Folie 1
Transcription
Folie 1
Digitale Forensik Schulung Bundespolizeiakademie März 2009 Teil 11+12: Datenträgersicherung (inklusive Übung) Dipl-Inform Markus Engelberth Dipl-Inform Christian Gorecki Universität Mannheim Lehrstuhl für Praktische Informatik 1 Dr. Kay Schumann Universität Bonn Institut für Strafrecht Name und Datumwww.uni-mannheim.de Seite Motivation • Durchspielen des Sicherungsprozesses • Normalerweise machen das die Tools (fast) automatisch • Trotzdem wichtig zu wissen, wie das geht • Übung: Sicherung eines Datenträgers mit dd Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Übersicht • Verwendung von dd • Integritätssicherung • Verwendung von BackTrack Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Sicherung mittels dd • dd (disk dump) ist ein einfaches und flexibles Werkzeug zum Sichern von Festplatten – Kommandozeilenorientiert, viele Optionen – Ursprünglich aus der Unix-Welt, aber auch WindowsVersionen verfügbar • dd kopiert Datenblöcke von einer Datei in die andere – dd kümmert sich nicht um die Daten, die kopiert werden – dd kennt keine Dateisysteme, nur Dateien – In Unix ist alles eine Datei – Standard-Blockgröße ist 512 Byte, sollte jedoch immer explizit angegeben werden (nicht auf Standardverhalten verlassen) Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Beispiel • Parameter: – Quelle (input file): if=... • Falls keine Quelle angegeben, wird Standardeingabe verwendet – Ziel (output file): of=... • Falls kein Ziel angegeben, wird Standardausgabe verwendet – Blockgröße (block size): bs=... • Beispiel: – dd if=file1.dat of=file2.dat bs=512 Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Quellen • In Linux gibt es für jedes Speichermedium und jede Partition eine Gerätedatei in /dev – Beispiel: ATA Master auf erstem Kanal ist /dev/hda • In Windows benutzt man die Notation \\.\ – Beispiel: \\.\PhysicalDrive0 • Blocksize kann beliebig sein (Anzahl von Bytes) – – – – Von 1 bis 1 GB, Platte liest aber immer einen Block Parameter zu klein: Vergeudet Zeit beim Lesen Parameter zu groß: Dauert lange, bis interne Puffer voll sind Für schnelles Kopieren Werte zwischen 2K und 8K gut [Carrier, p. 61] Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Ziele • Ziel kann entweder eine neue Datei oder ein Laufwerk sein • Beispiele: – dd if=/dev/hda of=/mnt/hda.dd bs=2k – dd if=/dev/hda of=/dev/hdb bs=2k Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Standardausgabe • Wenn kein Ziel angegeben wird, dann wird die Standardausgabe verwendet – Verwenden weiterer Tools zur Analyse möglich • Beispiele: – MD5-Summen: md5sum – Lesbare Zeichenfolgen extrahieren: strings – Daten über das Netzwerk schicken: ssh, netcat, cryptcat Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Netcat • Netcat und Cryptcat sind Werkzeuge zum (verschlüsselten) Senden von Daten über das Netz • Beispiel: forensische Workstation mit IP 10.0.0.1 • Einen Port aufmachen, eingehende Daten in eine Datei schreiben – nc -l -p 7000 > disk.dd • Auf dem untersuchten Rechner von CD Booten und Ausgabe von dd über das Netz schicken – dd if=/dev/hda bs=2k | nc -w 3 10.0.0.1 7000 Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Hash-Summen • md5sum – Berechnet MD5 einer Datei • md5deep: http://md5deep.sourceforge.net/ – Berechnet MD5 eines Verzeichnisbaums Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Verwendung (Quelle: Dornseif) Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Alternativen zu dd • dd ist sehr mächtig, hat aber auch Nachteile: – – – – – Überschreibt Ausgabedatei Keine erneuten Leseversuche bei Lesefehlern Keine Fortschrittsanzeige Keine Netzwerkfähigkeit Zu viele Features • Alternativen: – dd_rescue: http://www.garloff.de/kurt/linux/ddrescue/ • Kann mehrere Leseversuche unternehmen • Kann „rückwärts“ lesen • Fortschrittsindikator – sdd: ftp://ftp.berlios.de/pub/sdd/README • Deutlich schneller als dd, hilfreichere Ausgaben – dcfldd: http://dcfldd.sourceforge.net/ • Hashing eingebaut – pcopy: http://www.lysator.liu.se/~pen/pcopy/ • Peter‘s Disk-to-Disk Copying Tool Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Übersicht • Verwendung von dd • Integritätssicherung • Verwendung von BackTrack Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Sichere Arbeitsumgebung • Ideal: abgesicherte forensische Workstation mit – viel Plattenplatz, – vielen Laufwerken/Schnittstellen, – und allen Tools, die man gerne hat. • Falls nicht zur Verfügung, sind Live CDs eine gute Wahl – Kann man immer dabei haben – Sollte immer eine aktuelle Version sein Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Live/Boot CDs • Forensic and Incident Response Environment (F.I.R.E.) – Als ISO-Image erhältlich, inkl. Sleuthkit, Autopsy, Incident Response Tools, Virusscanner, Pentestsoftware – Basiert auf Red Hat – Hybrid-CD: auch lauffähige Windows-Tools enthalten – http://sourceforge.net/projects/biatchux • Knoppix Security Tools Distribution (STD) – Gute Hardware-Erkennung, viele Security- und Forensiktools – http://s-t-d.org/ • Incident Response & Forensics Live CD (Helix) – http://www.e-fense.com/helix/ – Knoppix-basiert, Hybrid-CD – Enthält alle gängigen Forensik-Tools Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Helix früher… Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Helix heute… Quelle: http://www.e-fense.com/h3-enterprise.php Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Helix heute… Quelle: http://www.e-fense.com/h3-enterprise.php Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Sleuthkit • www.sleuthkit.org • Sammlung von quelloffenen Kommandozeilentools von Brian Carrier – Zur Geschichte: http://www.sleuthkit.org/informer/sleuthkitinformer-1.html#design • Ursprünglich eine Erweiterung des TCT (Coroners Toolkit) – Erlaubt auch Analyse von FAT und NTFS – Für Experten mit Hintergrundwissen über Dateisysteme • Jetzt auch Merchandise erhältlich • Für Unix/Linux bzw. cygwin Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Sleuthkit Übersicht • mmls: Ausgabe der Partitionstabelle eines Laufwerks • fsstat: Dateisystemlayout anzeigen • ffind: findet (auch gelöschte) Dateinamen, die auf eine Metadatenstruktur (z.B. Inode) zeigen • fls: listet alle Dateinamen im Verzeichnis (auch gelöschte) • icat: wie bei TCT • ifind: findet Metadaten mit gewünschten Eigenschaften • ils: listet Metadatenstrukturen und ihre Inhalte • istat: Übersicht über Metadateneintrag • dcat: Extrahiert Inhalt eines Datenblocks • dls: Informationen über Datenblöcke, kann auch alle unbelegten Datenblöcke extrahieren • dstat: Übersicht über Datenblock Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Autopsy • HTML-basiertes grafisches Frontend zum Sleuthkit • Open Source, geschrieben in Perl und C, auch von Brian Carrier – Mittlerweile starke Konkurrenz zu kommerziellen Produkten • Features: – – – – – – – Case Management Suchen nach Schlüsselwörtern auf der ganzen Platte Prüfsummen-Datenbank Dateitypanalyse (Befehl file) Timeline-Analyse (Befehl mactimes) Datenexport in verschiedene Formate Unterstützung für das Anfertigen von Berichten (z.B. HistoryDatei, Notizmöglichkeit) Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Quelle: http://www.sleuthkit.org/autopsy/images/timeline1.gif Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Data Carver etc. • Analysieren unbelegte Datenblöcke nach typischen Mustern – Dateiheader, -footer, interne Datenstrukturen • Foremost – Ursprünglich von der US Air Force entwickelt, jetzt frei – http://foremost.sourceforge.net/ – Kann dd/Encase/XYZ-Images durchsuchen oder direkt die Platte • Gute und aktuelle Übersicht über weitere Tools auf Alexander Geschonnecks Webseite zum Buch – http://computer-forensik.org/tools/ Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Verwendung von BackTrack • BackTrack stellt die zuvor betrachteten Werkzeuge / Programme bereit • Wir haben BackTrack bereits ausprobiert • Linux Exkurs • Forensik mit BackTrack Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Zusammenfassung • Verwendung von dd • Integritätssicherung • Verwendung von BackTrack • Jetzt Übung... Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Erste Übung (leicht) • Sie bekommen eine Diskette • Fertigen Sie ein lokales dd-Image der Diskette an • Prüfen Sie die Integrität des Images • Sichern Sie anschliessend das Image über das Netz mittels netcat • Prüfen Sie wieder die Integrität Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Erste Übung (für Fortgeschrittene) • Analysieren Sie die erstellten Images – – – – Die notwenidgen Werkzeuge haben wir besprochen Auf dem Image sind verschlüsselte Daten versteckt Finden Sie diese Daten Entschlüsseln Sie die Daten Digitale Forensik, Schulung Bundespolizeiakademie, März 2009 Communications of the ACM, 48(8), 2006 Ausblick • Partitionen, Dateisysteme • Analyse weiterer Images • Fragen? Name und Datumwww.uni-mannheim.de Seite