farukvisca.com

Početak | IT | O meni | Kontakt                 BOSANSKI   ENGLISH   

EnCase v6 Computer Forensics 1 Bilješke

Faruk Visca, Decembar 2014.

Uvod

1. Creating a Case

Case folder: Export, Temp, Index i Evidence
u Export se drže podaci exportovani iz evidence
u Evidence se drže foresic images
Evidence files tj. forensic images mogu se držati na centralnom serveru kako bi im istovremeno moglo pristupiti više istražitelja, a svaki istražitelj ima svoj poseban case file.
Zbog cross contamination strogo je preporučeno korištenje posebnog wiped diska (ili barem particije) za acquisition i examination digitalnih dokaza.
Temp folder je lokacija za temp fajlove aplikacija. Npr. kada otvaramo doc dokument u EnCase-u pokrenuće se Word koji će koristiti ovu temp lokaciju.
Sadržaj Temp foldera se briše kada se EnCase normalno zatvori.
Sterilize, Verify, Document
naziv_slucaja.Case
Save - spašavanje case, Save All je global save...

2. Navigating EnCase

Četiri panes: Tree, Table, Filter i View
Tools - Options...
Set Include - prikazuje sve entry-je, znači show me...
Blue-check - selektovanje za rad nad entry-jima, znači do something...
Set include služi samo za prikaz, a blue-check za označavanje onoga nad čim će se vršiti operacije...
Dixon Box pokazuje koliko ima objekata, a koliko ih je selektovano.
Table pane (neke od kolona):
- File Ext prikazuje entry's extenziju
- File Type prikazuje vrstu fajla nakon Signature Analysis
- Last Accessed - vrijeme kada je OS ili neka compliant aplikacija posljednji put pristupila objektu tj. fajlu, folderu (viewing, dragging, desni klik). Kod FAT-a samo datum. Ne mora biti ništa mijenjano da bi se promijenile Last Accessed informacije, nego samo pristupano.
- File Created - vrijeme kada je objekat kreiran na toj lokaciji. Izuzetak je objekat koji je extraktovan iz zip arhive, a koji nosi datum koji je imao kada je arhiviran.
- Last Written - vrijeme kada je fajl otvoren, editovan i promjene spašene.
- Entry Modified - vrijeme kada su administrative data za objekat mijenjani. Npr. kad se uradi promjena imena. Ali, npr. ako editujemo fajl i snimimo promjene ali je veličina ostala ista, administrative data su dakle ostali isti, Entry Modified podaci se ne mijenjaju, ali se mijenja Last Written.
- File Deleted daje vrijeme brisanja koje je zabilježeno u Recycle Bin Info2 fajlu.
Datumi su "posebna nauka", testirati za različite fajl i operativne sisteme, onda antivirusi i td...
- Logical Size veličina koju fajlu dodijeli OS.
- Initialized Size veličina fajla kada se otvori (vrijedi za NTFS).
- Physical Size veličina storage area alocirane fajlu.
- File Extents - cluster fragments alocirani fajlu.
Columns, sortiranje do 5 nivoa, lock
Report - In Report
Gallery View, Timeline View, Disk View, Code View
View Pane, Lock view da uvijek prikazuje u određenom view
Status bar:
- PS - Physical sector number
- LS - Logical sector number
- CL - Cluster number
- SO - Sector ofset - distance in bytes from beggining of sector
- FO - File offset - distance in bytes from beggining of file
- LE - Length - veličina selektovanog područja u bytes
u status bar-u nalazi se i prikaz tačne lokacije

3. Creating an Evidence File

Razlika između Write blocked i Write protected: i u jednom i u drugom slučaju medij je zaštićen od pisanja i pravljenja promjena na podacima, a razlika je u tome što će u slučaju da pokušamo zapisati podatke na medij koji je Write blocked izgledati da su ti podaci zapisani/promijenjeni jer će se to nalaziti u windows cacheu, a u slučaju da to isto pokušamo uraditi sa medijem koji je Write protected javiće nam obavijest o greški.
Write blocked/protected drives su označeni zelenim okvirom oko ikone...
Mali plavi trokut na ikoni znači da je live preview device...
Kad dodamo device on je prvo u live preview-u, a onda idemo sa acquire...
Acquire - Replace source device...
Error granularity
Compression - 2-3 puta duže traje ali i 2-3 puta manji fajl, u zavisnosti od vrste podataka

4. EnCase Concepts

evidence fajl, extenzija E01, E02...
Evidence file sastoji se od Headera, Data Data blokova sa CRC-ima i Acquisition Hasha.
CRC (Cyclical redundancy Check) je varijanta checksuma i kod njega nije isto "1234" i "4321". Većina hard diskova drži CRC za svaki sektor i kad se pojavi greška to je zbog toga što nakon čitanja sektora i računanja CRC od strane hdd hardwarea nije dobijen isti CRC kao prije zapisani.
Evidence fajl sadrži sector-by-sector kopiju diska uz još neke podatke vezane za akviziciju. Svaki byte se provjerava 32-bit CRC-om.
EnCase ne računa jedan CRC za cijeli disk nego poseban CRC za svaki blok od 64 sektora tj. 32 KB, to je po defaultu. Prilikom dodavanja evidence fajla u case EnCase provjerava integritet podataka pomoću CRC-a, tj. poredi CRC vrijednosti zapisane u evidence fajlu sa novoizračunatim. Ako dođe do neke greške možemo tretirati taj blok sektora odnosno više blokova u zavisnosti od slučaja, a ne da nam je narušen integritet cijelog diska.
Na kraju evidence fajla je Acquisition hash koji se izračunava korištenjem 128-bit MD5 algoritma i to za sve podatke, ali samo podatke, bez CRC-a, i ovo je opciono ali strogo preporučeno.
Bez obzira koristimo li kompresiju ili ne, odnosno koji stepen kompresije, CRC vrijednosti su iste u svim slučajevima jer se CRC računa prije eventualne kompresije.
Case fajl je tekstualni fajl koji sadrži podatke vezane za slučaj, ektenzija mu je .Case. Kada se radi backup ekstenzija se mijenja u .CBAK
Razni EnCase konfiguracijski fajlovi sa extenzijom .ini nalaze se po defaultu na lokaciji EnCase6\Config i utiču na sve cases otvorene na tom računaru.

5. Digital Evidence

Digitalni dokazi su podaci prikupljeni sa računara, telefona, kamera, fotoaparata...
Elektronski uređaju (računari i sl.) mogu biti alat za izvršenje kriminalnog djela ili mogu biti meta kriminalca.
Držati se procedura za rad sa elektronskim dokazima.

6. How Computers Work

Power - BIOS - POST - RAM - BOOT SEQUENCE - C: - MBR - BOOT PARTITION...
Bit, Nibble (4 bits), Byte (8 bits), Word (16 bits), Dword (32 bits), Qword (64 bits)
ASCII table
binary, decimal, hexadecimal

7. FAT and NTFS File Structures

Hard drive, physical device, logical volume
Sector je najmanji dio diska na koji je moguće zapisivati/čitati podatke i tipično ima 512 B.
Cluster ima 2 sectora tj. 1024 B.
Veličina clustera varira od 2 sectora do 64 sectora po clusteru.
Disk se sastoji od 2 i više ploča (platters), svaka ploča ima dvije strane (side 0 i side 1).
Track je kružnica na ploči, svaka ima isto clustera, imenuju se od 0 pa dalje, od vanjskog prema unutra.
Cylinder su svi isti trackovi u disku, npr. ako ima tri ploče to je 6 trackova, cylinder 0 bili bi svi trackovi 0 i td.
CHS (Cylinder, Head, Sector) koriste stariji diskovi za lociranje određene tačke na disku, npr. C-234, H-13, S-27.
Cylinder x Head x Sector = veličina diska u Bytes

FAT
Sector, Cluster - allocation unit
Sector mora biti popunjen
File Allocation Table bilježi informacije o svakom clusteru, da li je allocated, unalocated ili bad.
0 unalocated
Najmanja area u koju se zapisuje je cluster.
FAT 12, 16, 32 označava broj bita koji se koriste za praćenje clustera
EOF marker - end of file
chaining
Ako fajl zauzima više clustera onda na prvom clusteru ima pointer na sljedeći cluster fajla pa na sljedećem sljedeći i tako do kraja dok ne dođe do clustera na kojem je EOF marker, ovo je zapisano u File Allocation Table.
Directory entry sadrži ime fajla, starting cluster, veličinu (length), last accessed, written i td...
Dva fajla ne mogu dijeliti isti cluster.
Slack space - wasted space, ono što ostane kad se fajl zapiše, a ne popuni cluster do kraja.

NTFS
$MFT (Master File Table) sadrži sve directory entries za NTFS volume (MFT records) isto kao Directory Entries u FAT fajl sistemu s bitnom razlikom što sadrži informacije za sve clustere koji pripadaju fajlu, a ne samo za početni kao u FAT file sistemu. Dakle, $MFT bilježi ime fajla, početni cluster i fragmentaciju.
$Bitmap je cluster map u NTFS-u koja označava slobodne i zauzete clustere (kao što u FAT file sistemu radi File Allocation Table). Razlika je što ne bilježi koji cluster pripada kojem fajlu nego samo označava zauzeto/slobodno.

Svaki file sistem mora bilježiti 4 stvari:
- ime objekta
- početni cluster
- fragmentaciju
- status clustera na cijelom volumeu

Npr. kod FAT file sistema directory entry bilježi ime objekta i početni cluster, a File Allocation Table bilježi fragmentaciju i status clustera u volumeu.

Kad se kreira fajl u FAT file sistemu dešava se sljedeće:
1. kreira se directory entry za objekat (ime i početni cluster)
2. u File Allocation Table se obilježe clusteri koje će zauzimati objekat
3. sadržaj fajla zapisuje se u allocation blocks tj. u same clustere

Kada operativni sistem želi pristupiti fajlu obrati se na directory entry gdje dobije početni cluster, a zatim mu File Allocation Table dadne info o ostalim clusterima.

Kada se sa FAT volumea briše fajl dešava se sljedeće:
1. prvi byte u directory entry objekta se preimenuje u E5 (ovo mi u EnCase vidimo kao "_" bez navodnika) što znači da je to entry za obrisani objekat pa ga operativni sistem ne prikazuje korisniku.
2. u File Allocation Table svi clusteri koji su pripadali fajlu se označavaju kao Unallocated.
Dakle, sam sadržaj fajla ostaje netaknut sve dok se ne prepiše nečim drugim.

U NTFS-u kreiranje fajla ide tako što se kreira $MFT entry za fajla, podaci se zapisuju u allocation blocks i u $Bitmap se označavaju novozauzeti clusteri.
Kod brisanja fajla $MFT record se označava slobodnim za ponovno korištenje, a u $Bitmap se clusteri sada označavaju slobodnim - unallocated. Isto kao i kod FAT sam sadržaj fajla ostaje netaknut dok ne bude prepisan drugim podacima.

File data i File slack
Ako imamo file sistem kod kojeg cluster ima 4 sectora tj. 2048 B i želimo za zapišemo fajl veličine 724 B zauzećemo kompletan cluster tj. svih 2048 B, ali tako da će prvi sector čitav biti zauzet, drugi sector djelomično (ostaće 300 B), a treći i četvrti sector biće prazni. Nezauzeti prostor u drugom sectoru zove se RAM slack. Treći i četvrti nezauzeti sectori zove se Drive slack. RAM slack i Drive slack čine File slack. Logical size fajla je 724 B, a physical size je 2048 B. U fajla slacku mogu se nalaziti podaci od prethodnih fajlova. Svi operativni sistemi od Windows 95 b u RAM slack zapisuju 00 dok ostatak file slacka ne dira.
Naziv RAM slack nastao je zbog toga što se kod starijih os-ova u ovaj prostor upisivali random podaci iz RAM-a što je bio problem iz sigurnosnog aspekta jer su tu mogli biti i passwordi i td.

FAT12 može alocirati 2880 clustera.
FAT 16 može alocirati 65 536 clustera.
FAT 32 može alocirati 268 435 456 clustera.

Veći cluster (koji sadrži više sectora) znači da će potencijalno biti više wasted space odnosno slack space.

Direktorij je u FAT-u kao fajl koji ima logical size 0. Briše ga isto kao fajl.

8. Cable Preview and Acquisition

Crossover cabel da se direktno povežu dva računara ili straight pa preko switcha, brže preko switcha jer crossover ne može koristiti full duplex mode
examiner je Windows sa EnCase
suspect/custodian LinEN linux, write-blocked
rootkit - imati i mrežnu karticu
EnCase LinEN Utility
LinEn je prepravljeni Knoppix (write block i LinEn utility)
vanjski i unutrašnji pregled prije započinjanja previewa
Ovaj način je pogotovo pogodan za pregled servera sa RAID-om
Ako je računar upaljen neće biti problem ugasiti ga isključenjem napojnog kabla, za Linux može biti problem, paziti, ocijeniti
enkripcija, otvoreni programi, jel logovan, dobro procijeniti šta u svakom slučaju
isključiti iz mreže isključenjem mrežnog kabla
Procedura ide ovako: izključiti disk, bootati LinEN da bi vidio hoće li ga podići, eventualno u BIOSu podesiti boot redoslijed (u slučaju da mijenjam dokumentovati), provjeriti sistemski sat i zabilježiti eventualnu razliku sa pravim vremenom (dokumentovati), ugasiti računar, uključiti hdd, uključiti mrežni kabal i povezati računare, upaliti računar, bootati LinEN, examiner računar podesiti tj. postaviti IP adresu 192.168.0.x/24, kad boota LinEn u server mode pokrenuti EnCase na examiner računaru, Add new device - Crossover cable...
Ugasiti firewall za svaki slučaj na examiner mašini, pingati da se provjeri vide li se.
Desi li se da ne podigne LinEn nego svoj os to dokumentovati, ne kriti.
Diskovi u Linuxu:
HDA - Primary IDE Master
HDB - Primary IDE Slave
HDC - Secondary IDE Master
HDD - Secondary IDE Slave
HDA1, HDA2 - particije
SDA, SDB... - SCSI, SATA
Prilikom acquisition odabrati best compression
U LinEn-u opcija (2) Mount second Evidence Drive koristi za (3) Drive to Drive Acquisition tj. kao mjesto za snimanje imagea.
Kada se pristupi LinEn serveru putem EnCase-a onda LinEn prekonfiguriše svoju IP adresu za +1 u odnosu na examiner.

9. FastBloc

write blocker
Lab Edition FB LE
Field Edition FB FE
Software Edition FB SE
Prilikom pristupa disku FastBlocom disk mora biti konfigurisan kao Single ili kao Master, u protivnom neće biti vidljiv.

Razlika između Write Blocked i Write Protected:
Write Blocked i Write Protected devices znači da su u oba slučaja devices zaštićeni od pisanja, ali razlika je u tome što u slučaju da smo izabrali Write Blocked i pokušamo napraviti neke izmjene na disku (pisati, brisati i td) sistem neće javiti nikakvu grešku nego će napraviti izmjene u cache i izmjene će biti vidljive na disku kao da su napravljene, a u slučaju Write Protected javiće nam grešku i neće ništa drugo napraviti.

Kod Software write blockera treba uključiti write blocking, a onda uključiti device u usb i sl, a kad želimo ugasiti write block treba izabrati Clear All i on će biti ugašen za sve devices koje budemo uključivali.

Devices koji su write blocked Guidance Softwareovim blockerom biće označeni u EnCase-u kao Write Blocked, u protivnom neće biti tako označeni mada će raditi, ali to treba dokumentovati.

10. Drive to Drive Acquisitions

U slučaju da nemamo hardware write blocker, računar sa EnCase-om, dongle, software write blocker moguće je da odradimo Drive to Drive Acquisition na forenzički prihvatljiv način tj. da je source drive zaštićen od pisanja.

Potreban nam je target drive koji treba wipe i formatirati, jupere mu postaviti tako da bude Master ili Slave, povezati ga sa računarom IDE kablom.

Provjeriti proceduru za rad sa LinEn-om...

Podići LinEn i izabrati Drive to Drive Acquisition, locirati target drive da bi za njega bio uklonjen write blocking.
mounted as /dest
izabrati BIOS mode čitanja, ovaj način je jedini za SCSI, ali ako disk ima HPA (Host Protected Area) onda izabrati ATA jer će se samo tako vidjeti HPA.

11. Searching the Case

Kreirati keywords pa vršiti pretragu
Global Keywords: View - Keywords, spašeni u Keywords.ini, dostupno u svima cases
Case Keywords: View - Cases (tab) - Keywords, spašeni u case file, dostupno samo u case
Keywords se mogu raspoređivati po folderima
Blue check kad hoćemo da koristim keyword u pretrazi
New Keyword: Search expression, Name, ANSI Latin-1, Unicode (uključiti uvijek)...
Pretraga: selektovati keywords, selektovati šta pretraživati...
Use initialized size - umjesto logical i physical size pretraživaće samo initialized size odnosno ono što korisnik vidi od fajla.
Big Endian - non Intel, Little Endian - Intel
Ako su podaci fragmentirani, npr riječ u dva noncontiguous, kod physical search neće naći ali će naći kod logical.
Add Keyword List, Export / Import keywords

12. Viewing the Search Results

Search Hits
Excluded
Delete, Show Deleted - kad je case zatvoren onda je gotovo
Copy - uclipboard
Export - to txt file
Tag - on odradi blue check u entries
View Search Hits...

13. Bookmarking Your Findings

select - desni click - Bookmark
Data Type
Destination Folder
Add Note...
Log Records
Tag Selected Files i Tag File

14. Adding Evidence To A Case

Add Device
lociranje lokacije evidence fajla
dodvanje dd-a : File - Add Raw Image - desni click - New - select sve (ne onaj txt ako je tamo) - dobro paziti na redoslijed kad izlista dijelove, poredati ako treba

15. File Types

extenzije
Razni View (Text, Hex, Doc, transcript, Picture...)
fajl označen kao Deleted ako je njegov starting cluster označen kao unoccupied ali dalje provjeriti zbog pointera, komplikacija može biti čitava
fajl je označen kao deleted i Overwritten ako mu je prepisan prvi cluster, vidi se u statusu koji ga je prepisao tj. prvi cluster - Go To Overwritting File
Lost Files je virtuelni folder koji je napravio EnCase, tu su fajlovi čiji je parent folder obrisan ali on je tu

16. Signature Analysis

File Extension
File Header, File Signature
File signature nalazi se u headeru fajla u nekoliko prvih bytes, dakle mna offset 0, ali ima rijetkih izuzetaka. Nemaju svi fajlovi file header odnosno file signature, npr. txt.
Po deafultu EnCase fajlve prikazuje na osnovu njihove ektenzije.
Signature analysis podrazumijeva poređenje file signature iz headera i extenzije sa file signature tabelom.
File Signature table: View -> File Signatures
Možemo mijenjati i dodavati nove file signatures.
File signatures po defaultu su na lokaciji: C:\Program Files\EnCase6\Config\FileSignatures.ini
Da bi smo uradili signature analysis kliknemo na Search i izaberemo Verify file signatures.
Analiza se vrši i nad deleted fajlovima ali ne naravno i nad overwritten.
Rezultati se vide u Signature koloni. Dobro poredati Name, File Ext i Signature jedan do drugog.

Rezultati Signature Analysis:

!Bad Signature - extenzija postoji ali header ne postoji u File Signature table - poznata extenzija, nepoznat signature

* [Alias] - header je u File Signature table ali mu ne odgovara extenzija, kao da je extenzija promijenjena. Umjesto [Alias] stoji Name koji odgovara headeru, npr. JPEG Image - poznat signature, ali data extenzija ne odgovara

Match - header odgovara extenziji - poznata extenzija, poznat signature, odgovaraju jedno drugom

Unknown - ni header ni extenzija nisu u File Signature table - nepoznata extenzija, nepoznat signature

Ako ektenzija nema header u File Signature table EnCase će dati Match rezultat ukoliko to nije header neke druge extenzije. Npr, txt nema headera i ako fajl počinje slovima koja nisu file signature neke vrste fajla za koju postoji informacija u File Signature table rezultat će biti Match, međutim ako fajl počinje rečenicom "BMW je auto..." dobićemo rezultat * [Windows Bitmap Formt] jer BM file signature od Bitmap fajlova.

Nekoliko signatures:
exe, MZ, hex: 4D 5A
png, .PNG...., hex: 89 50 4E 47 0D 0A 1A 0A
bmp, BM, hex: 42 4D

17. Hash Analysis

digital fingerprint
za lociranje zanimljivih i nezanimljivih fajlova za istragu
Galtonova studija i Osterburgova studija
mogućnost da su MD5 vrijednosti dva različita fajla iste je 2^128
u MD5 samo logical data (naziv fajla, extenzija, vremena - ništa)
hash set
Known i Notable
www.nsrl.nist.gov
hash library se sastoji ov više hash setova
compute hash value
create hash set
View - Hash Sets
Rebuild Library
Hash keeper, NSLR
Conditions - Hash Conditions - Hash Sets
Display

18. External Viewers

View -> File Viewers - insert da dodamo novi viewer
Viewers.ini
View - File Types
pregled sa EnCase, Windows, neki Viewer
desni klik - Send To... da otvorim u nekom dodanom vieweru
FileTypes.ini
Bez obzira u čemu otvaramo fajl koristi se defaultni Temp definisan u EnCase-u

19. Detailed Copy Options

Copy/Unerase
Copy Folders

20. Restoring Evidence

wiping
hex 00
Physical restoration na isti ili veći drive
Logical restoration na isti ili veći volume
NTFS na NTFS, FAT32 na FAT32
Restore...

21. Reacquiring An Evidence File

Reacquiring
razlozi: zbog promjene vrste kompresije, zbog passworda, početnog i krajnjeg sektora, block size, error granularity
kod Quick reacquisition samo segment size i password, nema drugih opcija

22. Archiving A Case

case file, evidence files, EnCase folder, EnCase instalacija i certifikati, EnScripts, hash sets, fotografije sa uviđaja
Tools - Verify Evidence Files

23. Evidence File Verification

hex editor
hex, binary
Verify File Integrity
CRC error

24. Timeline Viewer

Timeline
različiti time atributi

25. Searching Unallocated Space

unallocated space, deleted but not wiped
može biti overwrite ili djelomično overwrite
Unallocated Clusters
View - Search Hits
Picture
Bookmark Data
Case Processor - File Finder

26. Evidence Handling

Paziti na ESD, chain of custody, sve bilježiti, sve fotografisati, naljepnice...

T-0000-B

Pročitajte još:

Uskoro

Uskoro

Uskoro

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

comments powered by Disqus