marius
/
Forensische_Analyse_2023
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Forensische_Analyse_2023/Notizen_Forensiche_Analyse_...

5.2 KiB
Raw Blame History

Analyse-Methoden für forensische Daten

Anmerkungen Tutorium

  • WAL , wear leveling
    • bei Flash Speicher werde iNodes durch-rotiert
    • es kann also X-tausend SQlite DBs bei etwa 50 Apps
    • Smartphones haben 30-40 Partitionen
  • Autopsy für Smartphone ist erlaubt
    • Sleuthkit für Win Image, da nicht ok

Fokus

  • Win
  • Android

APL Ausgabe

2.12

Win 11

  • Sleuth mmls
  • verschlüsselt

Logfile

  • Logic Analyzer 20 GB
  • sync nach Kopieren

Linux prep

Die Forensik VM braucht Ressourcen. Es dauert sonst zu lange.

  • losetup -a : keine SquashFS loop Devices = einfacher
    • bauen von Loop Devices (manuell ?)
      • --partscan / --find / --show
  • log2timeline
    • optional, für die Generierung für Super-Timeline
  • sleuthkit ist sehr versions-abhängig
    • 4.12 hat LVM Unterstützung (unwichtig für APL)
  • Auswertungen beginnen mit der Listung der Versions-Nummern der eingesetzten Forensik-Programme, sonst sind 2 Punkte weg.
    • nicht alles wie grep etc., sondern sleuthkit usw.
  • ZFS - Filesystem der 3. Generation. FAT16 z. B. ist schwer zu reparieren, da es kein Journal hat. 2. Generation: ext3 / ext4, HFS(+), NTFS - haben ein Journal. 3. Generation: ZFS
  • binwalk und yafs werden ehr nicht benötigt werden
  • bulkextractor sucht Crypto-Currency Kram und .onion Darknet URLs
    • nur die alte Version mit Python 2 funktioniert für uns. Version 2 nicht nutzen, nur 1.6
  • scraper Modul kann nur Crypto-Spuren suchen (es reicht für uns, und braucht kein Python 2)

APL Theorie

  • Prefetch
    • sccainfo für das Lesen von *.pf Files
    • gehören zu den "Windows-spezifischen Artefakten"
      • HW Wallert (?)
        • Indizien für Crypto Kram (USB -> ?)
  • Volume Shadow Copies
    • unallocated & allocated - in der VSS Kopie sind auch gelöschte Dateien.
    • wenn es sie nicht gibt, dokumentieren -> Screenshot
    • Anzahl der Files vom Windows = Anzahl der VSS Dateien
      • plaso erzeugt eine SQlite wo alles drin steht, deshalb dauert es so lange. log2timeline erkennt VSS Kopieen automatisch und fragt. Die letzte könnte ausreichen: also "die neueste...".
        • vshadowinfo : Sucher
        • vmdk : Mounter
  • Registry
    • sleuth fsstat - zeigt Win XP, kann aber 11 sein. XP ist die Versions-Nummer von NTFS (!)
      • OS Infos werden ermittelt: aus der Registry
    • Angedockte USB Devices erscheinen in der Registry
      • USB Kennung emulierbar . Zeitstempel & Mount Point können evtl. abweichen. Kann man aufzeigen, aber ist semi-relevant ("sieht manipuliert aus").
    • RegRipper (rip.pl oder so)
    • Log2Timeline
      • Geht alle logisch vorhandene Dateien durch, und macht einen Zeitstrahl
      • Empfehlung: ohne VSS Kopieen
      • Timeline: fix, nur Meta-Infos aus Datei
      • Super-Timeline: lange, weil auch inhaltlich
        • USB Sick Mount Event hat Zeitstempel
  • Outlook
    • APL irrelevant
  • $MFT
    • DB-artige Struktur, 4 Zeitstempel (Meta-Infos)
    • Anti-Forensik Tools können idR die Zeitstempel in der MFT nicht manipulieren

Zeitstempel

Anpassung der Zeitstempel unter Linux. Mindestens 3 Stempel, oft 4.

MAC

  1. m - modified (Inhaltlich)
  2. a - accessed
  3. c - Win: creation, Lin: changed (Änderung der Meta-Daten)

MAC B ("Birth")

  1. b -

Tutorials

Beispiele DELL & VSS

Demo Trace

  • APL: Screenshots nicht als alleiniges Merkmahl. Ein Satz muss dazu.
  • Ein paar Screenshots sind sinnvoll, da es eine Echtheitsprüfung nach der APL geben kann. Nicht alles muss als Screenshot dargestellt werden.
  • Es ist zu empfehlen zu zeigen, dass die Verzeichnisse vorher leer sind
###### win xp

mmls dell3.E0* # klassifizierung

fls -pro 63 dell3.E0* | grep -i prefetch # prefetch dateien ansehen

# bei FF runcount und last used

icat -o 63 dell3.E0* 13973 > /tmp/ff.pf
# im Prefetch nachsehen ob z. B ein HW Wallet da ist

###### win 7

mmls vss.E0*
# 206848 / 2 

# Gibt es VSS Kopieen? -> Doku

# APL bedarf logisch (mount listing) & physisch (auch gelöschte)

xmount --int ewf dell3.E0* --cache /tmp/dell.ovl --out vdi 

# VDI in Virtualiserer rein, vorhandene HD
# opengates um offline zu bleiben, kann auch SATA Treiber reinmachen

# HW Raids haben den MBR hinten. Stattdessen ein Image
# xmount kann das verschieben
# RAID Controller kann man evtl. nicht direkt an VBox durchreichen

# in der APL soll das Win 11 Virtualisiert werden
# qemu / Vbox 
# BIOS mit TPM wird gebraucht
# Hier wird virtualisiert nach dem Entschlüsseln
# Bitlocker Partition kann ersetzt werden
# nested virtualisierung muss man aktivieren

# OVL wird grundsätzlich gemacht
xmount --in ewf css.E0* --cache /tmp/vss.ovl --out raw /ewf 
mmls /ewf/css.dd
# VSS werden in der C:, also in der 2. Partition sein

# ins RAW Image gehen: xmount in raw muss vorher durch sein
losetup --partscan --find --show /ewf/vss.dd

# /dev/loop7 oder so kommt raus, je nachdem
ll /dev/loop7*
# kommt dann loop7(,p1, p2) - wir brauchen p2

vshadowinfo /dev/loop7p2

# VSS Kopieen bereitstellen
mkdir /vss
vshadowmount /dev/lopp7p2 /vss
ll /vss # c-time von den erzeugten Stores, innen sind die VSS Kopieen integer

# aus der VSS Kopie alle gelöschten Dateien raus:
tsk_recover /vss/vss5 /tmp/recovered # in der APL die neuste

mount -o ro /vss/vss5 /mnt/
# kann sein, dass gelöschte Dateien hier sind.

foo