Folie 1

Transcription

Folie 1

Digitale Forensik
Schulung Bundespolizeiakademie
März 2009
Teil 11+12: Datenträgersicherung
(inklusive Übung)
Dipl-Inform Markus Engelberth
Dipl-Inform Christian Gorecki
Universität Mannheim
Lehrstuhl für Praktische Informatik 1
Dr. Kay Schumann
Universität Bonn
Institut für Strafrecht
Name und Datumwww.uni-mannheim.de
Seite
Motivation
• Durchspielen des Sicherungsprozesses
• Normalerweise machen das die Tools (fast)
automatisch
• Trotzdem wichtig zu wissen, wie das geht
• Übung: Sicherung eines Datenträgers mit dd
Digitale Forensik, Schulung Bundespolizeiakademie, März 2009
Übersicht
• Verwendung von dd
• Integritätssicherung
• Verwendung von BackTrack
Sicherung mittels dd
• dd (disk dump) ist ein einfaches und flexibles
Werkzeug zum Sichern von Festplatten
– Kommandozeilenorientiert, viele Optionen
– Ursprünglich aus der Unix-Welt, aber auch WindowsVersionen verfügbar
• dd kopiert Datenblöcke von einer Datei in die andere
– dd kümmert sich nicht um die Daten, die kopiert werden
– dd kennt keine Dateisysteme, nur Dateien
– In Unix ist alles eine Datei
– Standard-Blockgröße ist 512 Byte, sollte jedoch immer
explizit angegeben werden (nicht auf Standardverhalten
verlassen)
Beispiel
• Parameter:
– Quelle (input file): if=...
• Falls keine Quelle angegeben, wird Standardeingabe verwendet
– Ziel (output file): of=...
• Falls kein Ziel angegeben, wird Standardausgabe verwendet
– Blockgröße (block size): bs=...
• Beispiel:
– dd if=file1.dat of=file2.dat bs=512
Quellen
• In Linux gibt es für jedes Speichermedium und jede
Partition eine Gerätedatei in /dev
– Beispiel: ATA Master auf erstem Kanal ist /dev/hda
• In Windows benutzt man die Notation \\.\
– Beispiel: \\.\PhysicalDrive0
• Blocksize kann beliebig sein (Anzahl von Bytes)
–
–
–
–
Von 1 bis 1 GB, Platte liest aber immer einen Block
Parameter zu klein: Vergeudet Zeit beim Lesen
Parameter zu groß: Dauert lange, bis interne Puffer voll sind
Für schnelles Kopieren Werte zwischen 2K und 8K gut
[Carrier, p. 61]
Ziele
• Ziel kann entweder eine neue Datei oder ein
Laufwerk sein
• Beispiele:
– dd if=/dev/hda of=/mnt/hda.dd bs=2k
– dd if=/dev/hda of=/dev/hdb bs=2k
Standardausgabe
• Wenn kein Ziel angegeben wird, dann wird die
Standardausgabe verwendet
– Verwenden weiterer Tools zur Analyse möglich
• Beispiele:
– MD5-Summen: md5sum
– Lesbare Zeichenfolgen extrahieren: strings
– Daten über das Netzwerk schicken: ssh, netcat, cryptcat
Netcat
• Netcat und Cryptcat sind Werkzeuge zum
(verschlüsselten) Senden von Daten über das Netz
• Beispiel: forensische Workstation mit IP 10.0.0.1
• Einen Port aufmachen, eingehende Daten in eine
Datei schreiben
– nc -l -p 7000 > disk.dd
• Auf dem untersuchten Rechner von CD Booten und
Ausgabe von dd über das Netz schicken
– dd if=/dev/hda bs=2k | nc -w 3 10.0.0.1 7000
Hash-Summen
• md5sum
– Berechnet MD5 einer Datei
• md5deep: http://md5deep.sourceforge.net/
– Berechnet MD5 eines Verzeichnisbaums
Verwendung (Quelle: Dornseif)
Alternativen zu dd
• dd ist sehr mächtig, hat aber auch Nachteile:
–
–
–
–
–
Überschreibt Ausgabedatei
Keine erneuten Leseversuche bei Lesefehlern
Keine Fortschrittsanzeige
Keine Netzwerkfähigkeit
Zu viele Features
• Alternativen:
– dd_rescue: http://www.garloff.de/kurt/linux/ddrescue/
• Kann mehrere Leseversuche unternehmen
• Kann „rückwärts“ lesen
• Fortschrittsindikator
– sdd: ftp://ftp.berlios.de/pub/sdd/README
• Deutlich schneller als dd, hilfreichere Ausgaben
– dcfldd: http://dcfldd.sourceforge.net/
• Hashing eingebaut
– pcopy: http://www.lysator.liu.se/~pen/pcopy/
• Peter‘s Disk-to-Disk Copying Tool
Übersicht
Sichere Arbeitsumgebung
• Ideal: abgesicherte forensische Workstation mit
– viel Plattenplatz,
– vielen Laufwerken/Schnittstellen,
– und allen Tools, die man gerne hat.
• Falls nicht zur Verfügung, sind Live CDs eine gute
Wahl
– Kann man immer dabei haben
– Sollte immer eine aktuelle Version sein
Live/Boot CDs
• Forensic and Incident Response Environment (F.I.R.E.)
– Als ISO-Image erhältlich, inkl. Sleuthkit, Autopsy, Incident
Response Tools, Virusscanner, Pentestsoftware
– Basiert auf Red Hat
– Hybrid-CD: auch lauffähige Windows-Tools enthalten
– http://sourceforge.net/projects/biatchux
• Knoppix Security Tools Distribution (STD)
– Gute Hardware-Erkennung, viele Security- und Forensiktools
– http://s-t-d.org/
• Incident Response & Forensics Live CD (Helix)
– http://www.e-fense.com/helix/
– Knoppix-basiert, Hybrid-CD
– Enthält alle gängigen Forensik-Tools
Helix früher…
Helix heute…
Quelle: http://www.e-fense.com/h3-enterprise.php
Helix heute…
Quelle: http://www.e-fense.com/h3-enterprise.php
Sleuthkit
• www.sleuthkit.org
• Sammlung von quelloffenen Kommandozeilentools
von Brian Carrier
– Zur Geschichte: http://www.sleuthkit.org/informer/sleuthkitinformer-1.html#design
• Ursprünglich eine Erweiterung des TCT (Coroners
Toolkit)
– Erlaubt auch Analyse von FAT und NTFS
– Für Experten mit Hintergrundwissen über Dateisysteme
• Jetzt auch Merchandise erhältlich
• Für Unix/Linux bzw. cygwin
Sleuthkit Übersicht
• mmls: Ausgabe der Partitionstabelle eines Laufwerks
• fsstat: Dateisystemlayout anzeigen
• ffind: findet (auch gelöschte) Dateinamen, die auf eine
Metadatenstruktur (z.B. Inode) zeigen
• fls: listet alle Dateinamen im Verzeichnis (auch gelöschte)
• icat: wie bei TCT
• ifind: findet Metadaten mit gewünschten Eigenschaften
• ils: listet Metadatenstrukturen und ihre Inhalte
• istat: Übersicht über Metadateneintrag
• dcat: Extrahiert Inhalt eines Datenblocks
• dls: Informationen über Datenblöcke, kann auch alle unbelegten
Datenblöcke extrahieren
• dstat: Übersicht über Datenblock
Autopsy
• HTML-basiertes grafisches Frontend zum Sleuthkit
• Open Source, geschrieben in Perl und C, auch von
Brian Carrier
– Mittlerweile starke Konkurrenz zu kommerziellen Produkten
• Features:
–
–
–
–
–
–
–
Case Management
Suchen nach Schlüsselwörtern auf der ganzen Platte
Prüfsummen-Datenbank
Dateitypanalyse (Befehl file)
Timeline-Analyse (Befehl mactimes)
Datenexport in verschiedene Formate
Unterstützung für das Anfertigen von Berichten (z.B. HistoryDatei, Notizmöglichkeit)
Quelle: http://www.sleuthkit.org/autopsy/images/timeline1.gif
Data Carver etc.
• Analysieren unbelegte Datenblöcke nach typischen
Mustern
– Dateiheader, -footer, interne Datenstrukturen
• Foremost
– Ursprünglich von der US Air Force entwickelt, jetzt frei
– http://foremost.sourceforge.net/
– Kann dd/Encase/XYZ-Images durchsuchen oder direkt die
Platte
• Gute und aktuelle Übersicht über weitere Tools auf
Alexander Geschonnecks Webseite zum Buch
– http://computer-forensik.org/tools/
Verwendung von BackTrack
• BackTrack stellt die zuvor betrachteten Werkzeuge /
Programme bereit
• Wir haben BackTrack bereits ausprobiert
• Linux Exkurs
• Forensik mit BackTrack
Zusammenfassung
• Jetzt Übung...
Erste Übung (leicht)
• Sie bekommen eine Diskette
• Fertigen Sie ein lokales dd-Image der Diskette an
• Prüfen Sie die Integrität des Images
• Sichern Sie anschliessend das Image über das Netz
mittels netcat
• Prüfen Sie wieder die Integrität
Erste Übung (für Fortgeschrittene)
• Analysieren Sie die erstellten Images
–
–
–
–
Die notwenidgen Werkzeuge haben wir besprochen
Auf dem Image sind verschlüsselte Daten versteckt
Finden Sie diese Daten
Entschlüsseln Sie die Daten
Communications of the ACM, 48(8), 2006
Ausblick
• Partitionen,
Dateisysteme
• Analyse weiterer
Images
• Fragen?
Name und Datumwww.uni-mannheim.de
Seite

Folie 1

Transcription

Similar documents

Übersicht

Ankündigungen 16. Mai 2007

Spuren im WWW

besser sehen in jedem Alter!

Eine Kurze Geschichte Des PCs

Übung 2 zur Vorlesung eBusiness und Web Site Engineering