Mazur lukas pitscheider guido fh stp it security 06
This presentation is the property of its rightful owner.
Sponsored Links
1 / 23

IT Forensik PowerPoint PPT Presentation


  • 180 Views
  • Uploaded on
  • Presentation posted in: General

Mazur Lukas Pitscheider Guido Fh Stp – IT SECURITY 06. IT Forensik. Agenda. Was ist IT-Forensik? Wo/Was soll ich suchen? Analysearten Forensik-Distributionen Tools im Detail Limitations Info-Quellen Vorführung. Was ist IT-Forensik?. Spuren auf IT-Systemen / Netzwerken

Download Presentation

IT Forensik

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Mazur lukas pitscheider guido fh stp it security 06

Mazur Lukas

Pitscheider Guido

Fh Stp – IT SECURITY 06

IT Forensik


Agenda

Agenda

  • Was ist IT-Forensik?

  • Wo/Was soll ich suchen?

  • Analysearten

  • Forensik-Distributionen

  • Tools im Detail

  • Limitations

  • Info-Quellen

  • Vorführung


Was ist it forensik

Was ist IT-Forensik?

  • Spuren auf IT-Systemen / Netzwerken

  • Suchen / Auswerten / Dokumentieren

    • Klassische Fragen (W-Fragen)

    • Motivation des „Angreifers“

  • Zusammenhänge erkennen/beweisen

  • Schwachstellen identifizieren


Wo was soll ich suchen

Wo/Was soll ich suchen?

Was soll ich suchen?

  • Log-Files / Event-Logs

  • Zeitstempel beachten

  • Browser-cache

    • Suchanfragen

    • Webmail

    • History

  • Selbst verfasste Dokumente

  • Programme/Tools

    Wo soll kann ich (noch) suchen

    • ADS

    • Unallocated Space

    • Slack Space

    • Steganografie


Analysearten

Analysearten

  • Online

    • Laufendes System

    • Flüchtiger Speicher

      • RAM

      • Cache

      • Netzwerk

  • Offline

    • Massenspeicher

    • Keine Änderungen


Online analyse

Online – Analyse

  • Vorteile

    • Kompletter Systemzustand

    • Laufende Applikationen

    • Crypt-FS / Encrypted Files

  • Nachteile

    • Veränderung des Systems

    • Transport i.a. nicht möglich

    • „Fallen“


Offline analyse

Offline - Analyse

  • Vorteile

    • Keine Änderungen

    • Wiederholbarkeit der Analyse

    • Parallelisieren der Arbeit möglich

    • Transport leicht möglich

  • Nachteile

    • Flüchtige Daten verloren

      (Dienste, RAM, Netzwerk, Passwörter)


Vorgangsweise online

Vorgangsweise - Online

  • CD-Tools nutzen

  • RAM-Dump

    • Laufende Programme

      • Outlook, Webmail,…

    • ARP-Table

    • Netstat

    • Dns-cache

      !!!! Mit jeder Tätigkeit kompromittiere !!!!

      !!!! ich das System !!!!


Vorgangsweise offline

Vorgangsweise - Offline

  • Datenträger-Image

    • Write-Blocker

  • Prüfsumme bilden

    • „Hashen“

  • Auf Kopie arbeiten

    • Mount … -r

  • Am Ende Prüfsumme vergleichen

    • Wenn ungleich =>

    • Image kompromittiert und somit ungültig!


Distributionen

Distributionen

  • Helix

    • Debian-basierte Linux Distribution

    • Forensik Tools für Analyse

    • Bootfähiges Live – System (CD-ROM)

    • Gute Dokumentation

    • Laufende Weiterentwicklung

    • Windows Tools inkludiert

  • Weitere

    • Auditor


Tools im detail

Tools im Detail

  • Imaging:

    • dd

      • Das non-plus-ultra imaging tool 

      • Auch übers Netz mittels netcat!

    • Bsp:

      • Suspect PC:

        #dd if=/dev/sda | pipebench | gzip -fast |

        netcat -l -p 2000

      • Client

        #netcat 192.168.x.x 2000 | gunzip | pipebench > /dump/img.dd


Tools im detail1

Tools im Detail

  • Prüfsummen über Platten

    und Image-Dateien

    • # md5sum img.dd

    • # md5sum /dev/sda

    • # sha1sum img.dd

    • # sha1sum /dev/hda

  • Partitionierung / Klassifizierung

    • Fdisk

    • disktype


Tools im detail2

Tools im Detail

  • Textsuche

    • Kontext / Stichwort-Liste sollte bekannt / vorbereitet sein

      BSP: Namen, Telefonnummern, Mail, Drogen, Waffen, Terror, Bomben, Al-Kaida 

      Bsp: (sehr einfach)

    • #cat img.dd | strings | egrep -i -f keywords.txt


Tools im detail3

Tools im Detail

  • Strings / ifind / istat

    • Strings: „Suche den Byteoffset mit dem Keyword“

    • Ifind: „Zeige mir den Inode zu dem Datenblock“

    • Istat: „Zeite mir die Inode-Infomationen zu dem Inode“ (Filename, Blocks,…)

    • Bsp:

    • cat img.dd | strings –el | egrep <keyword>

    • ifind –d (byteoffset/fs-blocksize) img.dd

    • istat img.dd <inode>


Tools im detail4

Tools im Detail

  • FS Blöcke

    • Voll belegt (Files)

    • Teilweise belegt (slackspace)

    • Nicht belegt (unallocated, gelöscht)

    • # dls /dev/loop1 > unallocated.dd

    • # dls –s /dev/loop1 > slackspace.dd


Tools im detail5

Tools im Detail

  • Undelete

    • NTFS: ntfsundelete

    • FAT/EXT: Sleuthkit

    • Ntfsundelete /dev/loop1

    • Ntfsundelete /dev/loop1 –u <inode> -d /recovery


Tools im detail6

Tools im Detail

  • Undelete

    • Magicrescue

      • Anhand von Filesignaturen(recipies) werden Files recovered (unallocated-space)

      • Bsp:

        magicrescue –r /KNOPPIX/usr/local/share/ magicrescue/recipes/zip –d /unallocated.dd

  • Weitere Tools

    • foremost


Tools im detail7

Tools im Detail

  • Archive

    • zip, bzip, tar…

    • Falls Passwort geschützt

      • Fcrackzip

      • Bsp:

        # fcrackzip -D -p /usr/share/dict/french -u /archive.dll


Alternative data streams

Alternative Data Streams

  • Man kann auf NTFS Datenträgern ADS an normale Files anhängen ohne diese zu überschreiben / Größe ändern, …

  • => tolle Möglichkeit Informationen zu verstecken

  • Tools zum Finden von ADS:

    • Lads

    • Ffind

  • ADS in der Praxis


Limitations

Limitations

  • Nicht alles was man bei CSI sieht ist auch in der Realität möglich! 

    • Verbrannte Festplatten

    • Allgemein HW-Defekte

    • Encrypted Files

      • PGP

    • EncryptedFileSystems

      • Truecrypt

      • EFS


Infoquellen

Infoquellen

  • http://www.d-fence.be/

  • http://www.linux-forensics.com/

  • http://www.forensicswiki.org/wiki/Main_Page

  • http://www.computerforensicsworld.com/

  • http://www.forensicfocus.com/

  • http://www.forensics.nl/

  • http://www.d-fence.be

  • http://www.lnx4n6.be


Vorf hrung

Vorführung

Zurücklehnen

&

Partizipieren 


It forensik

Vielen Dank für Ihre Aufmerksamkeit!


  • Login