Digitalna forenzika - LUSYlusy.fri.uni-lj.si/files/courses/fri-courses/forenzika/prosojnice/... · 1/2/17 1 Digitalna forenzika Andrej Brodnik Andrej Brodnik: Digitalna forenzika

1/2/17

1

DigitalnaforenzikaAndrejBrodnik

AndrejBrodnik:Digitalnaforenzika

Računalnik

poglavje15• pričakovanopredznanje:• arhitekturaračunalnikov• osnovedelovanja(BIOS)• operacijskisistem• sekundarnipomnilnik(disk)innjegovaorganizacija• datotečnisistemi


Zagonračunalnika

• korakiobzagonuračunalnika• obzagonusesprožiBIOS(BasicInputOutputSystem)• OpenFirmware(MacPowerPC),EFI(MacIntel),OpenBootPROM(Sun),…

• tanarediPOST(PowerOnSelfTest)

• podatkiodelovanjusoshranjenivxROM• včasihgesloščitipodatke– dobitigeslooduporabnika


1/2/17

2

Zagonračunalnika...

• primerMoussawi:

Računalnikjebilzelodolgoshranjeninsejespraznilabaterijanamatičniplošči.

Dostopbilmogočspomočjopodatkov,kijihsojihpridobilišepredtem,kojezmanjkalonapajanja.

• pomembnokakosopodatkikodirani• ASCII,...• tankidebelikonec

• kajsezgodi,čeodnesešdisknadrugračunalnik


Formatdatoteke

• datotekeimajonazačetkuposebnepodpise(www.garykessler.net/library/file_sigs.html)• jpg:FFD8FFE0,aliFFD8FFE3• gif:474946383761 ali 47,ali 4946383961• doc:D0CF11E0A1B11AE1


Formatdatoteke–primer

• jpegzakodiranaexif(Exchangeableimagefileformat)datoteka


1/2/17

3

Formatdatoteke

• datotekajelahkognezdenavdrugidatoteki• poiščemodatoteko• jolahkooznačimoinprepišemo(copy-paste)• aliuporabimoorodjedd

• temupostopkurečemoobrezovanje/klesanje(carving)• drugaorodja:• scalpel(http://www.digitalforensicssolutions.com/Scalpel/),DataLifter(http://www.datalifter.com/)• EnCase (http://www.guidancesoftware.com/forensic.htm),FTK(ForensicToolkit,http://accessdata.com/products/computer-forensics/ftk),X-Ways(http://www.x-ways.net/)


Izrezovanje

• nakoncudobimosamovsebinoinnemeta-podatkovizimenika• drugiproblemje,dasolahkopodatkirazmetanipodisku• Adroit(http://digital-assembly.com/products/adroit-photo-forensics/)


Formatdatoteke– izziv

• Izziv: vgnezditevenodatotekodrugodatotekoterjoobjavitenaforumu.Natonajdrugikolegipoiščejovgnezdenodatotekoterjoizluščijo.Pritemuporabiteorodjeddalikakšnoodorodijomenjenihnaprejšnjistrani.• Izziv: sedajparazpršitedatotekovvečkosovinvsakegavstavitevdrugodatotekotervseobjavitenaforumu.Ponovnonajkolegipoiščejovašeporazdeljenekose.


1/2/17

4

Shrambapodatkovinskrivanje

• V/Ienotesopriključenenaračunalnikpreko:• vodila(IDE,ATA,SATA;SCSI,firewire)• vmesnika(controller)

• vmesnikisolahkotudipametni• SMART(Self-Monitoring,Analysis,andReportingTechnology)• hranistatistikedostopovinostalipodobnipodatki• običajnonisopomembnizaforenzičnoraziskavo



• podatketrajnoobičajnohranimonadisku• kakoizgledatrdidisk?



• kakojeorganizirandisk?• plošče,sledi(cilindri),sektorji,gruče

• naprvisledi,prvemsektorjusonadzornipodatki(MBR,masterbootrecord)• velikost(geometrija),slabibloki,particije,...

• kakoizgledaorganizacijapriSSD?


1/2/17

5


• Izziv: poiščiteorodjeanadiskinpoglejtekajznainzmorepočeti.

• Izziv: kakšnajestrukturaMBR?SestavitesvojMBRingaobjavitevforumu.



• pogledvbotsektorWindows95strojazorodjemNortonDiskUtils



• poenostavljenaorganiziranostdiskazdatotečnimsistemomFAT


1/2/17

6


• particija,volumen,snopič/del• vnjejdatotečnisistem• lahkotudibrezdatotečnegasistema



• skrivanjepodatkovzaradinotranjeinzunanjefragmentacije:• skrivanjeznotrajsektorja(bloka)– težkoinneobičajno• skrivanjeznotrajgruče• skrivanjeznotrajparticije(particijeseobičajnozačnejonazačetkusledi• skrivanjeparticije

• kriptiranjeparticije• servisnipodatki:DCO(Drive/deviceconfigurationoverlay)inHPA(Host/hiddenprotectedarea)–http://www.forensicswiki.org/wiki/DCO_and_HPA



• virusskritvpraznemkoncuparticije(volumeslack)


1/2/17

7


• kojedatotekaizbrisana,podatkineizginejo• tudi,koformatiramodisk,podatkineizginejo• poglejteorodjefdisk

• rezultatobehoperacijjepravilendatotečnisisteminkopicapraznihblokov

• orodja:sleuthkit (http://www.sleuthkit.org/),NortonDiskEdit,…



• primerrekonstrukcijedatoteknasvežeformatiranemdiskuzorodjemEnCase



• Izziv: poglejtekakoizgledaMBRinbootsektornavašemračunalnikuzustreznimorodjem.Poročajteotemnaforumu.• Izziv: preveritekonfiguracijovašegadiska.


1/2/17

8

Skrivanjepodatkov

• skrivanjeparticij• orodjeTestDisk(http://www.cgsecurity.org/)

• naravnidatotek• skrivanjedatotek:npr.MSWindows:attrib+H indir/AH• parlament.jpg->test.exe• slikovpredstavitev(ppt)

• najnovejšaorodja


Geslainkriptiranje

• orodjazarazbijanjeiniskanjegesel• PasswordRecoveryTool– PRTKinDistributedNetworkAttack– DNA(http://accessdata.com/products/computer-forensics/decryption)• JohntheRipper(www.openwall.com/john/)• CainandAbel(www.oxid.it/cain.html)• AdvancedArchivePasswordRecovery(www.elcomsoft.com/azpr.html)


Geslainkriptiranje

• večokriptiranjuinkriptografijikasneje• nekajprimerov• orodjecaesar,rot13• podporazaPGP• orodjecrypt


1/2/17

9

OSWindows

poglavje17• datotečnisistemi• reševanjepodatkov• zabeležke(logfiles)• register• komunikacijskesledi


OSWindows– datotečnisistemi

• dvaosnovnasistemaFAT(FileAllocationTable)inNTFS(NewTechnologyFileSystem)

• FAT• razvitnajprejzagibkediske(diskete)• FAT12,FAT16,FAT32


DatotečnisistemFAT

• FATxxjepovezanseznamindeksovgruč,vkaterihjeshranjenaposameznadatoteka• xxpomeništevilobitovuporabljenihzaindeks• 12=212=4096,16=216=65.536,32=228=268.435.456


1/2/17

10

DatotečnisistemFAT

• pogledkorenadatotečnegasistemanagibkemdiskuspomočjoprogramaX-Ways• hraničastvorjenjainzadnjespremembealedatumzadnjegadostopa


FAT


DatotečnisistemFAT

• Izziv: samipoglejtekakoizgledaFATnavašemdisku.Poglejtešeposebejtistegruče,kisoprazne– nisodelnobenegadatotečnegasistema.


1/2/17

11

DatotečnisistemNTFS

• sodobnejšidatotečnisistem• vsejevdatotekah• podatkeodatotekahhranivsistemskihdatoteki$MFT• imenikjesamodatoteka(Bdrevesnastruktura)• jednevniškidatotečnisistem(journal)inhranitransakcijenaddatotekovsistemskidatoteki$LogFile

• podpiravečfunkcionalnostiglededatotek• pravicadostopa(ACL– AccessControlList)

• boljevarovan,sajhranikopijepodatkovodatotečnemsistemunavečihmestih($MFTMirr)





• Izziv: poiščitevsvojemNTFSsistemugruče,kisoprazne(neuporabljene)innatopoglejtenjihovovsebino.


1/2/17

12

NTFS– $MFT

• primerenegazapisav$MFT• zapissestojiizprilastkov(attributes)• zapisjevelik1kB• čejedatotekamajhna,sehranikarvzapisu• pribrisanjusamozastavicainpotemsezapisponovnouporabi


NTFS– iskanjepodatkov

• pridatotekiobstajapojemfizičnevelikostivelikosti(gruče),logičnevelikosti(zapisvimeniku)inpojemkoncadatoteke(EOF)


NTFS– MFTzapis

• poglednaMFTzapisinrazlikamedobemavelikostima


1/2/17

13

NTFS– iskanjepodatkov

• vimenikulahkoobstajajodatotekezenakimiimeni



• Izziv: kateregručesestavljajovašodatoteko?• Izziv:poiščitezasedenaneuporabljendelvašedatoteke(nakaterihgručah)inkajvnjem.• Izziv: Kajsezgodi,čenaredimo1000datotek,jihnato1000pobrišemoindelamonaprej?


Kodiranječasapridatotekah

• FAT:1.1.1980+LLLLLLLMMMMDDDDDhhhhhmmmmmmsssss


1/2/17

14

Kodiranječasapridatotekah

• FILETIME• 64bitnizapis• vrednost=1.1.1600+število*100ns


NTFS– sledidatotek

• različneoperacijerazličnovplivajonazabeleženečasevimeniku(tvorjenje– TV,zadnjidostop– ZD,zadnjasprememba– ZS,zapisspremenjen(NTFS)– VS):• premikdatotekevsnopiču:nevplivananič• premikdatotekevdrugisnopič:TV,ZD,VS• kopiranjedatoteke(ciljnadatoteka):TV,ZD,VS• odreži&prilepi(cut&paste):ZD(*)• primi&potegni(drag&drop):ZD(*)• zbriši:ZD,VS

• posebnosti:• datotekanapalčki,lahkoprekoscp/...:TV>ZS• pribrisanjuimenika,sepodatkiodatotekahnespreminjajo


NTFS– sledidatotek...

• vsebinapisarniškihdatotekvsebujemetapodatkeizimenika• Shranikot:čenaistodatoteko,gredejanskozaprepisinnezatvorjenjenovedatotekevimeniku,nepavdatoteki

• tiskanjenajprejprepišedatotekovposebenimenikterjošelenatonatisne• C:\Windows\Spool\Printers,C:\WinNT\System32\Spool\Printers• tudi,kotiskamospletnovsebinoipd.


1/2/17

15

NTFS– sledidatotek...

• Izziv: najditedatoteko,kiimačastvorjenjavečjiodčasazadnjespremembe.• Izziv: Kajlahkorečete,čeimanekdotakšnodatotekonasistemuinimačaszadnjegadostopaenakčasutvorjenja?• Izziv: kajjetoEMFnačintiskanja?Kajsevtemprimerushranivdatotekitiskalniškevrste(spooler)?


Reševanjepodatkov• reševanjeizbrisanihdatotek• različnaorodja,kijihlahkopoganjamonaWindowsOS


� orodjeSleuthKitvkombinaciji zAutopsyBrowseromogočacelopregledovanjeprekobrskalnika(http://www.sleuthkit.org/autopsy/)

Reševanjepodatkov...

• Izziv: namestitesleuthkitinAutopsyBrowserinpoiščiteizgubljenedatoteke.


1/2/17

16


• iskanjeizgubljenihdatotekizvelikeneoblikovanegmote• enakokotobrezovanjudatotek


• orodje DataLifter:iščemoizgubljenodatotekoizdvehgmotpraznegaprostorainenegapreostankadatotečnegasistema


• čemajhnadatotekaprepiševeliko,lahkovečinovelikedatotekerekonstruiramo


• enCase:primernakupoval-negavozičkavCDUniverse,kisejeznašelvpreostankudatotečnegaprostora

Zabeležke(logfiles)

• operacijskisistem(odvisnoodnastavitev)beležimarsikaj• dostopidovirov,• pojavljanjeinbrisanjevirov,• napakeitd.

• shranjenena%systemroot%\system32\config (c:\winnt\...)• različnezabelžkevrazličnihdatotekah:Appevent.evt,Secevent.evt,Sysevent.evt


1/2/17

17

Zabeležke

• Izziv: preveriteformatevtdatotekeinpoglejte,kdajvnjih,kdajsteseprijavilivsistem.


Register

• vOSWindowssospremenljivkeokoljaprocesadefiniranevregistru• dejanskosopodatkishranjenivdatotekah(hives)vsistemskemimeniku%systemroot%\system32\config• ntuser.dat zavsakegauporabnikasvojadatoteka

• datotekelahkopregledujemozWindowsorodjemregedt32(EnCase,FTK,...)


Register

• Izziv: preučiteforenzičnovrednostpodatkovvregistru.


1/2/17

18

Omrežnesledi

• nekajtudiizsistemskegaokolja• obvzpostavitvipovezave,...

• večinaizviraneposrednoizaplikacij• brskalniki,poštniagenti,...


Omrežnesledi- brskalniki

• zgodovina:• firefox-3jehranilzgodovinovsqlitepodatkovnibaziPlaces.sqlite• internetexplorerhranizgodovinovindex.dat• orodjasonavoljozaiskanjepotehbazah:Oddesa(www.odessa.sourceforge.net)

• lokalni predpomnilnik• piškoti


Brskalniki– piškoti

• primerpregledapiškotovzCookieView(www.digitaldetective.co.uk)


1/2/17

19

Brskalniki

• Izziv: poiščitekakšniostankevsvojempredpomnilnikuinjihpreveritezzgodovinobrskanja.• Izziv: dobiteodprijateljadatotekozzgodovinonjegvegabrskalnikainjorazvozljajte.• Izziv: preveritekakšnevsesledipuščabrskalnikIE,kakšneMozillainkakšneOpera.


E-pošta

• sledisoodvisneodpoštnegaagenta,kigauporabljamo• poslanainprejetapošta• povzetkiIMAPnabiralnikov

• vsebina,kijezanimiva• samobesedilopošte• priponke(!)– MIMEformat


Drugiprogrami

• različniprogramipuščajorazličnesledi• omrežnoprogramje• dostopdodrugihsistemov• dostopdrugihsistemovdonašegasistema

• sistemskiprogramipuščajosledivregistru


1/2/17

20

Slediomrežnegadostopa

• telnetdostopdoacf2.nyu.edu


Documents

Digitalna forenzika - LUSYlusy.fri.uni-lj.si/files/courses/fri-courses/forenzika/prosojnice/... · 1/2/17 1 Digitalna forenzika Andrej Brodnik Andrej Brodnik: Digitalna forenzika