Existující programy pro forenzní(latinsky forēnsis: soudní) ana

Existující programy pro forenzní(latinsky forēnsis: soudní) ana

Existující programy pro forenzní(latinsky forēnsis: soudní) analýzu jsou:
Encase Forensic Edition (Guidance Software™)
je placený, momentálně existuje ve verzi 6. Je to pravděpodobně nejkomplexnější a nejpoužívanější
program. Na požádání je možné dostat poštou zkušební CD. Poskytuje následující funkce:



Kopie disku pro forenzní analýzu
 načtení disků z RAID
 výpočet kontrolních součtů(CRC/MD5) pro celou kopii a jednotlivé soubory
 uložení evidenčních informací
 komprese
 ukládaní reportů s odkazy do image (na správný blok FS(cluster) či bajt)
 přes paralelní port, po síti, disk na disk, hardwarový FastBlock, pda
Vlastní drivery pro různé FS (FAT12/16/32, NTFS, EXT2/3, CDFS, ISO 9660, UDF ...)
 zobrazení struktury včetně mapy clusterů
 možnost načítat data z obrazů disků (pro VMware, Microsoft Virtual PC, ...)
Práce se soubory
 zobrazení stromové struktury
 zobrazení obsahu s ochranou před načtení poškozených souborů (po kterých
následuje pád aplikace) typu:
 text, různé znakové sady (k nim potřebné fonty)
 hexadecimálně
 zobrazení položek jako různé integery, date/timestamp atd.
 obrázky (JPG, GIF, EMF, PNG, TIFF, BMP, PSD...)
 dekódování dat z Base64, UUE Encode
 možnost nastavit externí aplikace pro otevření určitého souboru
 dotazy na (viz dále) a zobrazení, řazení podle ...
 datum (od, do, mezi) v (last accessed, file created, last written, entry modified)
 velikost logická a fyzická, umístění souboru na disku (LBA, blok FS/cluster)
 jméno (dlouhé, krátké DOS), koncovka
 typ souboru určený podle magické značky a kategorie souboru(vlastní
databáze s možností přidat další přes GUI),
magické značky jsou potřeba, protože nedostažené soubory (Kaza, DC,
torrent,...), cache, koš, mají přejmenované koncovky či se takto schovávají
data
 práva a vlastnictví
 hledaní obsahu s možností uložení keywordů a jejich třídění do kategorií
 fyzické s prohledáním nevyužitých míst OS (zbývající místo za
partition a souborem (file slack), nultá stopa, ...)
 logické
 vyhledávání textu v dokumentech (např. doc, pdf a jiné)
 prohlížení metadat (metadata doc, obrázků jako EXIF, IPTC,
XMP)
 kombinace dotazů přes OR/AND, regulární dotazy, různé znakové sady,
LE/BE
 možnost uložení výsledků hledaní, jejich hiearchické pojmenované členění s
možností uložení popisu
 vyhledaní smazaných souboru a vyhledání a spojení jejich zlomků
 procházení archívů (ZIP, TAR, GZIP, RAR...) a OLE
 analýza na základě hashe (MD5), který se porovná s databází známých souborů jako
soubory OS, běžně používané programy a podezřelé programy na: (de)kryptovaní,








steganografii, hackování, ...
 možnost vytváření kolekcí na logická oddělení
 importování z externích programu
 National Software Reference Library (USA databáze hashů(profilů)
důležitých aplikací/souboru pro for. an.; 11mil hashů dostupné
zdarma) (http://www.nsrl.nist.gov/Downloads.htm)
 Hashkeeper (databáze nezávadných hashů od USA agentur)
 a jiné např: Solaris Fingerprint database
 možnost vytvářet vlastní
 takto se dá:
 vyloučit z analýzy nezajímavé soubory
 vyhledat programy stěžující analýzu (steganografické programy)
 vyhledat programy implikující kriminální činnost (např. držení
pornografie) či ji pouze napomáhající (hackovací nástroje)
 najít ukradené soubory se známým hashem (např. stažené či sdílené
soubory v P2P sítich)
 kontrolovat integritu dat (na poškození při analýze apod.)
 kontrolovat digitální podpisy souborů velkých firem (např. Microsoft) k vyloučení
analýzy těchto souborů
zobrazení timeline (data akcí) zobrazené jako kalendář
systém reportů/bookmarků
 poznámky jako formátovaný text
 zobrazení segmentu dat (textu, obrázku...)
 zobrazení struktury (stromu) adresářů; či hardwarové informace a FS statistiky
záznamového zařízení
 zobrazení výsledků vyhledávání
správa SID pro identifikaci vlastníka mezi více disky
Emaily (načítaní z úložišť typu DBX v případě Outlook Express, vyhledání fragmentů
webových služeb)
analýza registrů
 parsování souborů obsahující registry
uložení volatilních informací jako RAM, otevřené porty, programy a soubory
načtení kopie disku (vytvořené pomocí EnCase či dd) ve Windows jako disk
bootování z kopie disku přes VMware
Password Recovery Toolkit™ (AccessData)
hledání a identifikování šifrovaných souboru a získání hesel z nich (80 aplikací). Link
http://www.accessdata.com/catalog/partdetail.aspx?partno=13000
Seznam 80ti aplikací:
http://www.accessdata.com/common/pagedetail.aspx?PageCode=prodprtkmodules
Existují distribuované varianty a předpočítané klíče(pro Office) pro brute force.
FTK™ (Forensic Toolkit) (AccessData)
ekvivalent EnCase (cena $1,095.00). Zkušební verzi lze stáhnout z internetu zdarma. Program je
chráněn přes hardwarový dongle.
HELIX
je kolekce různých free programů na Live CD postaveném na Knoppixu, obsahuje i programy pro
Windows a jejich integrovaný spouštěč. CD je volně stažitelné, dnešní verze je 1.8.
http://www.e-fense.com/helix/
Autopsy
open source ekvivalent EnCase, má ale mnohem méně funkcí, je to HTML GUI pro The Sleuth
Kit.
http://www.sleuthkit.org/autopsy/
pyFLAG
další chudší příbuzný EnCase, také s HTML GUI, projekt vznikl na Australian Department of
Defence. Část napsaná v pythonu, jako úložiště je použita databáze.
http://pyflag.sourceforge.net/Documentation/manual/index.html
Ftime
podobné funkce jako EnCase, ovládá se z příkazové řádky, určen spíše pro detekci průniků.
Další techniky a programy


Kopie disku
 dd
http://users.erols.com/gmgarner/forensics/
 GUI Adepto
 GUI AIR (Automated Image and Restore)
http://air-imager.sourceforge.net
 ByteBack, SafeBack
Práce s "artefakty"
 koš
 fyzicky smazané soubory z FS databáze:
 pro ext2 e2recover http://www.ibiblio.org/linsearch/lsms/e2recover-1.0.html
 pro FAT
 fatback http://prdownloads.sourceforge.net/biatchux/
 Davory http://www.x-ways.net/davory/
 linky; (Recent/Dokumenty, Desktop, Nabídka Start,...)
 práce s linky v historii a oblíbených v IE, Firefox/Mozilla, Opera, Safari
http://www.nirsoft.net/utils/iehv.html
 cache prohlížečů
 analýza a prohlížení alb typu thumbs.db






cookies
temp a temporary internet files
swap file, hibernation file
smazané tiskové úlohy
obsah volatilní fyzické paměti
prohlížení logů OS
 c:\WINDOWS\security\logs\






 /Var/Log/ /Var/Adm/Syslog
Další techniky pro OS Windows:
 prohlížení registrů Regviewer
http://sourceforge.net/projects/regviewer/
 prohlížení ADS (Alternate Data Streams) v NTFS, který jsou nosiči metadat
Streams.exe
http://www.microsoft.com/technet/sysinternals/FileAndDisk/Streams.mspx
 OLE úložiště
analýza spustitelných souborů
 prohlížení hlaviček ELF (linux) faust.pl
http://www.security-labs.org/index.php3?page=faust
 dissasembling, debugging, tracing fenris
http://www.bindview.com/Services/RAZOR/Utilities/Unix_Linux/fenris_index.cfm
analýza síťové komunikace Ethereal
http://www.ethereal.com
data carving: analýza a obnovení souboru na základě jeho formátu (hlaviček) foremost
http://foremost.sourceforge.net/
Získávání hesel
 zeptat se
 najít na pracovišti (na monitoru, pod klávesnicí,....)
 sociální inženýrství
 dedukování (UID, příjmení, jméno, narození, adresa, manželka, děti, ... )
 najití a dekryptování hesel/klíčů z úložišť, člověk pak tyto hesla používá opakovaně
 z mailových aplikací: Mail Password Viewer
http://www.nirsoft.net/utils/mailpv.html
 z chatovacích klientů: Messenger Password
http://www.nirsoft.net/utils/mspass.html
 zapamatovaná hesla v IE: Protect Storage Viewer
http://www.nirsoft.net/utils/pspv.html
 ftp hesla z totalcmd http://www.totalcmd.net/plugring/cda_file_info.html
 dialup hesla Dialupass
http://www.nirsoft.net/utils/dialupass2.html
 hesla schovaná za hvězdičkami
http://www.nirsoft.net/utils/astlog.html
 cookies
 password.txt ;-)
 brute force (např. Accas Datta)
 slovníkové metody
 ftp://ftp.mirrorgeek.com/openwall/wordlists/
ftp://ftp.ox.ac.uk/pub/wordlists/
http://www.outpost9.com/files/WordLists.html
...
 předpočítané hashe
 další nástroje: L0phtcrack, John the Ripper
Zobrazení systémových informací
 Windows Forensic Toolchest získání informací pomocí dalších programů a výpis
reportů, obsahuje odkazy na potřebné programy. (Windows logy, historie instalací,
vyhledání rootkitů, výpis "enviroment" proměných, uptime, výpis accountů a grup,
výpis paměti, výpis času souborů, informace o procesech a jejich otevřených handle,
výpis nahraných dll a vláken, výpis služeb, výpis driverů, ipx routovací tabulka,
netbios name tabulka, seznam sdílení, ...)
http://www.foolmoon.net/security/



Vyhledaní závadného kódu
 Antiviry...
 Rootkit Revealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
Steganografie
 ukrývání v programech
 ukrývání v multimedialních datech
 (de)kódovač outguess http://www.outguess.org/
 analyzátor stegdetect http://www.outguess.org/detection.php
analýza na základě statistického rozložení dat
http://niels.xtdnet.nl/papers/practical.pdf
Magnetic Force Microscopy hardwarová metoda umožňující prohlédnutí až třech posledních
zapsaných vrstev (na HD)
Vypracováno: 25.3.2007
Použité materiály
Encase Computer Forensics - The Official EnCE. Encase Certified Exeminer Study Guide:
The Official EnCE - Computer Forensics Certified Examiner (komercni)
EnCase WhitePapers
http://en.wikipedia.org/wiki/HashKeeper
http://en.wikipedia.org/wiki/National_Software_Reference_Library
http://ftimes.sourceforge.net/FTimes/HashDig.shtml
http://sunsolve.sun.com/show.do?target=content/content7
http://sourceforge.net/projects/sleuthkit/
http://www.e-fense.com/helix/
Helix 1.7 for Beginners
Forensic Examination of Digital Evidence: A Guide for Law Enforcement