5.2 KiB
5.2 KiB
Analyse-Methoden für forensische Daten
Anmerkungen Tutorium
- WAL , wear leveling
- bei Flash Speicher werde iNodes durch-rotiert
- es kann also X-tausend SQlite DBs bei etwa 50 Apps
- Smartphones haben 30-40 Partitionen
- Autopsy für Smartphone ist erlaubt
- Sleuthkit für Win Image, da nicht ok
Fokus
- Win
- Android
APL Ausgabe
2.12
Win 11
- Sleuth
mmls
- verschlüsselt
Logfile
- Logic Analyzer 20 GB
sync
nach Kopieren
Linux prep
Die Forensik VM braucht Ressourcen. Es dauert sonst zu lange.
losetup -a
: keine SquashFS loop Devices = einfacher- bauen von Loop Devices (manuell ?)
--partscan
/--find
/--show
- bauen von Loop Devices (manuell ?)
log2timeline
- optional, für die Generierung für Super-Timeline
sleuthkit
ist sehr versions-abhängig- 4.12 hat LVM Unterstützung (unwichtig für APL)
- Auswertungen beginnen mit der Listung der Versions-Nummern der eingesetzten Forensik-Programme, sonst sind 2 Punkte weg.
- nicht alles wie
grep
etc., sondernsleuthkit
usw.
- nicht alles wie
- ZFS - Filesystem der 3. Generation. FAT16 z. B. ist schwer zu reparieren, da es kein Journal hat. 2. Generation: ext3 / ext4, HFS(+), NTFS - haben ein Journal. 3. Generation: ZFS
binwalk
undyafs
werden ehr nicht benötigt werdenbulkextractor
sucht Crypto-Currency Kram und.onion
Darknet URLs- nur die alte Version mit Python 2 funktioniert für uns. Version 2 nicht nutzen, nur 1.6
scraper
Modul kann nur Crypto-Spuren suchen (es reicht für uns, und braucht kein Python 2)
APL Theorie
- Prefetch
sccainfo
für das Lesen von *.pf Files- gehören zu den "Windows-spezifischen Artefakten"
- HW Wallert (?)
- Indizien für Crypto Kram (USB -> ?)
- HW Wallert (?)
- Volume Shadow Copies
- unallocated & allocated - in der VSS Kopie sind auch gelöschte Dateien.
- wenn es sie nicht gibt, dokumentieren -> Screenshot
- Anzahl der Files vom Windows = Anzahl der VSS Dateien
- plaso erzeugt eine SQlite wo alles drin steht, deshalb dauert es so lange.
log2timeline
erkennt VSS Kopieen automatisch und fragt. Die letzte könnte ausreichen: also "die neueste...".vshadowinfo
: Suchervmdk
: Mounter
- plaso erzeugt eine SQlite wo alles drin steht, deshalb dauert es so lange.
- Registry
sleuth
fsstat
- zeigt Win XP, kann aber 11 sein. XP ist die Versions-Nummer von NTFS (!)- OS Infos werden ermittelt: aus der Registry
- Angedockte USB Devices erscheinen in der Registry
- USB Kennung emulierbar . Zeitstempel & Mount Point können evtl. abweichen. Kann man aufzeigen, aber ist semi-relevant ("sieht manipuliert aus").
- RegRipper (
rip.pl
oder so) - Log2Timeline
- Geht alle logisch vorhandene Dateien durch, und macht einen Zeitstrahl
- Empfehlung: ohne VSS Kopieen
- Timeline: fix, nur Meta-Infos aus Datei
- Super-Timeline: lange, weil auch inhaltlich
- USB Sick Mount Event hat Zeitstempel
- Outlook
- APL irrelevant
- $MFT
- DB-artige Struktur, 4 Zeitstempel (Meta-Infos)
- Anti-Forensik Tools können idR die Zeitstempel in der MFT nicht manipulieren
Zeitstempel
Anpassung der Zeitstempel unter Linux. Mindestens 3 Stempel, oft 4.
MAC
- m - modified (Inhaltlich)
- a - accessed
- c - Win: creation, Lin: changed (Änderung der Meta-Daten)
MAC B ("Birth")
- b -
Tutorials
Beispiele DELL & VSS
Demo Trace
- APL: Screenshots nicht als alleiniges Merkmahl. Ein Satz muss dazu.
- Ein paar Screenshots sind sinnvoll, da es eine Echtheitsprüfung nach der APL geben kann. Nicht alles muss als Screenshot dargestellt werden.
- Es ist zu empfehlen zu zeigen, dass die Verzeichnisse vorher leer sind
###### win xp
mmls dell3.E0* # klassifizierung
fls -pro 63 dell3.E0* | grep -i prefetch # prefetch dateien ansehen
# bei FF runcount und last used
icat -o 63 dell3.E0* 13973 > /tmp/ff.pf
# im Prefetch nachsehen ob z. B ein HW Wallet da ist
###### win 7
mmls vss.E0*
# 206848 / 2
# Gibt es VSS Kopieen? -> Doku
# APL bedarf logisch (mount listing) & physisch (auch gelöschte)
xmount --int ewf dell3.E0* --cache /tmp/dell.ovl --out vdi
# VDI in Virtualiserer rein, vorhandene HD
# opengates um offline zu bleiben, kann auch SATA Treiber reinmachen
# HW Raids haben den MBR hinten. Stattdessen ein Image
# xmount kann das verschieben
# RAID Controller kann man evtl. nicht direkt an VBox durchreichen
# in der APL soll das Win 11 Virtualisiert werden
# qemu / Vbox
# BIOS mit TPM wird gebraucht
# Hier wird virtualisiert nach dem Entschlüsseln
# Bitlocker Partition kann ersetzt werden
# nested virtualisierung muss man aktivieren
# OVL wird grundsätzlich gemacht
xmount --in ewf css.E0* --cache /tmp/vss.ovl --out raw /ewf
mmls /ewf/css.dd
# VSS werden in der C:, also in der 2. Partition sein
# ins RAW Image gehen: xmount in raw muss vorher durch sein
losetup --partscan --find --show /ewf/vss.dd
# /dev/loop7 oder so kommt raus, je nachdem
ll /dev/loop7*
# kommt dann loop7(,p1, p2) - wir brauchen p2
vshadowinfo /dev/loop7p2
# VSS Kopieen bereitstellen
mkdir /vss
vshadowmount /dev/lopp7p2 /vss
ll /vss # c-time von den erzeugten Stores, innen sind die VSS Kopieen integer
# aus der VSS Kopie alle gelöschten Dateien raus:
tsk_recover /vss/vss5 /tmp/recovered # in der APL die neuste
mount -o ro /vss/vss5 /mnt/
# kann sein, dass gelöschte Dateien hier sind.