorteile • Keine Änderungen • Wiederholbarkeit der Analyse • Parallelisieren der Arbeit möglich • Transport leicht möglich • Nachteile • Flüchtige Daten verloren (Dienste, RAM, Netzwerk, Passwörter)

  8. Vorgangsweise - Online • CD-Tools nutzen • RAM-Dump • Laufende Programme • Outlook, Webmail,… • ARP-Table • Netstat • Dns-cache !!!! Mit jeder Tätigkeit kompromittiere !!!! !!!! ich das System !!!!

  9. Vorgangsweise - Offline • Datenträger-Image • Write-Blocker • Prüfsumme bilden • „Hashen“ • Auf Kopie arbeiten • Mount … -r • Am Ende Prüfsumme vergleichen • Wenn ungleich => • Image kompromittiert und somit ungültig!

  10. Distributionen • Helix • Debian-basierte Linux Distribution • Forensik Tools für Analyse • Bootfähiges Live – System (CD-ROM) • Gute Dokumentation • Laufende Weiterentwicklung • Windows Tools inkludiert • Weitere • Auditor • …

  11. Tools im Detail • Imaging: • dd • Das non-plus-ultra imaging tool  • Auch übers Netz mittels netcat! • Bsp: • Suspect PC: #dd if=/dev/sda | pipebench | gzip -fast | netcat -l -p 2000 • Client #netcat 192.168.x.x 2000 | gunzip | pipebench > /dump/img.dd

  12. Tools im Detail • Prüfsummen über Platten und Image-Dateien • # md5sum img.dd • # md5sum /dev/sda • # sha1sum img.dd • # sha1sum /dev/hda • Partitionierung / Klassifizierung • Fdisk • disktype

  13. Tools im Detail • Textsuche • Kontext / Stichwort-Liste sollte bekannt / vorbereitet sein BSP: Namen, Telefonnummern, Mail, Drogen, Waffen, Terror, Bomben, Al-Kaida  Bsp: (sehr einfach) • #cat img.dd | strings | egrep -i -f keywords.txt

  14. Tools im Detail • Strings / ifind / istat • Strings: „Suche den Byteoffset mit dem Keyword“ • Ifind: „Zeige mir den Inode zu dem Datenblock“ • Istat: „Zeite mir die Inode-Infomationen zu dem Inode“ (Filename, Blocks,…) • Bsp: • cat img.dd | strings –el | egrep <keyword> • ifind –d (byteoffset/fs-blocksize) img.dd • istat img.dd <inode>

  15. Tools im Detail • FS Blöcke • Voll belegt (Files) • Teilweise belegt (slackspace) • Nicht belegt (unallocated, gelöscht) • # dls /dev/loop1 > unallocated.dd • # dls –s /dev/loop1 > slackspace.dd

  16. Tools im Detail • Undelete • NTFS: ntfsundelete • FAT/EXT: Sleuthkit • Ntfsundelete /dev/loop1 • Ntfsundelete /dev/loop1 –u <inode> -d /recovery

  17. Tools im Detail • Undelete • Magicrescue • Anhand von Filesignaturen(recipies) werden Files recovered (unallocated-space) • Bsp: magicrescue –r /KNOPPIX/usr/local/share/ magicrescue/recipes/zip –d /unallocated.dd • Weitere Tools • foremost

  18. Tools im Detail • Archive • zip, bzip, tar… • Falls Passwort geschützt • Fcrackzip • Bsp: # fcrackzip -D -p /usr/share/dict/french -u /archive.dll

  19. Alternative Data Streams • Man kann auf NTFS Datenträgern ADS an normale Files anhängen ohne diese zu überschreiben / Größe ändern, … • => tolle Möglichkeit Informationen zu verstecken • Tools zum Finden von ADS: • Lads • Ffind • ADS in der Praxis

  20. Limitations • Nicht alles was man bei CSI sieht ist auch in der Realität möglich!  • Verbrannte Festplatten • Allgemein HW-Defekte • Encrypted Files • PGP • EncryptedFileSystems • Truecrypt • EFS

  21. Infoquellen • http://www.d-fence.be/ • http://www.linux-forensics.com/ • http://www.forensicswiki.org/wiki/Main_Page • http://www.computerforensicsworld.com/ • http://www.forensicfocus.com/ • http://www.forensics.nl/ • http://www.d-fence.be • http://www.lnx4n6.be

  22. Vorführung Zurücklehnen & Partizipieren 

  23. Vielen Dank für Ihre Aufmerksamkeit!

More Related