From de29bbc67788804671d0c787f32c3ec8a665932c Mon Sep 17 00:00:00 2001 From: marius Date: Sat, 11 Nov 2023 13:16:26 +0100 Subject: [PATCH] first commit --- Notizen_Forensiche_Analyse_S3.md | 171 +++++++++++++++++++++++++++++++ 1 file changed, 171 insertions(+) create mode 100644 Notizen_Forensiche_Analyse_S3.md diff --git a/Notizen_Forensiche_Analyse_S3.md b/Notizen_Forensiche_Analyse_S3.md new file mode 100644 index 0000000..80d8798 --- /dev/null +++ b/Notizen_Forensiche_Analyse_S3.md @@ -0,0 +1,171 @@ +# Analyse-Methoden für forensische Daten + +## Anmerkungen Tutorium + +* WAL , wear leveling + * bei Flash Speicher werde iNodes durch-rotiert + * es kann also X-tausend SQlite DBs bei etwa 50 Apps + * Smartphones haben 30-40 Partitionen +* Autopsy für Smartphone ist erlaubt + * Sleuthkit für Win Image, da nicht ok + +## Fokus + +* Win +* Android + +## APL Ausgabe + +2.12 + +### Win 11 + +* Sleuth `mmls` +* verschlüsselt + +### Logfile + +* Logic Analyzer 20 GB +* `sync` nach Kopieren + +### Linux prep + +Die Forensik VM braucht Ressourcen. Es dauert sonst zu lange. + +* `losetup -a` : keine SquashFS loop Devices = einfacher + * bauen von Loop Devices (manuell ?) + * `--partscan` / `--find` / `--show` +* `log2timeline` + * optional, für die Generierung für Super-Timeline +* `sleuthkit` ist sehr versions-abhängig + * 4.12 hat LVM Unterstützung (unwichtig für APL) +* Auswertungen beginnen mit der Listung der Versions-Nummern der eingesetzten Forensik-Programme, sonst sind 2 Punkte weg. + * nicht alles wie `grep` etc., sondern `sleuthkit` usw. +* ZFS - Filesystem der 3. Generation. FAT16 z. B. ist schwer zu reparieren, da es kein Journal hat. 2. Generation: ext3 / ext4, HFS(+), NTFS - haben ein Journal. 3. Generation: ZFS +* `binwalk` und `yafs` werden ehr nicht benötigt werden +* `bulkextractor` sucht Crypto-Currency Kram und `.onion` Darknet URLs + * nur die alte Version mit Python 2 funktioniert für uns. Version 2 nicht nutzen, nur 1.6 +* `scraper` Modul kann *nur* Crypto-Spuren suchen (es reicht für uns, und braucht kein Python 2) + +## APL Theorie + +* **Prefetch** + * `sccainfo` für das Lesen von *.pf Files + * gehören zu den "Windows-spezifischen Artefakten" + * HW Wallert (?) + * Indizien für Crypto Kram (USB -> ?) +* **Volume Shadow Copies** + * unallocated & allocated - in der VSS Kopie sind auch gelöschte Dateien. + * wenn es sie nicht gibt, dokumentieren -> Screenshot + * Anzahl der Files vom Windows = Anzahl der VSS Dateien + * plaso erzeugt eine SQlite wo alles drin steht, deshalb dauert es so lange. `log2timeline` erkennt VSS Kopieen automatisch und fragt. Die letzte könnte ausreichen: also "die neueste...". + * `vshadowinfo` : Sucher + * `vmdk` : Mounter +* **Registry** + * `sleuth` `fsstat` - zeigt Win XP, kann aber 11 sein. XP ist die Versions-Nummer von NTFS (!) + * OS Infos werden ermittelt: aus der Registry + * Angedockte USB Devices erscheinen in der Registry + * USB Kennung emulierbar . Zeitstempel & Mount Point können evtl. abweichen. Kann man aufzeigen, aber ist semi-relevant ("sieht manipuliert aus"). + * RegRipper (`rip.pl` oder so) + * Log2Timeline + * Geht alle logisch vorhandene Dateien durch, und macht einen Zeitstrahl + * Empfehlung: ohne VSS Kopieen + * Timeline: fix, nur Meta-Infos aus Datei + * Super-Timeline: lange, weil auch inhaltlich + * USB Sick Mount Event hat Zeitstempel +* **Outlook** + * APL irrelevant +* **$MFT** + * DB-artige Struktur, 4 Zeitstempel (Meta-Infos) + * Anti-Forensik Tools können idR die Zeitstempel in der MFT nicht manipulieren + +## Zeitstempel + +Anpassung der Zeitstempel unter Linux. Mindestens 3 Stempel, oft 4. + +### MAC + +1. m - modified (Inhaltlich) +2. a - accessed +3. c - Win: creation, Lin: changed (Änderung der Meta-Daten) + +### MAC B ("Birth") + +4. b - + +## Tutorials + +## Beispiele DELL & VSS + +### Demo Trace + +* APL: Screenshots nicht als alleiniges Merkmahl. Ein Satz muss dazu. +* Ein paar Screenshots sind sinnvoll, da es eine Echtheitsprüfung nach der APL geben kann. Nicht alles muss als Screenshot dargestellt werden. +* Es ist zu empfehlen zu zeigen, dass die Verzeichnisse vorher leer sind + +```bash +###### win xp + +mmls dell3.E0* # klassifizierung + +fls -pro 63 dell3.E0* | grep -i prefetch # prefetch dateien ansehen + +# bei FF runcount und last used + +icat -o 63 dell3.E0* 13973 > /tmp/ff.pf +# im Prefetch nachsehen ob z. B ein HW Wallet da ist + +###### win 7 + +mmls vss.E0* +# 206848 / 2 + +# Gibt es VSS Kopieen? -> Doku + +# APL bedarf logisch (mount listing) & physisch (auch gelöschte) + +xmount --int ewf dell3.E0* --cache /tmp/dell.ovl --out vdi + +# VDI in Virtualiserer rein, vorhandene HD +# opengates um offline zu bleiben, kann auch SATA Treiber reinmachen + +# HW Raids haben den MBR hinten. Stattdessen ein Image +# xmount kann das verschieben +# RAID Controller kann man evtl. nicht direkt an VBox durchreichen + +# in der APL soll das Win 11 Virtualisiert werden +# qemu / Vbox +# BIOS mit TPM wird gebraucht +# Hier wird virtualisiert nach dem Entschlüsseln +# Bitlocker Partition kann ersetzt werden +# nested virtualisierung muss man aktivieren + +# OVL wird grundsätzlich gemacht +xmount --in ewf css.E0* --cache /tmp/vss.ovl --out raw /ewf +mmls /ewf/css.dd +# VSS werden in der C:, also in der 2. Partition sein + +# ins RAW Image gehen: xmount in raw muss vorher durch sein +losetup --partscan --find --show /ewf/vss.dd + +# /dev/loop7 oder so kommt raus, je nachdem +ll /dev/loop7* +# kommt dann loop7(,p1, p2) - wir brauchen p2 + +vshadowinfo /dev/loop7p2 + +# VSS Kopieen bereitstellen +mkdir /vss +vshadowmount /dev/lopp7p2 /vss +ll /vss # c-time von den erzeugten Stores, innen sind die VSS Kopieen integer + +# aus der VSS Kopie alle gelöschten Dateien raus: +tsk_recover /vss/vss5 /tmp/recovered # in der APL die neuste + +mount -o ro /vss/vss5 /mnt/ +# kann sein, dass gelöschte Dateien hier sind. + +``` + +## foo +