Nhóm 8- Module 8.Pptx

Feds bảo vệ việc thu giữ máy tính xách tay của người ủng hộ Wikileaks Feds bảo vệ việc tịch thu máy tính xách tay của người ủng hộ WikiLeaks Bởi Kevin Poulsen ngày 28 tháng 7 năm 2011 Bộ Tư pháp hôm t[.]

Feds bảo vệ việc thu giữ máy tính xách tay

của người ủng hộ Wikileaks

Feds bảo vệ việc tịch thu máy tính xách tay của người ủng hộ WikiLeaks Bởi Kevin Poulsen ngày 28 tháng 7 năm 2011 Bộ Tư pháp hôm thứ Năm đã phản đối đơn kiện của một người ủng hộ Wikileaks và

là bạn của kẻ rò rỉ bị cáo buộc Bradley Manning về việc thu giữ máy tính xách tay của anh ta không có bảo đảm, lập luận rằng họ giữ nguyên máy trong 49 ngày dài chỉ vì anh ta từ chối cung cấp mật khẩu và

vì cấu hình Linux / Windows khởi động kép của anh ta đã đánh thuế khả năng pháp y của các đặc vụ liên bang

David Maurice House là một trong số những người bạn của Manning ở khu vực Boston, người đã được các đặc vụ liên bang phỏng vấn sau vụ bắt giữ vào tháng 5 năm 2010 của Manning Khi House được trả

tự do, các đặc vụ đã tịch thu máy tính xách tay của anh ta, một ổ đĩa ngón tay cái và một máy ảnh kỹ thuật số ICE đã giữ thiết bị trong 49 ngày, cuối cùng chỉ trả lại khi ACLU thay mặt House gửi cho họ một bức thư mạnh mẽ

Bộ Tư pháp thừa nhận rằng nó đã lưu giữ máy tính xách tay của House lâu hơn 30 ngày thường được phép theo quy định khám xét biên giới, nhưng cho biết họ đã giữ nó không lâu hơn mức cần thiết để hoàn thành phân tích pháp y và sao chép ổ cứng

Việc thiếu quyền truy cập mật khẩu buộc các chuyên gia máy tính của ICE phải dành thêm thời gian trên máy tính xách tay của ông House ", chính phủ viết (.pdf), đồng thời cho biết thêm rằng các đại lý cũng yêu cầu thêm thời gian vì máy tính xách tay của ông House đang chạy cả Linux và Windows, trong khi

cơ quan này đã quen để tìm kiếm các máy Windows hoặc Macintosh vani

Theo "ngoại lệ tìm kiếm biên giới" của luật hình sự Hoa Kỳ, khách du lịch quốc tế có thể bị khám xét mà không cần lệnh khi họ nhập cảnh vào Hoa Kỳ Dưới thời chính quyền Bush và Obama, các nhân viên thực thi pháp luật đã tích cực sử dụng quyền lực này để tìm kiếm máy tính xách tay của khách du lịch, đôi khi sao chép ổ cứng trước khi trả lại máy tính cho chủ nhân của nó

MÔ ĐUN MỤC TIÊU

Chức năng thông báo tin nhắn: MD5

Tìm nạp trước các tệp Quy trình phân tích tĩnh Phân tích bảng xuất Các loại siêu dữ liệu Hiểu biết sự kiện

Phân tích cú pháp nhật ký IIS, nhật ký

FTP, và nhật ký Firewall

Đánh giá các sự kiện quản lý tài

khoản Tìm kiếm với trình xem sự kiện

Công cụ điều tra số.

Biến động thông tin

MÔ ĐUN LƯU LƯỢNG

Thu thập thông tin

biến động

Thu thập thông tin không biến động

Phân tích bộ nhớ Windows

Phân tích sổ đăng ký windows

Các sự kiện kiểm toán khác

Công cụ điều tra số

phân tích tệp windows

Phân tích pháp y của nhật ký sự kiện

BIẾN ĐỘNG THÔNG TIN

Biến động thông tin bao gồm:

-Thời gian hệ thống -Người dùng đã đăng nhập -Mở tập tin

-Thông tin mạng -Kết nội mạng -Xử lý thông tin -Ánh xạ quy trình đến cổng -Xử lý bộ nhớ

-Tình trạng mạng -Nội dung khay nhớ tạm thời -Dịch vụ/ điều khiển thông tin -lịch sử câu lệnh

-Các ổ đĩa được ánh xạ -Chia sẻ.

- Thông tin biến động có thể dễ

dàng được sửa đổi hoặc bị mất khi

hệ thống tắt hoặc khởi động lại

-Nó giúp xác định thời gian hợp lý

của sự cố bảo mật và người dùng

sẽ phải chịu trách nhiệm.

- Dữ liệu biến động nằm trong

thanh ghi, "bộ nhớ đệm và RAM.

Người Dùng Đã Đăng Nhập

I Thu thập thông tin về người dùng đã đăng nhập vào hệ thống , cả cục bộ và hệ thống

II Ghi lại bối cảnh của một quá trình đang chạy , chủ sở hữu của tệp hoặc thời gian truy cập cuối cùng vào tệp

Người Dùng Đã Đăng Nhập: Công Cụ PsLoggedOn

Nó hiển thị tên của người dùng đã đăng nhập cục bộ cũng như từ xa, chẳng hạn như

thông qua chia sẻ được ánh xạ.

Cú pháp: psloggedon [- ] [-1] [-x] [\\computername | username]

Người Dùng Đã Đăng Nhập: Net Sessions

Command

truy cập hệ thống

Người dùng đã đăng nhập: Công cụ LogonSessions

Nó liệt kê các phiên

đăng nhập hiện đang

hoạt động và nếu -p

tùy chọn được chỉ

định, nó sẽ liệt kê các

quy trình đang chạy

trong mỗi phiên

Mở Tập Tin

• Thu thập thông tin về tập tin đã được mở bởi kẻ xâm nhập sử dụng đăng nhập từ xa

• Công cụ và dòng lệnh đã sử dụng để mở thông tin của một tệp:

Mở Tập Tin: net file Command

⮚ lệnh tệp net hiển thị tên của tất cả các tệp được chia sẻ đang mở trên máy chủ và số lượng tệp khóa trên mỗi tệp

⮚ Cú pháp tệp lệnh: net file [ID [/close]]

Mở tập tin: PsFile tính thiết thực

⮚ Sử dụng tiện ích PsFile để liệt kê hoặc đóng các tệp được mở từ xa

⮚ Cú pháp: psfile [\\RemoteComputer [-u Username [-p Password]]] [[Id | path] [-c]]

Mở Tập Tin: Câu lệnh Openfiles

⮚ truy vấn lệnh openfiles hoặc hiển thị tệp đang mở và cũng truy vấn, hiển thị hoặc ngắt kết nối tệp do người dùng mạng mở

Thông Tin Mạng (Cont’d)

- Khi những kẻ xâm nhập có được quyền truy cập từ xa vào một hệ thống, chúng muốn biết các hệ thống khác có sẵn trên mạng mà hệ thống chúng đã xâm nhập có thể '' nhìn thấy ''.

-Khi kết nối được thực hiện với các hệ thống khác bằng cách sử dụng giao tiếp NetBIOS , hệ thống sẽ duy trì một danh sách các hệ thống khác mà chúng đã '' nhìn thấy ''

-Bằng cách xem nội dung của bảng tên đã lưu trong bộ nhớ cache , các nhà điều tra có thể xác định rằng các hệ thống khác đã bị ảnh hưởng

Thông Tin Mạng

-Bộ đệm ẩn bảng tên NetBios duy trì

danh sách các kết nối được thực hiện

với các hệ thống khác bằng NetBIOS

-Nó chứa tên và địa chỉ IP của hệ

thống từ xa

-Bạn có thể sử dụng tiện ích dòng

lệnh có sẵn của Windows nbtstat để

xem bộ đệm ẩn bảng tên NetBIOS

-Nbtstat với -c chuyển đổi hiển thị bộ

đệm ẩn bảng tên NetBIOS

Cú pháp câu lệnh của nbtstat là:

Kết Nối Mạng (Cont’d)

▪ Thu thập thông tin liên quan đến các kết nối

mạng đến và từ hệ thống bị ảnh hưởng, điều này

cho phép bạn xác định vị trí:

▪ Kẻ tấn công đã ghi nhật ký

▪ IRCbot giao tiếp

▪ Sâu đăng nhập vào câu lệnh và điều khiển máy

chủ

▪ Netstat là 1 công cụ để thu thập thông tin liên quan đến các kết nối mạng Nó cung cấp tầm nhìn đơn giản của kết nối TCP và UDP và thống kê trạng thái và lưu lượng mạng của họ.

▪ 1 Netstat với -ano switch hiển thị các các kết nối TCP và UDP, lắng nghe các cổng, và định danh

Các Kết Nối Mạng

2 Netstat với -r switch hiển thị bảng định tuyến và hiển thị các tuyến liên tục được kích hoạt trên hệ thống

Xử Lý Thông Tin (Cont’d)

▪ Khảo sát quá trình xử lý đang chạy trên một hệ thống có khả năng bị xâm phạm và thu thập thông tin

▪ Quá trình đã tải những mô-đun nào

▪ Nội dung bộ nhớ của quá trình

Xử Lý Thông Tin (Cont’d)

▪ Danh sách là một tiện ích gốc được

bao gồm trong cài đặt Windows XP

Pro và Windows 2003

▪ Nó cung cấp cho việc định dạng đầu

ra, với các lựa chọn giữa các định dạng

bảng, CSV, và danh sách

▪ Danh sách công việc với / v Switch:

▪ / v chuyển đổi cung cấp thông tin về quy

trình được liệt kê , bao gồm tên hình ảnh,

PID, tên và số phiên cho quy trình

▪

▪

▪

Xử lý thông tin (Cont’d)

pslist hiển thị thông tin cơ bản về các

quy trình đang chạy trên hệ thống

Xử lý thông tin (Cont’d)

công tắc pslist -x hiển thị chi tiết về

các luồng và bộ nhớ được sử dụng

bởi mỗi quy trình

Xử lý thông tin (Cont’d)

Công cụ Listdlls hiển thị các

mô-đun hoặc DLL được một quy

Xử lý thông tin (Cont’d)

Handle là một tiện ích hiển thị thông tin về các chốt đang mở cho bất

kỳ quá trình nào trong hệ thống

Nó hiển thị thông tin về các tệp đang mở, cổng, khóa đăng ký và

chuỗi

Thông tin này hữu ích để xác định các tài nguyên được truy cập bởi một quá trình khi nó đang chạy

Ánh xạ “quy trình đến cổng”

Bản đồ quy trình đến cổng theo dõi quy trình nào đang sử dụng cổng nào

và giao thức nào được kết nối với IP nào

Các công cụ và lệnh để truy xuất ánh xạ quy trình đến cổng:

- Câu lệnh Netstat

- Công cụ Fport

+ Câu lệnh netstat với -o hiển thị ID

tiến trình của tiến trình chịu trách

nhiệm về kết nối mạng

chương trình như Process Explorer hiển

thị thêm thông tin về các quy trình hiện

đang chạy trên hệ thống.

- Process Explorer thêm một tab mô tả và

công ty tiết lộ một số thông tin về quy

trình.

- Thu thập thêm thông tin nếu quy trình

được xác định là đáng ngờ bằng cách kết

xuất bộ nhớ mà quy trình sử dụng

- Sử dụng các công cụ như Pmdump,

Process Dumper, Userdump, v.v để chiết

xuất bộ nhớ được sử dụng bởi tiến trình

Tình trạng mạng

Thu thập thông tin về trạng thái của các thẻ giao diện mạng (NIC) được kết nối với hệ thống để biết liệu hệ thống có được kết nối với điểm truy cập không dây hay không và địa chỉ IP nào đang được sử dụng

Các công cụ để phát hiện trạng thái mạng là:

Các câu lệnh Ipconfig

Công cụ PRomiscDetect

Công cụ Promqry

- Ipconfig.exe là một tiện ích dành cho hệ

thống Windows hiển thị thông tin về NIC và

trạng thái của chúng

- /all tùy chọn của lệnh IPconfig giúp hiển thị

cấu hình mạng của các NIC trên hệ thống

- Thông tin này bao gồm trạng thái của

NIC, DHCP có được bật hay không, địa chỉ

IP của Nic, v.v.

Công cụ Promise Detect

phát hiện xem NIC có

Các thông tin quan trọng khác

- Đây là vùng bộ nhớ nơi dữ liệu có thể

được lưu trữ để sử dụng trong tương lai

- Dữ liệu được tìm thấy trong khay nhớ

tạm có thể được sử dụng trong nhiều

trường hợp như đánh cắp thông tin hoặc

sở hữu trí tuệ, gian lận hoặc quấy rối

- Khi hệ thống khởi động, các dịch vụ và trình điều khiển được khởi động tự động dựa trên các mục nhập trong sổ đăng ký

- Không phải tất cả các dịch vụ đều do người dùng / quản trị viên hệ thống cài đặt, một số phần mềm độc hại tự cài đặt dưới dạng dịch vụ hoặc trình điều khiển hệ thống

- Kiểm tra thông tin dịch vụ / thiết bị để tìm bất kỳ chương trình độc hại nào được cài đặt

Lịch sử lệnh

- Sử dụng các lệnh doskey / history

Ổ đĩa được ánh xạ

- Các ổ đĩa có thể được ánh xạ với mục đích xấu

- Ánh xạ ổ đĩa có thể tương quan với việc truy

xuất thông tin kết nối mạng

Các thông tin quan trọng khác

Thông tin không biề4 n động

Ví dụ: Email, tài liệu xư lý văn ban, bang tính và các tệp

"đã xóa" khác nhau

- Dữ liệu như vậy thường nằm trong ô cứng, nó cũng tôn tại trong các tệp hoán đôi, không gian chùng và không gian ô đĩa chưa được phẫn bô

- các nguôn dữ liệu không bay hơi khác bao gôm CD-ROM, ô USB, điện thoại thông minh và PDA

Kiềm tra hệ thô4 ng tệp

- Chạy lệnh sau trong

xuyền

- Ưu tiền cho các tệp

được ghi ngày gẫn đẫy

- Giá trị đăng ký cho hệ

điều hành biết để xóa tệp

- Trên Windows 2003, đặt giá trị HKEY_LOCAL_MACHINE \

System \ CurrentControlSet \ Control \ FileSystem \

Disableastacess thành 1 -Trong Windows XP và 2003, cài đặt này

có thể được truy vấn hoặc kích hoạt thông qua lệnh fsutil

AutoRuns

- Các khu vực chính của Cơ quan đăng ký được gọi là vị trí tự khởi động lại vì chúng cung cấp khả năng tự động khởi động ứng dụng

- Các ứng dụng của luận án bắt đầu khi hệ thống khởi động, người dùng đăng nhập và người dùng thực hiện một hành động cụ thể

- Thu thập thông tin từ các khóa và giá trị cụ thể với sự trợ giúp của công cụ

reg.exe; hoặc các công cụ AutoRuns

ID bao mật cua Microsoft

soạn thao Windows Rẻgistry

Tệp Indẻx.dat (Cont’d)

- Tệp Indẻx.dat được trình duyệt wẻb

Intẻrnẻt Exolorẻr sư dụng như một kho dữ

nhập trền Windows

- Nó là một kho lưu trữ thông tin dư thừa,

- Tệp indẻx.dat riềng biệt tôn tại cho lịch

sư, bộ nhớ cachẻ và cookiẻ cua Intẻrnẻt

Explorẻr

Thiề4 t bị và Thông tin khác

Thu thập các loại thông

cứng được cài đặt trong hệ

Ghi lại thông tin cho mục

đích tài liệu

Sư dụng công cụ Dẻvcon đề

với sự trợ giúp cua Dẻvcon

Slack Space

• Slack Space đề cập đến các phần của một ổ cứng có thể chứa dữ liệu từ một tệp đã xóa trước đó hoặc tệp đó không được sử dụng đầy

đủ bởi hiện tại tập tin được phân bổ

• Phân bổ tệp không liền kề rời khỏi nhiều cụm theo sau để lại nhiều hơn slack space

• Phần dư dữ liệu trong slack space là lấy bằng cách đọc toàn bộ cụm

• Công cụ DRIVESPY thu thập tất cả slack space trong toàn bộ phân vùng thành một tệp

Bộ nhớ ảo

• Bộ nhớ ảo (hoặc logic) là một khái niệm, khi được thực hiện bởi một máy tính và Hệ điều hành, cho phép các lập trình viên sử dụng một phạm vi lớn bộ nhớ hoặc địa chỉ lưu trữ để lưu trữ dữ liệu

• Bộ nhớ ảo có thể được quét để tìm ra các tiến trình đang chạy ẩn

• Sử dụng công cụ X-Ways Forensics để quét bộ nhớ ảo

Swap File

• Tệp hoán đổi là một không gian trên đĩa cứng

được sử dụng như là phần mở rộng bộ nhớ ảo

của một RAM của máy tính.

• Các tệp hoán đổi chứa thông tin về:

• - Các tệp đã mở và nội dung của chúng.

Chỉ mục tìm kiếm của Windows

• Chỉ mục tìm kiếm của Windows duy trì

• Sử dụng Trình kiểm tra chỉ mục tìm

kiếm thông qua tìm kiếm, giúp tất cả

dữ liệu được lập chỉ mục bởi Tìm kiếm

của Windows đều có thể truy cập

Thu thập thông tin

phân vùng ẩn

Phân vùng ẩn là một phần logic của đĩa không thể truy cập vào hệ điều hành

■ Phân vùng ẩn có thể chứa các tệp, thư mục, dữ liệu bí mật hoặc lưu trữ bản sao lưu của hệ thống

■ Các công cụ như Partition Logic giúp thu thập thông tin từ phân vùng ẩn

■ Phân vùng Logic có thể tạo, xóa, xóa, định dạng, chống phân mảnh, thay đổi kích thước, sao chép và di chuyển phân vùng

Luồng ADS ẩn

• Dòng dữ liệu thay thế (ADS) giữ thông tin liên kết và bảo mật.

• Người dùng có thể ẩn dữ liệu trong các luồng dữ liệu thay thế

• ADS có thể được tạo bằng cách chạy một lệnh như notepad visible txt: hidden.txt Trong command prompt.

• Dữ liệu có thể được sao chép vào một ADS bằng lệnh type atextfile > visible.txt:hidden2.txt

• Sử dụng thêm lệnh < visible.txt: hidden2.txt > newfile.txt để sao chép thông tin ADS vào tệp mới

Điều tra Luồng ADS: StreamArmor

• StreamArmor phát hiện ra các luồng

dữ liệu thay thế ẩn (ADS) và loại bỏ

chúng hoàn toàn khỏi hệ thống.

• Nó đi kèm với máy quét ADS đa

luồng nhanh chóng quét đệ quy

trên toàn bộ hệ thống và phát hiện

tất cả các luồng ẩn

Thông tin không thay đổi khác

- Nó cho phép người dùng lưu

vào bộ đệm cục bộ nội dung của

các trang web để tăng tốc độ truy

cập trong tương lai vào các trang

được truy cập thường xuyên

- Nội dung đã tải xuống vẫn còn

trên ổ cứng cho đến khi bị xóa

- Dữ liệu vẫn còn trong không

gian chưa được phân bổ của ổ

cứng ngay cả sau khi bộ nhớ

cache bị xóa

- Cookie là các gói dữ liệu nhỏ để theo dõi, xác thực và duy trì thông tin người dùng cụ thể

- Cookie có thể có ngày hết hạn

mà tại đó trình duyệt sẽ xóa chúng; cookie không có ngày hết hạn sẽ bị xóa vào cuối phiên

người dùng

- Người dùng cũng có thể xóa dữ liệu cookie, Tuy nhiên, ngay cả sau khi xóa cookie, dữ liệu có thể vẫn còn trong không gian chưa được phân bổ của ổ cứng

- Các tệp này được tạo bởi một chương trình khi nó không thể cấp đủ bộ nhớ cho các nhiệm vụ hoặc khi chương trình đang làm việc tập hợp dữ liệu lớn

- Nói chung, khi một chương trình kết thúc, các tệp tạm thời sẽ bị xóa Tuy nhiên, một số chương trình tạo các tệp tạm thời và để lại chúng

Memory Dump (Tiếp theo)

• Tệp kết xuất bộ nhớ ghi lại thông tin

giúp xác định lý do tại sao máy tính

• Đổ đầy kết xuất bộ nhớ có thể được

tải bằng cách sử dụng tiện ích Kiểm

tra kết xuất và có thể xác minh việc

tạo tệp kết xuất bộ nhớ thích hợp.

• Các tệp kết xuất bộ nhớ khác nhau Kết xuất bộ nhớ Kernel:

• - Nó được tạo trong thư mục%

systemroo% dưới dạng tệp kết xuất bộ nhớ theo mặc định bất cứ khi nào

máy có lỗi kernel.

• - Theo mặc định, hệ thống Windows tạo các tệp kết xuất bộ nhớ nhân, là các tệp kết xuất có kích thước trung bình chỉ ghi lại bộ nhớ nhân.

• - Chúng cung cấp thông tin liên quan đến khắc phục sự cố và chỉ lưu trữ thông tin bộ nhớ nhân.