IT FORENSIK Mazur Lukas Pitscheider Guido Fh Stp

Agenda � Was ist IT-Forensik? � Wo/Was soll ich suchen? � Analysearten � Forensik-Distributionen

Was ist IT-Forensik? � Spuren auf IT-Systemen / Netzwerken � Suchen / Auswerten /

Wo/Was soll ich suchen? � Log-Files / Event-Logs � Zeitstempel beachten � Browser-cache �

Analysearten � Online �Laufendes System �Flüchtiger Speicher ○ RAM ○ Cache ○ Netzwerk �

Online – Analyse � Vorteile �Kompletter Systemzustand �Laufende Applikationen �Crypt-FS / Encrypted Files �

Offline - Analyse � Vorteile �Keine Änderungen �Wiederholbarkeit der Analyse �Parallelisieren der Arbeit möglich

Vorgangsweise - Online CD-Tools nutzen � RAM-Dump � �Laufende Programme ○ Outlook, Webmail, …

Vorgangsweise - Offline Datenträger-Image Write-Blocker Prüfsumme bilden „Hashen“ Auf Kopie arbeiten Mount … -r

Distributionen � Helix �Debian-basierte Linux Distribution �Forensik Tools für Analyse �Bootfähiges Live – System

Tools im Detail � Imaging: �dd ○ Das non-plus-ultra imaging tool ○ Auch übers

Tools im Detail � Prüfsummen über Platten und Image-Dateien �# �# md 5 sum

Tools im Detail � Textsuche �Kontext / Stichwort-Liste sollte bekannt / vorbereitet sein BSP:

Tools im Detail � Strings / ifind / istat �Strings: „Suche den Byteoffset mit

Tools im Detail � FS Blöcke �Voll belegt (Files) �Teilweise belegt (slackspace) �Nicht belegt

Tools im Detail � Undelete �NTFS: ntfsundelete �FAT/EXT: Sleuthkit � Ntfsundelete /dev/loop 1 –u

Tools im Detail � Undelete �Magicrescue ○ Anhand von Filesignaturen(recipies) werden Files recovered (unallocated-space)

Tools im Detail � Archive �zip, bzip, tar… �Falls Passwort geschützt ○ Fcrackzip ○

Alternative Data Streams � Man kann auf NTFS Datenträgern ADS an normale Files anhängen

Limitations � Nicht alles was man bei CSI sieht ist auch in der Realität

Infoquellen � � � http: //www. d-fence. be/ http: //www. linux-forensics. com/ http: //www.

Slides: 23

Download presentation

IT FORENSIK Mazur Lukas Pitscheider Guido Fh Stp – IT SECURITY 06

Agenda � Was ist IT-Forensik? � Wo/Was soll ich suchen? � Analysearten � Forensik-Distributionen � Tools im Detail � Limitations � Info-Quellen � Vorführung

Was ist IT-Forensik? � Spuren auf IT-Systemen / Netzwerken � Suchen / Auswerten / Dokumentieren �Klassische Fragen (W-Fragen) �Motivation des „Angreifers“ � Zusammenhänge erkennen/beweisen � Schwachstellen identifizieren

Wo/Was soll ich suchen? � Log-Files / Event-Logs � Zeitstempel beachten � Browser-cache � Suchanfragen � Webmail � History �… � � Selbst verfasste Dokumente Programme/Tools Wo soll kann ich (noch) suchen � ADS � Unallocated Space � Slack Space � Steganografie

Analysearten � Online �Laufendes System �Flüchtiger Speicher ○ RAM ○ Cache ○ Netzwerk � Offline �Massenspeicher �Keine Änderungen

Online – Analyse � Vorteile �Kompletter Systemzustand �Laufende Applikationen �Crypt-FS / Encrypted Files � Nachteile �Veränderung des Systems �Transport i. a. nicht möglich �„Fallen“

Offline - Analyse � Vorteile �Keine Änderungen �Wiederholbarkeit der Analyse �Parallelisieren der Arbeit möglich �Transport leicht möglich � Nachteile �Flüchtige Daten verloren (Dienste, RAM, Netzwerk, Passwörter)

Vorgangsweise - Online CD-Tools nutzen � RAM-Dump � �Laufende Programme ○ Outlook, Webmail, … �ARP-Table �Netstat �Dns-cache !!!! Mit jeder Tätigkeit kompromittiere !!!! ich das System !!!!

Vorgangsweise - Offline Datenträger-Image Write-Blocker Prüfsumme bilden „Hashen“ Auf Kopie arbeiten Mount … -r Am Ende Prüfsumme vergleichen Wenn ungleich => Image kompromittiert und somit ungültig!

Distributionen � Helix �Debian-basierte Linux Distribution �Forensik Tools für Analyse �Bootfähiges Live – System (CD-ROM) �Gute Dokumentation �Laufende Weiterentwicklung �Windows Tools inkludiert � Weitere �Auditor �…

Tools im Detail � Prüfsummen über Platten und Image-Dateien �# �# md 5 sum img. dd md 5 sum /dev/sda sha 1 sum img. dd sha 1 sum /dev/hda � Partitionierung �Fdisk �disktype / Klassifizierung

Tools im Detail � Textsuche �Kontext / Stichwort-Liste sollte bekannt / vorbereitet sein BSP: Namen, Telefonnummern, Mail, Drogen, Waffen, Terror, Bomben, Al-Kaida Bsp: (sehr einfach) � #cat img. dd | strings | egrep -i -f keywords. txt

Tools im Detail � Strings / ifind / istat �Strings: „Suche den Byteoffset mit dem Keyword“ �Ifind: „Zeige mir den Inode zu dem Datenblock“ �Istat: „Zeite mir die Inode-Infomationen zu dem Inode“ (Filename, Blocks, …) �Bsp: � cat img. dd | strings –el | egrep <keyword> � ifind –d (byteoffset/fs-blocksize) img. dd � istat img. dd <inode>

Tools im Detail � FS Blöcke �Voll belegt (Files) �Teilweise belegt (slackspace) �Nicht belegt (unallocated, gelöscht) � # dls /dev/loop 1 > unallocated. dd � # dls –s /dev/loop 1 > slackspace. dd

Tools im Detail � Undelete �NTFS: ntfsundelete �FAT/EXT: Sleuthkit � Ntfsundelete /dev/loop 1 –u <inode> -d /recovery

Tools im Detail � Undelete �Magicrescue ○ Anhand von Filesignaturen(recipies) werden Files recovered (unallocated-space) ○ Bsp: magicrescue –r /KNOPPIX/usr/local/share/ magicrescue/recipes/zip –d /unallocated. dd � Weitere Tools �foremost

Tools im Detail � Archive �zip, bzip, tar… �Falls Passwort geschützt ○ Fcrackzip ○ Bsp: # fcrackzip -D -p /usr/share/dict/french -u /archive. dll

Alternative Data Streams � Man kann auf NTFS Datenträgern ADS an normale Files anhängen ohne diese zu überschreiben / Größe ändern, … � => tolle Möglichkeit Informationen zu verstecken � Tools zum Finden von ADS: �Lads �Ffind � ADS in der Praxis

Limitations � Nicht alles was man bei CSI sieht ist auch in der Realität möglich! �Verbrannte Festplatten �Allgemein HW-Defekte �Encrypted Files ○ PGP �Encrypted File. Systems ○ Truecrypt ○ EFS

Infoquellen � � � http: //www. d-fence. be/ http: //www. linux-forensics. com/ http: //www. forensicswiki. org/wiki/Main_Page http: //www. computerforensicsworld. com/ http: //www. forensicfocus. com/ http: //www. forensics. nl/ http: //www. d-fence. be � http: //www. lnx 4 n 6. be �

Vorführung Zurücklehnen & Partizipieren

Vielen Dank für Ihre Aufmerksamkeit!