Скачать презентацию Computer forensics Ковешников Михаил Технопарк 04 05 2013 Скачать презентацию Computer forensics Ковешников Михаил Технопарк 04 05 2013

Forensics.ppt

  • Количество слайдов: 17

Computer forensics Ковешников Михаил Технопарк, 04. 05. 2013 Computer forensics Ковешников Михаил Технопарк, 04. 05. 2013

Что такое компьютерная криминалистика? • Ответвление криминалистики, сочетающее в себе восстановление и расследование материалов, Что такое компьютерная криминалистика? • Ответвление криминалистики, сочетающее в себе восстановление и расследование материалов, найденных на электронных носителях. • Криминалистика – наука, исследующая закономерности приготовления, совершения и раскрытия преступлений

Разделы Разделы

Задачи на CTF • Найди улику – в образе диска – в дампе трафика Задачи на CTF • Найди улику – в образе диска – в дампе трафика – в дампе ОП – в бинарнике – в RAM • Восстанови файл, … • …

С чего начать решать • Прочитать задание : D • Скачать и проверить файл С чего начать решать • Прочитать задание : D • Скачать и проверить файл • Определить расширение файлов – file – tr. Id (определяет вероятность) • Проверить строки и метаданные – strings – exiftool (работает не только для изображений) – для многих форматов есть свои утилиты

Про анализ бинарников • Бинарные файлы могут встречаться десятками в образе • Каждый дизассемблировать Про анализ бинарников • Бинарные файлы могут встречаться десятками в образе • Каждый дизассемблировать смысла нет • Проверить строки командой strings

Анализ оперативной памяти • • • Volatility \. Physical. Memory \. Debug. Memory /dev/mem Анализ оперативной памяти • • • Volatility \. Physical. Memory \. Debug. Memory /dev/mem mdd Hex-editors (Hx. D, Win. Hex, . . )

Анализ файлов содержащих данные • Файлы содержащие данные – Образы – Дампы памяти –… Анализ файлов содержащих данные • Файлы содержащие данные – Образы – Дампы памяти –… • Используем программы – foremost – DFF –… • Получаем изображения, аудио, видео текст и другие файлы

Анализ файловых систем • • • Данные файловой системы Данный содержимого Метаданные Данные имен Анализ файловых систем • • • Данные файловой системы Данный содержимого Метаданные Данные имен файлов Прикладные данные

NTFS • Наиболее распространенная файловая система для семейства ОС Windows • Концепции – Безопасность NTFS • Наиболее распространенная файловая система для семейства ОС Windows • Концепции – Безопасность – Надежность – Поддержка носителей больших объёмов

Основные понятия NTFS • Все данные – файлы • MFT (Master File Table ~ Основные понятия NTFS • Все данные – файлы • MFT (Master File Table ~ «Главная файловая таблица» ) • Пространство выделяется кластерами – (группы смежных секторов)

Запись MFT • Занимает 1024 байта • Первые 42 байта – фиксированный формат • Запись MFT • Занимает 1024 байта • Первые 42 байта – фиксированный формат • Остальное пространство под атрибуты

Alternate Data Stream • Один файл может содержать несколько атрибутов DATA Alternate Data Stream • Один файл может содержать несколько атрибутов DATA

Пакет The Sleuth Kit (TSK) • • Файл образа (img_stat, img_cat) Файловая система (fsstat) Пакет The Sleuth Kit (TSK) • • Файл образа (img_stat, img_cat) Файловая система (fsstat) Анализ томов (mmls, mmcat, mmstat) Файлы (fls, ffind) Метаданные (icat, ils, istat, ifind) Сектора (blkcat, blkls, blkcalc, blkstat) Дополнительно (jls, jcat, hfind, tsk_recover, tsk_gettimes, tsk_comparedir, tsk_loaddb)

Access. Data FTK Imager Access. Data FTK Imager

Сетевой анализ • Дан дамп трафика (. pcap, …) • Найти какую-либо информацию • Сетевой анализ • Дан дамп трафика (. pcap, …) • Найти какую-либо информацию • Используем – Wireshark – Network. Miner – tshark • Обращаем внимание на. exe файлы, картиники, http запросы, архивы

Спасибо за внимание! • Вопросы? Спасибо за внимание! • Вопросы?