2. aquisicao

1

Informática Forense e Reengenharia

Mestrado em Engenharia de Segurança Informática

Escola Superior de Tecnologia e Gestão Instituto Politécnico de Beja

Francisco Luís


Sumário

� Testes� Validação� Esterilização� Aquisição

2

Nota prévia

� Técnicos / Analistas / Investigadoresresponsáveis por equipas de resposta aincidentes de segurança e/ou porexames forenses têm a necessidade(obrigação) de se manteremactualizados quanto a técnicas,ferramentas e conhecimentos paraacompanharem a constante evolução datecnologia


Ubuntu

� Novas distros permitem “automounting”• O dispositivo é mounted automaticamente

quando ligado

• Comportamento indesejado para efeitos forenses

� Para desligar o “automounting”• ALT+F2 - gconf-editor

• apps/nautilus/preferences

• media_automount

• media_automount_openInformática Forense e Reengenharia

3

Ubuntu



4

Disable Autorun

� Update for Windows XP (KB967715)

� Update for Windows Server 2003 for Itanium-based Systems(KB967715)

� Update for Windows Server 2003 x64 Edition (KB967715)

� Update for Windows Server 2003 (KB967715)

� Update for Windows XP x64 Edition (KB967715)

� Update for Windows 2000 (KB967715)

� Windows Vista-based and Windows Server 2008-basedsystems must have update 950582

Fonte: http://support.microsoft.com/kb/967715


Disable Autorun

� Windows 7, Windows Server 2008, Windows Vista, Windows Server 2003 ou Windows XP• Disable

• Microsoft Fix it 50471

• Enable• Microsoft Fix it 50475

� Não confundir com Microsoft Fix it 50061 – Desabilita USB na totalidade


5

Disable Autorun

� HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

� HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\

� NoDriveTypeAutoRun


Value Meaning0x1 or 0x80 Disables AutoRun on drives of unknown type 0x4 Disables AutoRun on removable drives 0x8 Disables AutoRun on fixed drives 0x10 Disables AutoRun on network drives 0x20 Disables AutoRun on CD-ROM drives 0x40 Disables AutoRun on RAM disks 0xFF Disables AutoRun on all kinds of drives

USBWP


6

Validação

� Até os melhores produtos falham

� Testar e Validar (HW e SW) para assegurar que funcionamcomo deviam

� A fase de testes deve ser a primeira (familiarização com HW eSW)

� Validação assegura que o equipamento e SW funcionam emperfeitas condições e realizam apenas as operaçõespretendidas e não outras quaisquer

� Write blockers devem ser validados antes de serem usado(antes de cada aquisição) para assegurar que continuam atrabalhar correctamente e que protegem o dispositivo contraescrita


Testar um write blocker� Step # 1

• Esterilizar o dispositivo de teste e confirmar a sua esterilização;

• Formatá-lo

• Colocar alguma informação no mesmo

• Pre-hashing (sw#1)

• Criar uma imagem forense (binária) do dispositivo e calcular o MD5 (sw#2)

� Step # 2• Ligar o write blocker

• Ligar o dispositivo ao write blocker

� Step # 3• Tentar copiar, criar, renomear e apagar ficheiros do dispositivo

• Tentar formatar o dispositivo

• Criar uma segunda imagem forense (binária) do dispositivo e calcular o MD5 (sw#1)

• Post-hashing (sw#2);

• Comparar resultados entre os MD5 do Step #1 e do Step#3


7

Problemas

� Quando surgem problemas os mesmosdevem ser documentados (tipo deproblema e implicações)

� Substituição do HW ou SW e começardo zero

� Equipamento ou SW danificado deve serdescartado


Esterilização

� Wipe – Processo de escrita de cada byte nodispositivo com um valor hexadecimal conhecido,normalmente 0x00 (zero)

� Usar este valor permite verificar o processo comuma tool de checksum de 64-bit e confirmar que oresultado deste checksum é zero, o que significaque o dispositivo está limpo de forma forense –Esterilizado

� Uso de dispositivos esterilizados é mandatório deforma a assegurar que não existe informação nomesmo de uma utilização anterior


8

Esterilização

� Deve sempre ser feito antes de umdispositivo ser usado para armazenardados

� Quando se repõe uma imagem, quandose enviam dados para alguém, quandose vende equipamento ou se remetepara o “lixo”


Esterilização

� É importante ter em mente que quandose apagam todos os ficheiros ou seformata um dispositivo não é sinónimode wipe

� Quando se formata ou apaga umapartição, está-se a apagar o file system,ficando os dados “invisíveis” mas osmesmo não desaparecem, continuam aresidir no dispositivo


9

Esterilização

� Windows Vista / 7• Se a formatação for non-Quick Format é feita

uma passagem a zeros na partição• Atenção com outras partições do dispositivo


Esterilização

� Darik's Boot and Nuke ("DBAN")• http://www.dban.org/

� dcfldd• Defense Computer Forensics Lab

� wipe


10

Esterilização

� Wipe• dcfldd if=/dev/zero of=/dev/sdb bs=8k

conv=noerror,sync

� Verificação• cat /dev/sdb | od• jacksum


Limitações e custos

� O computador fica ocupado por horas• Ex: HDD com 4GB – 35 minutos

� Ignora remapped faulty sectors� Não limpa Device Configuration Overlay

(DCO), eventualmente limpa a HPA, seexistir• Pode ser usado para ludibriar quanto ao

tamanho da drive


11


Verificação WinHex


12

Forensic File Formats

� RAW (dd) : Free� Encase : Proprietary file format (.E??)� Ilook : Proprietary file format (.IDIF, .IRBF & .IEIF)� Advanced forensic format : Open format (.AFF)� Generic forensic zip: Open format (.gfzip)� FTK: Proprietary file format (.AD??)� SMART: Open format (.S??)

Fonte: http://www.forensicswiki.org/wiki/Forensic_file_formats



� Problemas com ficheiros proprietários• Troca de informação entre países• Troca de informação entre departamentos da

mesma empresa• Análise pode requerer tools diferentes


13


� Vantagens dos formatos “abertos”• Compatíveis com as tools gratuitas• Se houver uma massificação no uso, os

fabricantes das tools têm de passar asuportar


Forensic File Formats mais comuns

� RAW (dd)• Formato mais fácil de usar; rápido; tamanho (file systems (FAT32, ext2)

que não suportam ficheiros maiores de 4GB)• Todas as tools suportam• Admite split (file.000, file.001, file.002, etc.)

� Encase (.E01) — compressed format developed byExpert Witness / Guidance Software• Compressão• Divide ficheiros em volumes (file.E01, file.E02, etc.)• Não é suportado por algumas tools (file carvers, etc.)• Os ficheiros podem ser protegidos por password (mas não são

encriptados)


14

Forensic File Formats mais comuns

� AFF (AFF, AFD e AFM ) — compressedopen source format• Open Format — está tudo perfeitamente definido e documentado• Open Implementation — sem custos de licenciamento• Uma imagem por disco físico (>2GB) ou dividida em múltiplos

ficheiros (no formato .afd)• Suporta encriptação

• Password-based private key• Certificate-based public key

• Multi-platforma: Windows, MacOS, Linux, FreeBSD, etc.• Extensível (suporta metadata que pode ser acrescentada sempre

que necessário)


AFF

� Três tipos diferentes de ficheiros AFF files(todos têm a mesma estrutura de dados)• AFF – um único ficheiro “guarda” todos os segmentos

• AFD – pode ter múltiplos ficheiros, que são todosarmazenados na mesma directoria , cujo nome tem umaextensão “.afd”.

• AFM - armazena os dados num ou mais ficheiros raw eguarda a metadata num ficheiro em separado, que contéma estrutura standard do segmento. Há um ficheiro com aextensão “.afm” e os ficheiros raw têm o mesmo nome basee a extensão são números sequenciais


15

AFFlib

� A AFFlib Library é fácil de usar� Disponível para Win e Linux� Vem integrada no Sleuthkit� Possibilidade de adicionar metadata à

imagem� Comandos :

• aimage -m para criação de um ficheiro de texto (configuração) na current directory

• aimage /dev/sdx USB.aff


AFFlib

� AFFlib• afcat• afinfo• afconvert• afcompare• afstats• afxml

� Comandos:• Ex.: converter AFF image para raw dd:• afconvert -r -e dd image.aff


16

libewf

� Library para Encase file format em Linux(http://sourceforge.net/projects/libewf/)

� Suporta os formatos de ficheiro:• ewf• smart ewf• ftk• EnCase 1 – 6• LinEn 5 e 6


libewf

� ewfacquire• Aquisição de um device ou ficheiro

� ewfacquirestream• Aquisição do stdin (através de um pipe)

� ewfexport• Conversão entre formatos

� ewfinfo• Dá informação sobre o ficheiro

� ewfverify• Faz verificação de integridade


17

Aquisição

� ewfacquire /dev/sdb• Introduzir restante informação


Aquisição

� dcfldd if=/dev/sourcedrivehash=md5,sha256 hashwindow=10G md5log=md5.txt sha256log=sha256.txt \hashconv=after bs=512 conv=noerror,sync split=10G splitformat=aa of=driveimage.dd

� Resultado: • driveimage.dd.aa, driveimage.dd.ab, ...


18

Aquisição

� ftkimager /dev/sdb /home/USB - - e01� ftkimager /dev/sdb /home/USB - - s01� ftkimager /dev/sdb /home/USB

� O primeiro cria um ficheiro E01� O segundo cria um ficheiro S01 (SMART)� O terceiro cria um ficheiro raw (001)

� São criados ficheiros TXT com MD5 e SHA1


Velocidade


19

Prático

� Aquire E01 com FTK Imager (Win) –máxima compressão

� Aquire RAW com FTK Imager (Ubuntu)� Aquire E01com ewfaquire – sem

compressão


Prático

� Windows• AccessData® FTK® Imager 3.0.1.1467

� Linux• Listar os dispositivos: ftkimager -list-drives

• Após verificar que a nossa pen é /dev/sdb

• ftkimager /dev/sdb /home/USB• ewfacquire /dev/sdb

� Ver: http://accessdata.com/wp-content/uploads/2012/02/Using_Command_Line_Imager.pdf


20

Read only

� Depois de criar as imagens• chmod a-w NOME


Win FTK Imager


21

Ubuntu FTK Imager & ewfverify


� Testar hash para as diferentes imagens• find /home/ -type f | xargs -i md5sum "{}" >

md5.txt

� Porque é que dá diferente?


22

E01

Header Data CRC Data CRC Data CRC


md5sum

ewfverify

Conversão de formatos

� libewf• ewfexport HDD.E01 -t HDD.dd• ewfexport HDD.E01 > HDD.dd

� Sleuthkit :• img_cat HDD.E01 > HDD.dd


23

Imagem forense

� Processo de cópia (assegurando que o devicesource não é alterado), bit a bit, de toda a dataacessível no source device, incluindo file e RAMslack, unallocated space, ficheiros apagados,espaço não particionado e Host Protected Area. Aescrita deve ser feita na mesma ordem, paraficheiros (ex: EnCase .E01, .L01; FTK .E01, .AD1;Unix/Linux DD, RAW; Forensic File Format .AFF,SMART, etc.). A integridade destes ficheiros podeser verificada através de algoritmos de checksumvalues ou hash.


Imagem vs Cópia forense

� Uma cópia forense é o processo de cópia(assegurando que o dispositivo source não éalterado), bit a bit, de toda a data acessívelno source device e a sua escrita, na mesmaordem, para um destination device.

� A diferença reside no facto da imagemforense ter como destino ficheiros e a cópiaforense tem como destino outro device detamanho igual ou superior ao da source


24

Comandos

� Lista USB devices• lsusb

� Todos os storage devices e partições• sudo fdisk –l

� Mounted systems• mount

� Mount devices sem ser root• pmount <device> [ label ] • pumount <device>


Mount read only

� mkdir /media/USB

� mount -o ro /dev/sdb /media/USB


25


Obrigado

[email protected]

Documents

2. aquisicao