Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney.

Ähnliche Präsentationen


Präsentation zum Thema: "Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney."—  Präsentation transkript:

1 Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney

2 2 Heute Vortrag über Computer Forensics Bedeutung, Motivation Vorgehen bei forensischer Analyse Praktische Gruppenarbeit Detektivarbeit! Angegriffenes System analysieren Wer? Wie? Wann? Was? Diskussion, Wissensaustausch Einleitung Basics Vorgehen Analyse (c) Earthlink

3 3 Vortragsübersicht Einleitung, Motivation Basics Vorgehensweise Eigentliche Analyse Zusammenfassung Einleitung Basics Vorgehen Analyse

4 4 Computer Forensics = ? Duden: Forensisch = gerichtlich Allgemeinere Definition: Gathering and analysing data in a manner as free from distortion or bias as possible to reconstruct data or what has happened in the past on a system Einleitung Basics Vorgehen Analyse

5 5 Ziele System analysieren Beweise Wer, Wann, Was, Wo, Wie? Ereignisse im befallenen System Rekonstruieren Zeitlich ordnen Konsequenzen ziehen Patches Updates Einleitung Basics Vorgehen Analyse (c) Apple

6 6 Forensische Grundsätze Datenverlust minimieren System ausschalten? Vom Netz trennen? Daten 1:1 kopieren Memory Partitionen (Harddisks) Nur Kopien analysieren Erkenntnisse und Vorgehensweise notieren Einleitung Basics Vorgehen Analyse

7 7 Ein paar DONTs Keine laufende Prozesse killen Nie auf original Datenträger schreiben Keine Befehle ausführen Trojaner! Keine neue Software installieren Einleitung Basics Vorgehen Analyse

8 8 Ausrüstung Notkoffer Sauberen Computer Vorzugsweise Linux Aktuellste Patches/Updates Hardware Netzwerkkarte, CDRW,... Harddisc: Genügend Platz für Images! Zusätzlich: Hub, Netzwerkkabel,... Floppy/CDROM mit wichtigsten Tools Einleitung Basics Vorgehen Analyse

9 9 Vorgehensweise Vorbereitung (Notkoffer) Identifikation (Angriff?) Dead oder Live System Daten sichern, Beweise sicherstellen Kopien (Images) mounten System analysieren Konsequenzen ziehen Einleitung Basics Vorgehen Analyse

10 10 Dead vs. Live System Befallenes System Runterfahren (Dead System) Laufen lassen (Live System) Bevorzugt: Live System Memory Dump möglich Laufende Prozesse Network Monitoring Einleitung Basics Vorgehen Analyse

11 11 Daten sichern 1/2 Zielmedium sterilisieren Alle Daten löschen dd if=/dev/zero of=/dev/hda1 Memory Dump Daten auf Zielmedium sichern! Netcat nc... dd if= /dev/kmem of=output dd if= /dev/mem of=output Einleitung Basics Vorgehen Analyse

12 12 Daten sichern 2/2 Harddisc Partitionen Informationen /etc/fstab fdisk -l /dev/hda1 Format: UNIX, NTFS,... Partitionen kopieren dd if=/dev/hda1 of=/images/hda1.img MD5 Summe berechnen md5sum hda1.img Einleitung Basics Vorgehen Analyse

13 13 Images mounten Befehlssyntax mount -o loop,ro,nodev,noexec, noatime /images/hda1.img /mnt/hda1 Nicht Linux/UNIX Partitionen mounten NTFS mount -t ntfs -o loop,ro... FAT16, FAT32 mount –t vfat -o loop,ro... Einleitung Basics Vorgehen Analyse

14 14 System analysieren Allgemeine Informationen über das System Passwort und Shadow Dateien Logfiles SUID Root Dateien Versteckte Verzeichnisse und /dev MAC-Time Analyse Wiederherstellen von gelöschten Daten Einleitung Basics Vorgehen Analyse

15 15 System Informationen Betriebssystem und Version /etc/issue Zeitzone /etc/timezone Boot Informationen /var/log/boot.log Partitionstabelle und Zusatzinfos /etc/fstab fdisk -l /dev/hda1 Einleitung Basics Vorgehen Analyse

16 16 Passwort, Shadow Dateien /etc/passwd Struktur: login-id:password:user-id#:group- id#:User Info:home-dir:shell Verdächtig, z.B. Accounts ohne Passwort! /etc/shadow Struktur: login-id:password:lastchg:min:max: warn:inactive:expire:flag Verändert sich, nach folgenden Befehlen passwd useradd, usermod und userdel Einleitung Basics Vorgehen Analyse

17 17 MAC Time MAC Time = Timestamp für Ereignisse Modified Accessed Changed File: "passwd" Size: 1409 Blocks: 8 IO Block: 4096 Regular File Device: 302h/770d Inode: Links: 1 Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root) Access: Thu Sep 11 13:55: Modify: Mon May 5 10:25: Change: Mon May 5 10:25: bash-2.05$ stat passwd stat : Zusatzinformationen zu File/Directory

18 18 MAC Time Analyse mit TCT grave-robber -c /mnt -d /forensics -m -o LINUX2 Liefert wertvolle Informationen MAC Time aller Dateien in body Datei Sequentiell ordnen: mactime Gelöschte Inodes ils : Wiederherstellen ils2mac : MAC Time

19 19 Zusammenfassung Computer Forensics Methodisches Vorgehen nach Attacke Hilft uns Konsequenzen zu ziehen Prävention Fahrlässiges Sicherheitsverhalten verändern!

20 20 Bibliographie [1]LINUX/UNIX Tools unter Windows: [2]Forensische Computer: [3]LINUX/UNIX Tools unter Windows: [4]LINUX/UNIX Tools unter Windows: [5]Forensische Analyse: [6]Gute Tipps/Tricks zur forensischen Analyse: [7]Infos rund um Rootkits: [8] Password Dateien: [9]Shadow Datein: [10]UID, GID: [11] Nummerbereiche bei UID, GID: [12]The Coroner's Toolkit (TCT): [13]Autopsy Forensic Browser:


Herunterladen ppt "Computer Forensics Einleitung Basics Vorgehen Analyse (c) Walt Disney."

Ähnliche Präsentationen


Google-Anzeigen