Introduction to IT forensic technology and IT security · sektor, icke allokerad disk, slack space… ALLT! • Hittade filer eller fragment av filer kan sparas till nya filer i caset

Introduction to IT forensic technology and IT security

Partitions and filesAccessData FTK Imager and FTK

(Forensic ToolKit)Digital investigator knowledge and skills

Logga bevis med forensiska verktyg

• AccessData FTK (Forensic Tool Kit) och de flesta andra forensiska tool kit (se lista senare) har funktionalitet för– Rapport av undersökningen och loggning av information– Återskapa raderade filer och inbäddade filer i filer– Hitta data/filer i slack-space och free-space– Carving för att hitta data och filer– Olika typer av filsystem– Rapporter om funna filer på disken och deras hash– Filtypsanalyser av header (filer med fel filsuffix)– Time-lines för filer i systemet– Mycket mera…

• Verktygens kostnad är från fria -> mycket dyra

Sorterade filer efter indexering av ett case (image)

Figure 1.1

Copyright © 2011 Academic Press Inc.©2011 Eoghan Casey. Published by Elsevier Inc. All rights reserved.

FIGURE 15.5 A depiction of platters, tracks, sectors, clusters, and heads on a computer disk.

Track, sector and cluster

LBA (Logical Block Addressing)• LBA, kallas även Linear Base

Address – Är den vanligaste adresserings

metoden• Cylinder-Head-Sector (CHS)

schema• LBA har 48 bits adressering

– Geometri translation i BIOS– 128 pebibyte (PiB, 2^50) om 512

byte sektorer används

Beginning End

Linear Model

Platter Model

Beginning End

LBA=0 Index=i

Figure 1.1


FIGURE 15.6 Simplified depiction of disk structure with two partitions, each containing a FAT formatted volume.

DOS/MBR PartitionerVBR (Volume Boot Record)

DOS/MBR Partitioner• Partitionsinformationen är alltid lagrad på cylinder

0, head 0, sector 1 (sector 0 i vissa program) dvs. den första sektorn

• Master Boot Record (MBR) – de första 512 byten

File System Forensic Analysis - Brian Carrier

MBR 446-509

Locical disk?Physical disk?

Endiannesshttp://en.wikipedia.org/wiki/Endianness

• Byte och bit ordningen för att representera data

• Little endian– Intel x86, LSB at lowest adress

• Big endian– Motorola, MSB at lowest adress

• Bi endian– I princip alla andra processorarkitekturer - inställningsbar– ARM, MIPS, SPARC, IA64 etc.

• Word exempel– 0x39 LE– 0x93 BE 0x1023

6

0x1024

9

0x1025

3

Adress

Data

0x1026

5

Word

http://en.wikipedia.org/wiki/Endianness

DOS/MBR Partitioner• Disk/partition parameters 446 - 509• 4 primary partitions can be created on DOS disks

– Boot code points to VBR (Volume Boot Record) or Boot sector

1 0 3 2 5 4 7 6 9 8 11 10 13 12 15 14

= 0x00960525 = 98311717= 0x0000003F = 63= 0x63BFFE= 0x07= 0x000101= 0x00

Tolkning av ett 16 byte partition entry – omvandla LE word till BE byte-indexoch läs som LE eller BE

File System Forensic Analysis - Brian Carrier

Big Endian

Några DOS Partition typer

DiskExplorer MBR

Formatering av diskarhttp://support.microsoft.com/?kbid=302686

• Quick format (Windows)– Tar bara bort FAT/MFT (File Allocation Table)/(Master File Table) – Allt annat är kvar på disken

• Regular format (Windows)– Som quick format men scannar även efter bad sectors

• ”Low level format” utility från disktillverkare– Gör write-read verify och andra kontroller av disken

• ”Low level format” från fabrik– Servo, sector layout, defect management etc.– Håller för diskens livstid, kan inte göras om

• Återställa MBR – odokumenterat kommando– FDISK /MBR (DOS/Windows)

• VISTA/7 från Windows RE (Recovery Environment)– bootrec /FixMbr och bootrec /FixBoot

http://support.microsoft.com/?kbid=302686

Create a bit-stream image 1

• DOS - diskcopy– a:\>diskcopy [drive1] [drive2] /V

• Linux – dd (disk dumper?)– http://en.wikipedia.org/wiki/Dd_(Unix) – dd if=/dev/floppy of=/evidence/floppyImage.dat– Paramatrar: bs=4096 conv=noerror count=1

Hårdvaruskrivskydds

device

http://en.wikipedia.org/wiki/Dd_(Unix)

Figure 1.1


FIGURE 16.4 Comparing bitstream copying to regular copying.

Create a bit-stream image 2

File end File start File end File start

Figure 1.1


FIGURE 17.4 Diagram of file with a logical size that is larger than its valid data length, leaving uninitialized space.

File size

Sector border Cluster border

Sectors are usually 512 byte, which is the smallest writable size - clusters are usually 4 kB in size

Söka efter data i slack space“Cluster level searching”

• Kallas även för file carving (datacarve i accessdata)• Söker igenom hela disken på byte nivå inklusive boot

sektor, icke allokerad disk, slack space… ALLT!• Hittade filer eller fragment av filer kan sparas till nya filer

i caset– Gamla raderade filer eller filer som finns inbäddade i andra filer

• Sökverktyget måste ha stöd för och kunna identifiera både HEX, ASCII och Unicode tecken m.m.

• Långsammare än ”content level searching”• Går ut på att söka efter textsträngar och efter filheaders

och footers• Man måste i stort sett veta vad man letar efter om inte

bra stöd finns i verktyget– Scalpel är ett bra verktyg, härstammar från Foremost– TestDisk & PhotoRec

File mangling• Är konsten att modifiera en fil för att dölja innehållets

format - i syfte försvåra att rätt applikation kan använda filen– Analysera filens suffix, header signatur och format

• Tusentals format existerar!– http://www.webopedia.com/quick_ref/fileextensions.asp eller

http://filext.com/ – http://www.wotsit.org - programmer's file and data format

resource • File mangling metoder

– Ändra filens suffix– Ändra filens association i registret

• Ikonen för filen ändras• Rätt program startar inte som default

http://www.webopedia.com/quick_ref/fileextensions.asp

http://filext.com/

http://www.wotsit.org/

Inspektera filheaders för signaturer

• Om tveksamhet förekommer ang. suffix inspektera med hex editor

• De flesta filer har en unik signatur– .dll, .sys, .ocx, .drv, .exe och några till börjar med

”MZ” eller 4D5A i hex– Grafiska filer brukar ha suffixet med i headern

• Att inspektera många filer är inget litet jobb– Görs automatiskt i forensiska verktygen

• AccessData – Outside In Technology från Stellent– Man kan göra ett eget script eller program för detta

ganska lätt– Technology Pathways har en signaturlista de tagit

fram tillsammans med Harlan Carvey

Image-format• Format som har extra info, t.ex. EWF

• Unix/Linux dd (raw) format

Källa:afflib.org

FTK Imager image-format

• FTK imager kan skapa– Raw dd– SMART– Encase

• FTK imager läser

FTK imager gränssnitt

Interpreters

Figure 1.1


FIGURE 16.9 Forensic date and time decoder. These times are generally GMT and must be adjusted for time zones.

http://www.digital-detective.co.uk/

Other time decoders

Drive FreespaceNär FTK Imager hittar en kontinuerlig “klump” med ledig diskyta

(unallocated space) så namnger den och identifierar ytan med det kluster den börjar med

Nedan kan vi se en 262140 KB klump som börjar på kluster 3 och en annan 2624 KB klump som börjar på kluster 65790 osv.

Exporting Files / Folders

Hash Values

Results in a CSV file

Acquisition

Verification

Encase / DD ??

Verified based on image format

News in FTK imager 3.x

News in FTK imager 3.x

Tekniker att gömma data• Det finns många sätta att gömma data på, de

mest kända– Raderade filer? (ett specialfall)– Hidden file attribute– Alternate Data Streams (ADS)– Steganografi– Slack space/ej allokerade kluster– File mangling– Ofta spenderas en stor del av tiden i en forensisk

undersökning inom detta område• Krävande och tidsödande men samtidigt intressant

Gömda filer• Attrib +h kommandot• Show hidden files option i

explorer• Det finns normalt sett många

gömda filer i ett system– Malware eller normalt?

• Explorer är inte optimal– HFind från Foundstone är bättre

• Linux/Unix/Mac– Filer som börjar med ’.’

Figure 1.1


FIGURE 17.9 DataLifter being used to carve files from two blobs of unallocated space and one blob of file slack from a system.

http://www.datalifter.com

Carving for files

http://www.cgsecurity.org/wiki/PhotoRec

FTK Interface

Menu Commands

Toolbars

Overview Tab

Explore Tab

Graphics Tab

E-Mail Tab

Search Tab

Bookmark Tab

FTK Case Files

<casename>.ftk

Creating a New Case

New Case Information

Examiner Information

Case Log Options

Process Options

Refining Case Evidence

Defining Index Parameters

Selecting Case Evidence

Evidence Information

FTK Time Zone Settings• FTK requires selection of a

time zone for any FAT volume

• FAT times are converted to GMT in the case databaseo FAT vs. NTFS

• Removable Mediao Should get the settings of

associated computers if they exist

o Use local settings if they do not

Setup Completion

AccessData Registry Viewer

Password Recovery ToolKitDictionary Tools...Manage Profiles...

Right or double click to get more properties and information about the recovery jobNote! May need to be started as admin

DI - ”mjuka” färdigheter

• Undersökande/analyserande färdigheter– Logisk

• Effektiv vid interaktion med människor, ”social förmåga” att kunna ”ta” människor– Behövs vid intervjuer med vittnen och brottslingar

• Skriva och kommunicera– Måste kunna förklara så alla förstår och

skriva/dokumentera på ett professionellt sätt• Objektivitet och professionalism

– Bevis kan svänga om till den misstänktes fördel– Omsorg om detaljer är en nyckelfaktor– Förbli fokuserad på fakta

DI tekniska färdigheter 1• En DI använder ofta mycket tekniskt avancerade

specialverktyg– Operativsystemets verktyg och egenskaper, script

• Time, date, events, loggar, tasklist … etc.– Windows resource kit eller speciella 3:dje parts verktyg

• Acctinfo, pview, pviewer etc.• Psinfo (sysinternals), Forensic Toolkit (Foundstone, McAfee), etc.

– CF toolkits• AccessData – FTK, http://www.accessdata.com • Guidance – Encase, http://www.guidancesoftware.com• Vogon – Gentree, http://www.vogon.co.uk• Paraben - http://www.paraben.com• X-Ways - http://www.x-ways.net• Smart ASR data - http://www.asrdata.com• ProDiscover - http://www.techpathways.com• ILOOK – ILook Investigator, http://www.ilook-forensics.org• i2 - Analyst Notebook, http://www.i2.co.uk

DI tekniska färdigheter 2

• UNIX/Linux har en stor mängd fria verktyg som kan användas för både nät och datorundersökning– The Sleuth Kit (TSK) http://www.sleuthkit.org, PTK, etc.

• Live CDs/VMware– Forensic Wiki: http://www.forensicwiki.org/Tools– DEFT, Helix3 etc.– SANS Investigative Forensic Toolkit (SIFT) Workstation

• Många fler… http://www.e-evidence.info/vendors.html• Nätverk

– Protokollanalysatorer, brandväggar, IDS, olika nätverksloggar• Hex-editorer - stegeanografi verktyg etc.• Uppbyggnad av binära filer och assembler för analys• Hårdvara - ALLT!

– Embedded systems…

http://www.sleuthkit.org/

DI OS tekniska färdigheter 1

• Avancerad kunskap om främst Windows-system– Men även: Mac OSX, GNU/Linux, Android etc.

• Filsystem– Transaktionsloggar, metadata som t.ex. ADS (Alternate

Data Streams – NTFS kompabilitet med HFS men används för mycket annat)

• Krypteringstekniker, verktyg, algoritmer, applikationer osv…– EFS, TrueCrypt, RSA, DES, PKI, Certifikat

• Processer, dynamiskt länkade filer, drivrutiner– Svchost (Microsoft Service Host Process), CSRSS

(Client/Server Runtime Server Subsystem), LSASS (Local Security Authority Service)

CF OS tekniska färdigheter 2

• Autentiseringsprocess, biometri och auditing (logisk logg som ökar spårbarheten i system)– Kerberos, CHAP, SID (security identifier)

• Patch management, signaturer• Service, system och applikationsloggning

– system.evtx, application.evtx, security.evtx– syslog.log, messages.log– Microsoft System Center Operations Manager

• Kännedom om attackerares verktyg, arbetssätt och systems svagheter, exploits, rootkits etc.– Olika slags attacker, elevera user credentials, dölja

filer/processer, remote access etc.

Documents

Introduction to IT forensic technology and IT security · sektor, icke allokerad disk, slack space… ALLT! • Hittade filer eller fragment av filer kan sparas till nya filer i caset