Introduction to IT forensic technology and IT security

Introduction to IT forensic technology and IT security Partitions and files AccessData FTK Imager and FTK (Forensic ToolKit) Digital investigator knowledge and skills

Logga bevis med forensiska verktyg AccessData FTK (Forensic Tool Kit) och de flesta andra forensiska tool kit (se lista senare) har funktionalitet för Rapport av undersökningen och loggning av information Återskapa raderade filer och inbäddade filer i filer Hitta data/filer i slack-space och free-space Carving för att hitta data och filer Olika typer av filsystem Rapporter om funna filer på disken och deras hash Filtypsanalyser av header (filer med fel filsuffix) Time-lines för filer i systemet Mycket mera Verktygens kostnad är från fria -> mycket dyra

Sorterade filer efter indexering av ett case (image)

Track, sector and cluster Figure 1.1 FIGURE 15.5 A depiction of platters, tracks, sectors, clusters, and heads on a computer disk. 2011 Eoghan Casey. Copyright Published 2011byAcademic Elsevier Inc. Press AllInc. rights reserved.

LBA (Logical Block Addressing) LBA, kallas även Linear Base Address Platter Model Är den vanligaste adresserings metoden Cylinder-Head-Sector (CHS) schema LBA har 48 bits adressering Geometri translation i BIOS 128 pebibyte (PiB, 2^50) om 512 byte sektorer används LBA=0 Beginning Beginning Linear Model End Index=i End

DOS/MBR Partitioner VBR (Volume Boot Record) Figure 1.1 FIGURE 15.6 Simplified depiction of disk structure with two partitions, each containing a FAT formatted volume. 2011 Eoghan Casey. Copyright Published 2011byAcademic Elsevier Inc. Press AllInc. rights reserved.

DOS/MBR Partitioner Partitionsinformationen är alltid lagrad på cylinder 0, head 0, sector 1 (sector 0 i vissa program) dvs. den första sektorn Master Boot Record (MBR) de första 512 byten File System Forensic Analysis - Brian Carrier

MBR 446-509 Locical disk? Physical disk?

Endianness http://en.wikipedia.org/wiki/endianness Byte och bit ordningen för att representera data Little endian Intel x86, LSB at lowest adress Big endian Motorola, MSB at lowest adress Bi endian I princip alla andra processorarkitekturer - inställningsbar ARM, MIPS, SPARC, IA64 etc. Word Word exempel 0x39 LE 0x93 BE Data 6 9 3 5 Adress 0x1023 0x1024 0x1025 0x1026

DOS/MBR Partitioner Disk/partition parameters 446-509 4 primary partitions can be created on DOS disks Boot code points to VBR (Volume Boot Record) or Boot sector File System Forensic Analysis - Brian Carrier Big Endian = 0x00 = 0x000101 = 0x07 = 0x63BFFE = 0x0000003F = 63 = 0x00960525 = 98311717 Tolkning av ett 16 byte partition entry omvandla LE word till BE byte-index och läs som 1 0 3 2 5 4 7 6 9 8 11 10 13 12 15 14 LE eller BE

Några DOS Partition typer

DiskExplorer MBR

Formatering av diskar http://support.microsoft.com/?kbid=302686 Quick format (Windows) Tar bara bort FAT/MFT (File Allocation Table)/(Master File Table) Allt annat är kvar på disken Regular format (Windows) Som quick format men scannar även efter bad sectors Low level format utility från disktillverkare Gör write-read verify och andra kontroller av disken Low level format från fabrik Servo, sector layout, defect management etc. Håller för diskens livstid, kan inte göras om Återställa MBR odokumenterat kommando FDISK /MBR (DOS/Windows) VISTA/7 från Windows RE (Recovery Environment) bootrec /FixMbr och bootrec /FixBoot

Create a bit-stream image 1 Hårdvaru skrivskydds device DOS - diskcopy a:\>diskcopy [drive1] [drive2] /V Linux dd (disk dumper?) http://en.wikipedia.org/wiki/dd_(unix) dd if=/dev/floppy of=/evidence/floppyimage.dat Paramatrar: bs=4096 conv=noerror count=1

Create a bit-stream image 2 File end File start File end Figure 1.1 FIGURE 16.4 Comparing bitstream copying to regular copying. 2011 Eoghan Casey. Copyright Published 2011byAcademic Elsevier Inc. Press AllInc. rights reserved. File start

File size Sector border Cluster border Sectors are usually 512 byte, which is the smallest writable size - clusters Figure are usually 4 kb in size 1.1 FIGURE 17.4 Diagram of file with a logical size that is larger than its valid data length, leaving uninitialized space. Copyright 2011byAcademic Press 2011 Eoghan Casey. Published Elsevier Inc. AllInc. rights reserved.

Söka efter data i slack space Cluster level searching Kallas även för file carving (datacarve i accessdata) Söker igenom hela disken på byte nivå inklusive boot sektor, icke allokerad disk, slack space ALLT! Hittade filer eller fragment av filer kan sparas till nya filer i caset Gamla raderade filer eller filer som finns inbäddade i andra filer Sökverktyget måste ha stöd för och kunna identifiera både HEX, ASCII och Unicode tecken m.m. Långsammare än content level searching Går ut på att söka efter textsträngar och efter fil- headers och footers Man måste i stort sett veta vad man letar efter om inte bra stöd finns i verktyget Scalpel är ett bra verktyg, härstammar från Foremost TestDisk & PhotoRec

File mangling Är konsten att modifiera en fil för att dölja innehållets format - i syfte försvåra att rätt applikation kan använda filen Analysera filens suffix, header signatur och format Tusentals format existerar! http://www.webopedia.com/quick_ref/fileextensions.asp eller http://filext.com/ http://www.wotsit.org - programmer's file and data format resource File mangling metoder Ändra filens suffix Ändra filens association i registret Ikonen för filen ändras Rätt program startar inte som default

Inspektera filheaders för signaturer Om tveksamhet förekommer ang. suffix inspektera med hex editor De flesta filer har en unik signatur.dll,.sys,.ocx,.drv,.exe och några till börjar med MZ eller 4D5A i hex Grafiska filer brukar ha suffixet med i headern Att inspektera många filer är inget litet jobb Görs automatiskt i forensiska verktygen AccessData Outside In Technology från Stellent Man kan göra ett eget script eller program för detta ganska lätt Technology Pathways har en signaturlista de tagit fram tillsammans med Harlan Carvey

Image-format Format som har extra info, t.ex. EWF Unix/Linux dd (raw) format Källa: afflib.org

FTK Imager image-format FTK imager kan skapa Raw dd SMART Encase FTK imager läser

FTK imager gränssnitt

Interpreters

Other time decoders http://www.digital-detective.co.uk/ Figure 1.1 FIGURE 16.9 Forensic date and time decoder. These times are generally GMT and must be adjusted for time zones. 2011 Eoghan Casey. Copyright Published 2011byAcademic Elsevier Inc. Press AllInc. rights reserved.

Drive Freespace När FTK Imager hittar en kontinuerlig klump med ledig diskyta (unallocated space) så namnger den och identifierar ytan med det kluster den börjar med Nedan kan vi se en 262140 KB klump som börjar på kluster 3 och en annan 2624 KB klump som börjar på kluster 65790 osv.

Exporting Files / Folders

Hash Values Results in a CSV file

Acquisition

Verification Encase / DD?? Verified based on image format

News in FTK imager 3.x

News in FTK imager 3.x

Tekniker att gömma data Det finns många sätta att gömma data på, de mest kända Raderade filer? (ett specialfall) Hidden file attribute Alternate Data Streams (ADS) Steganografi Slack space/ej allokerade kluster File mangling Ofta spenderas en stor del av tiden i en forensisk undersökning inom detta område Krävande och tidsödande men samtidigt intressant

Gömda filer Attrib +h kommandot Show hidden files option i explorer Det finns normalt sett många gömda filer i ett system Malware eller normalt? Explorer är inte optimal HFind från Foundstone är bättre Linux/Unix/Mac Filer som börjar med.

Carving for files http://www.datalifter.com http://www.cgsecurity.org/wiki/photorec Figure 1.1 FIGURE 17.9 DataLifter being used to carve files from two blobs of unallocated space and one blob of file slack from a system. Copyright 2011byAcademic Press 2011 Eoghan Casey. Published Elsevier Inc. AllInc. rights reserved.

FTK Interface

Menu Commands

Toolbars

Overview Tab

Explore Tab

Graphics Tab

E-Mail Tab

Search Tab

Bookmark Tab

FTK Case Files <casename>.ftk

Creating a New Case

New Case Information

Examiner Information

Case Log Options

Process Options

Refining Case Evidence

Defining Index Parameters

Selecting Case Evidence

Evidence Information

FTK Time Zone Settings FTK requires selection of a time zone for any FAT volume FAT times are converted to GMT in the case database o FAT vs. NTFS Removable Media o Should get the settings of associated computers if they exist o Use local settings if they do not

Setup Completion

AccessData Registry Viewer

Password Recovery ToolKit Manage Profiles... Dictionary Tools... Right or double click to get more properties and information about the recovery job Note! May need to be started as admin

DI - mjuka färdigheter Undersökande/analyserande färdigheter Logisk Effektiv vid interaktion med människor, social förmåga att kunna ta människor Behövs vid intervjuer med vittnen och brottslingar Skriva och kommunicera Måste kunna förklara så alla förstår och skriva/dokumentera på ett professionellt sätt Objektivitet och professionalism Bevis kan svänga om till den misstänktes fördel Omsorg om detaljer är en nyckelfaktor Förbli fokuserad på fakta

DI tekniska färdigheter 1 En DI använder ofta mycket tekniskt avancerade specialverktyg Operativsystemets verktyg och egenskaper, script Time, date, events, loggar, tasklist etc. Windows resource kit eller speciella 3:dje parts verktyg Acctinfo, pview, pviewer etc. Psinfo (sysinternals), Forensic Toolkit (Foundstone, McAfee), etc. CF toolkits AccessData FTK, http://www.accessdata.com Guidance Encase, http://www.guidancesoftware.com Vogon Gentree, http://www.vogon.co.uk Paraben - http://www.paraben.com X-Ways - http://www.x-ways.net Smart ASR data - http://www.asrdata.com ProDiscover - http://www.techpathways.com ILOOK ILook Investigator, http://www.ilook-forensics.org i2 - Analyst Notebook, http://www.i2.co.uk

DI tekniska färdigheter 2 UNIX/Linux har en stor mängd fria verktyg som kan användas för både nät och datorundersökning The Sleuth Kit (TSK) http://www.sleuthkit.org, PTK, etc. Live CDs/VMware Forensic Wiki: http://www.forensicwiki.org/tools DEFT, Helix3 etc. SANS Investigative Forensic Toolkit (SIFT) Workstation Många fler http://www.e-evidence.info/vendors.html Nätverk Protokollanalysatorer, brandväggar, IDS, olika nätverksloggar Hex-editorer - stegeanografi verktyg etc. Uppbyggnad av binära filer och assembler för analys Hårdvara - ALLT! Embedded systems

DI OS tekniska färdigheter 1 Avancerad kunskap om främst Windows-system Men även: Mac OSX, GNU/Linux, Android etc. Filsystem Transaktionsloggar, metadata som t.ex. ADS (Alternate Data Streams NTFS kompabilitet med HFS men används för mycket annat) Krypteringstekniker, verktyg, algoritmer, applikationer osv EFS, TrueCrypt, RSA, DES, PKI, Certifikat Processer, dynamiskt länkade filer, drivrutiner Svchost (Microsoft Service Host Process), CSRSS (Client/Server Runtime Server Subsystem), LSASS (Local Security Authority Service)

CF OS tekniska färdigheter 2 Autentiseringsprocess, biometri och auditing (logisk logg som ökar spårbarheten i system) Kerberos, CHAP, SID (security identifier) Patch management, signaturer Service, system och applikationsloggning system.evtx, application.evtx, security.evtx syslog.log, messages.log Microsoft System Center Operations Manager Kännedom om attackerares verktyg, arbetssätt och systems svagheter, exploits, rootkits etc. Olika slags attacker, elevera user credentials, dölja filer/processer, remote access etc.