first commit

2023-11-11 13:16:26 +01:00 · 2023-11-11 13:16:26 +01:00 · de29bbc677
commit de29bbc677
1 changed files with 171 additions and 0 deletions
--- a/Notizen_Forensiche_Analyse_S3.md
+++ b/Notizen_Forensiche_Analyse_S3.md
@ -0,0 +1,171 @@
+# Analyse-Methoden für forensische Daten
+
+## Anmerkungen Tutorium
+
+* WAL , wear leveling
+  * bei Flash Speicher werde iNodes durch-rotiert
+  * es kann also X-tausend SQlite DBs bei etwa 50 Apps
+  * Smartphones haben 30-40 Partitionen
+* Autopsy für Smartphone ist erlaubt
+  * Sleuthkit für Win Image, da nicht ok
+
+## Fokus
+
+* Win
+* Android
+
+## APL Ausgabe
+
+2.12
+
+### Win 11
+
+* Sleuth `mmls`
+* verschlüsselt
+
+### Logfile
+
+* Logic Analyzer 20 GB
+* `sync` nach Kopieren
+
+### Linux prep
+
+Die Forensik VM braucht Ressourcen. Es dauert sonst zu lange.
+
+* `losetup -a` : keine SquashFS loop Devices = einfacher
+  * bauen von Loop Devices (manuell ?) 
+    * `--partscan` / `--find` / `--show`
+* `log2timeline`
+  * optional, für die Generierung für Super-Timeline
+* `sleuthkit` ist sehr versions-abhängig
+  * 4.12 hat LVM Unterstützung (unwichtig für APL)
+* Auswertungen beginnen mit der Listung der Versions-Nummern der eingesetzten Forensik-Programme, sonst sind 2 Punkte weg. 
+  * nicht alles wie `grep` etc., sondern `sleuthkit` usw.
+* ZFS - Filesystem der 3. Generation. FAT16 z. B. ist schwer zu reparieren, da es kein Journal hat. 2. Generation: ext3 / ext4, HFS(+), NTFS - haben ein Journal. 3. Generation: ZFS
+* `binwalk` und `yafs` werden ehr nicht benötigt werden
+* `bulkextractor` sucht Crypto-Currency Kram und `.onion` Darknet URLs
+  * nur die alte Version mit Python 2 funktioniert für uns. Version 2 nicht nutzen, nur 1.6
+* `scraper` Modul kann *nur* Crypto-Spuren suchen (es reicht für uns, und braucht kein Python 2)
+
+## APL Theorie
+
+* **Prefetch**
+  * `sccainfo` für das Lesen von *.pf Files
+  * gehören zu den "Windows-spezifischen Artefakten"
+    * HW Wallert (?)
+      * Indizien für Crypto Kram (USB -> ?)
+* **Volume Shadow Copies**
+  * unallocated & allocated - in der VSS Kopie sind auch gelöschte Dateien. 
+  * wenn es sie nicht gibt, dokumentieren -> Screenshot
+  * Anzahl der Files vom Windows = Anzahl der VSS Dateien
+    * plaso erzeugt eine SQlite wo alles drin steht, deshalb dauert es so lange. `log2timeline` erkennt VSS Kopieen automatisch und fragt. Die letzte könnte ausreichen: also "die neueste...". 
+      * `vshadowinfo` : Sucher
+      * `vmdk` : Mounter
+* **Registry**
+  * `sleuth` `fsstat` - zeigt Win XP, kann aber 11 sein. XP ist die Versions-Nummer von NTFS (!)
+    * OS Infos werden ermittelt: aus der Registry
+  * Angedockte USB Devices erscheinen in der Registry
+    * USB Kennung emulierbar . Zeitstempel & Mount Point können evtl. abweichen. Kann man aufzeigen, aber ist semi-relevant ("sieht manipuliert aus").
+  * RegRipper (`rip.pl` oder so)
+  * Log2Timeline
+    * Geht alle logisch vorhandene Dateien durch, und macht einen Zeitstrahl
+    * Empfehlung: ohne VSS Kopieen
+    * Timeline: fix, nur Meta-Infos aus Datei
+    * Super-Timeline: lange, weil auch inhaltlich
+      * USB Sick Mount Event hat Zeitstempel
+* **Outlook**
+  * APL irrelevant
+* **$MFT**
+  * DB-artige Struktur, 4 Zeitstempel (Meta-Infos)
+  * Anti-Forensik Tools können idR die Zeitstempel in der MFT nicht manipulieren
+
+## Zeitstempel
+
+Anpassung der Zeitstempel unter Linux. Mindestens 3 Stempel, oft 4.
+
+### MAC 
+
+1. m - modified (Inhaltlich)
+2. a - accessed
+3. c - Win: creation, Lin: changed (Änderung der Meta-Daten)
+
+### MAC B ("Birth")
+
+4. b -
+
+## Tutorials
+
+## Beispiele DELL & VSS
+
+### Demo Trace
+
+* APL: Screenshots nicht als alleiniges Merkmahl. Ein Satz muss dazu.
+* Ein paar Screenshots sind sinnvoll, da es eine Echtheitsprüfung nach der APL geben kann. Nicht alles muss als Screenshot dargestellt werden.
+* Es ist zu empfehlen zu zeigen, dass die Verzeichnisse vorher leer sind
+
+```bash
+###### win xp
+
+mmls dell3.E0* # klassifizierung
+
+fls -pro 63 dell3.E0* | grep -i prefetch # prefetch dateien ansehen
+
+# bei FF runcount und last used
+
+icat -o 63 dell3.E0* 13973 > /tmp/ff.pf
+# im Prefetch nachsehen ob z. B ein HW Wallet da ist
+
+###### win 7
+
+mmls vss.E0*
+# 206848 / 2 
+
+# Gibt es VSS Kopieen? -> Doku
+
+# APL bedarf logisch (mount listing) & physisch (auch gelöschte)
+
+xmount --int ewf dell3.E0* --cache /tmp/dell.ovl --out vdi 
+
+# VDI in Virtualiserer rein, vorhandene HD
+# opengates um offline zu bleiben, kann auch SATA Treiber reinmachen
+
+# HW Raids haben den MBR hinten. Stattdessen ein Image
+# xmount kann das verschieben
+# RAID Controller kann man evtl. nicht direkt an VBox durchreichen
+
+# in der APL soll das Win 11 Virtualisiert werden
+# qemu / Vbox 
+# BIOS mit TPM wird gebraucht
+# Hier wird virtualisiert nach dem Entschlüsseln
+# Bitlocker Partition kann ersetzt werden
+# nested virtualisierung muss man aktivieren
+
+# OVL wird grundsätzlich gemacht
+xmount --in ewf css.E0* --cache /tmp/vss.ovl --out raw /ewf 
+mmls /ewf/css.dd
+# VSS werden in der C:, also in der 2. Partition sein
+
+# ins RAW Image gehen: xmount in raw muss vorher durch sein
+losetup --partscan --find --show /ewf/vss.dd
+
+# /dev/loop7 oder so kommt raus, je nachdem
+ll /dev/loop7*
+# kommt dann loop7(,p1, p2) - wir brauchen p2
+
+vshadowinfo /dev/loop7p2
+
+# VSS Kopieen bereitstellen
+mkdir /vss
+vshadowmount /dev/lopp7p2 /vss
+ll /vss # c-time von den erzeugten Stores, innen sind die VSS Kopieen integer
+
+# aus der VSS Kopie alle gelöschten Dateien raus:
+tsk_recover /vss/vss5 /tmp/recovered # in der APL die neuste
+
+mount -o ro /vss/vss5 /mnt/
+# kann sein, dass gelöschte Dateien hier sind.
+
+```
+
+## foo
+