Computer forensics Ковешников Михаил Технопарк, 04. 05. 2013
Что такое компьютерная криминалистика? • Ответвление криминалистики, сочетающее в себе восстановление и расследование материалов, найденных на электронных носителях. • Криминалистика – наука, исследующая закономерности приготовления, совершения и раскрытия преступлений
Разделы
Задачи на CTF • Найди улику – в образе диска – в дампе трафика – в дампе ОП – в бинарнике – в RAM • Восстанови файл, … • …
С чего начать решать • Прочитать задание : D • Скачать и проверить файл • Определить расширение файлов – file – tr. Id (определяет вероятность) • Проверить строки и метаданные – strings – exiftool (работает не только для изображений) – для многих форматов есть свои утилиты
Про анализ бинарников • Бинарные файлы могут встречаться десятками в образе • Каждый дизассемблировать смысла нет • Проверить строки командой strings
Анализ оперативной памяти • • • Volatility \. Physical. Memory \. Debug. Memory /dev/mem mdd Hex-editors (Hx. D, Win. Hex, . . )
Анализ файлов содержащих данные • Файлы содержащие данные – Образы – Дампы памяти –… • Используем программы – foremost – DFF –… • Получаем изображения, аудио, видео текст и другие файлы
Анализ файловых систем • • • Данные файловой системы Данный содержимого Метаданные Данные имен файлов Прикладные данные
NTFS • Наиболее распространенная файловая система для семейства ОС Windows • Концепции – Безопасность – Надежность – Поддержка носителей больших объёмов
Основные понятия NTFS • Все данные – файлы • MFT (Master File Table ~ «Главная файловая таблица» ) • Пространство выделяется кластерами – (группы смежных секторов)
Запись MFT • Занимает 1024 байта • Первые 42 байта – фиксированный формат • Остальное пространство под атрибуты
Alternate Data Stream • Один файл может содержать несколько атрибутов DATA
Пакет The Sleuth Kit (TSK) • • Файл образа (img_stat, img_cat) Файловая система (fsstat) Анализ томов (mmls, mmcat, mmstat) Файлы (fls, ffind) Метаданные (icat, ils, istat, ifind) Сектора (blkcat, blkls, blkcalc, blkstat) Дополнительно (jls, jcat, hfind, tsk_recover, tsk_gettimes, tsk_comparedir, tsk_loaddb)
Access. Data FTK Imager
Сетевой анализ • Дан дамп трафика (. pcap, …) • Найти какую-либо информацию • Используем – Wireshark – Network. Miner – tshark • Обращаем внимание на. exe файлы, картиники, http запросы, архивы
Спасибо за внимание! • Вопросы?