Little forensics by PHT

Jak sam tytuł dziś zajmę się dziedziną działań informatycznych, które kojarzą się nam z programami typu CSI. IT Forensic polega na wykryciu i zabezpieczenia jak największej ilości dowodów na przestępstwo lub uzyskaniu informacji na temat danej sytuacji. Miejscem, gdzie wykorzystuję podstawowe procedury zabezpieczenia dowodów jest sytuacja gdy jestem proszony o usunięcie złośliwego oprogramowania. Dziś pokażę jak to się odbywa.

1. Przygotowanie

Naszym zadaniem jest zbadanie dowodu w taki sposób by nie wprowadzić w nim zmian uniemożliwiających przeprowadzenie weryfikacji naszych wniosków. Pierwszym co będzie nam potrzebnym będzie zestaw:

  • Komputer który będziemy badać.
  • Dysk twardy o pojemności większej niz dysk badanego komputera.
  • Pendrive z wypalonym obrazem Clonezilla (lub dowolny inny Linux, jednakże zalecany Clonezilla)

IMG_20150421_200253 IMG_20150421_200321 IMG_20150421_201201Zaczniemy od pobrania i wypalenia na pendrive Clonezilli. Po pobraniu do wypalenia obrazu na pendrive możemy użyć np Win32 Disk Imager (dla windows) lub dd (dla linuksów).

3Wybieramy interesujący nas obraz, urządzenie na którym chcemy wypalić obraz Clonezilli i klikamy zapisz.

2. Zabezpieczenie dowodów

Następnym krokiem, który jest OBOWIĄZKOWY jest wykonanie kopi dysku twardego na którym będziemy przeprowadzać dalsze działanie. jest to wymagany krok, ponieważ gdybyśmy zaczęli wykonywać na oryginalnym systemie, moglibyśmy swoja działalnością zatrzeć ślady. Przystąpmy zatem do zabezpieczenia. Samo zabezpieczenie jest identyczne do wykonywania typowego backupu. Wpinamy usb i nasz dodatkowy dysk do komputera będącego przedmiotem dochodzenia.

IMG_20150421_201442Następnie uruchamiamy komputer w sposób umożliwiający nam JEDNORAZOWE bootowanie z naszego pendrive. Jednorazowe dlatego, iż nie chcemy wprowadzać zmian nawet na poziomie BIOS-u. IMG_20150421_201707Po wciśnięciu „F9” po chwili naszym oczom ukazuje się okno wyboru urządzeń z których możemy zabootować system. Wybieramy nasz pendrive.

IMG_20150421_201723Dokładny opis jak wykonać kopie dysku można znaleźć tu. Próbowałem znaleźć link do autora aby powiadomić go o zalinkowaniu, niestety się nie udało.

3. Odwzorowanie badanego systemu

Ten punkt jest dość krótki i łatwy do zrobienia. Pozwolę sobie pokrótce go opisać. Wystarczy nam wirtualna maszyna odpowiadająca wielkością dysku oryginalnej(ja osobiście preferuje VMware, ale może być też VirtualBox). Oczywiście ilość RAM-u też powinna być adekwatna do oryginalnej, jednakże można minimalnie zwiększyć dla naszej wygody. Korzystając z wyżej wymienionego poradnika na temat Clonezilli odtwarzamy dysk. Po chwili uzyskujemy dokładna kopie maszyny, którą chcemy zbadać. Możemy dokonać wielu inwazyjnych testów bez obaw o zniszczenie dowodów.

 

Po wykonaniu powyższych trzech kroków nie zostaje nam nic innego, jak zabrać się do badań danych na dysku. W ten sposób możemy nie tylko badać komputer pod katem dowodów, ale i na naszej kopi odnaleźć złośliwe oprogramowanie i je usunąć tym samym bezpiecznie opracowując procedure usunięcia bez narażania oryginalnego systemu.

 

 

2 thoughts on “Little forensics by PHT

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.