File Carving Obduktion av lagringsmedia 1 17 maj 2018 Martin Karresand Informationssäkerhet och IT-arkitektur
Vem är jag? 2002 CivIng, LiU, IT-linjen 2003-> FOI 2008 Lic, LiU 2010-2013 NFC (SKL) 2017-> doktorand, NTNU 2 17 maj 2018 Martin Karresand Informationssäkerhet och IT-arkitektur
Upplägg Bakgrund Cell och organnivå Kroppsuppbyggnad 3
Bakgrund 4 17 maj 2018 Martin Karresand Informationssäkerhet och IT-arkitektur
File Carving Vad är det? Obduktion av lagrinsmedia Inget filsystem Nyckelfunktion o Identifiera o Återskapa 5
Lagringsmedia Mekanisk Flashbaserad 6
Dataformat Endian Blocklängd Tid 7
Användning Oallokerat utrymme Raderade filer Dataräddning Innehållssökning 8
Teknik(historia) Header/footer/ magiska nummer (Statistiska) egenskaper Optimeringsproblem 9
Utmaningar Kryptering Komplexa filformat Distribuerad (moln)lagring Ökande datamängd Datamanipulering 10
Cell och organnivå Bitar, bytar och filer 11 17 maj 2018 Martin Karresand Informationssäkerhet och IT-arkitektur
DLL 12 5 November 2013 Martin Karresand Informationssäkerhet och IT-arkitektur
Exe 13 5 November 2013 Martin Karresand Informationssäkerhet och IT-arkitektur
JPEG 14 5 November 2013 Martin Karresand Informationssäkerhet och IT-arkitektur
Zip 15 5 November 2013 Martin Karresand Informationssäkerhet och IT-arkitektur
Bakgrund Intrusion detection in overlay networks Kraschad hårddisk RAID 2004 16
Filtyper Text vs Binära Sammansatta format JPEG (datadelen) Osorterade fragment 17
Identifiering Bytefrekvensfördelning Förändringsgrad Bigram Kameramärke 18
Sammansättning Restart Markers och DC Brute force Testade bigram 19
Resultat Bigram o Hög detektion, få falsklarm o Störningskänslig BFD, RoC o Sämre detektion o Störningstålig 20
ROC Bigram 21 5 November 2013 Martin Karresand Informationssäkerhet och IT-arkitektur
Exe delar 22 5 November 2013 Martin Karresand Informationssäkerhet och IT-arkitektur
Bonuseffekter GPG läcker information Samma Huffmantabell Trasig JPEG header 23
24 5 November 2013 Martin Karresand Informationssäkerhet och IT-arkitektur
25 5 November 2013 Martin Karresand Informationssäkerhet och IT-arkitektur
Kroppsuppbyggnad Strukturer på lagringsytan 26 17 maj 2018 Martin Karresand Informationssäkerhet och IT-arkitektur
Hypotes Partiell determinism mellan installationer av MS Windows p g a likartat förfarande, vilket ger upphov till statiska strukturer, d v s samma datainnehåll på samma position mellan olika datorer. 27
Allokeringsalgoritmer First available (Ext2/3) Next available (FAT, Ext2/3) Best fit (NTFS) 28
Princip SHA1 hash Unika vs statiska Karta Prioritera 29
Utmaningar All användar data ej unik Allt unikt ej användardata Olika partitionsstorlek Nytt koncept 30
Resultat 31
Användningsområden Planera undersökning Prioritera analysordning Detektera skadlig kod Resultatvärdering vid skadad media Hash-based carving Knäcka krypto 32
Litteratur R. Poisel and S. Tjoa, "A Comprehensive Literature Review of File Carving," 2013 International Conference on Availability, Reliability and Security, Regensburg, 2013, pp. 475-484. doi: 10.1109/ARES.2013.62 A. Pal and N. Memon, "The evolution of file carving," in IEEE Signal Processing Magazine, vol. 26, no. 2, pp. 59-71, March 2009. doi: 10.1109/MSP.2008.931081 B. Carrier, File System Forensic Analysis, 2005 * https://linuxleo.com/docs/linuxintro-lefe-4.31.pdf http://wiki.sleuthkit.org/index.php?title=help_documents https://grml.org * Googla på file system forensic analysis filetype:pdf 33
Uppgift(er) Beskriv hur din forskning kan komma file carving-området till nytta. Intressanta idéer kan belönas med ett artikelsammarbete. eller Redovisa 32*2 separata SHA1 hashar för följande 512 byte stora sektorer på den NTFS-formatterade huvudpartitionen (C:\) på en valfri Windowsdator. Skriv även vilken version av Windows datorn har. 0-31 6291455-6291487 och Använd istat-verktyget från The Sleuthkit för att lista information om "inode" 0 ($MFT) på C:\ för en NTFSformaterad Windowsdator. 34
Slut! Frågor? Martin Karresand FOI och NTNU martin@filecarving.net 35