Page 1

Anรกlise forense

Sessรฃo de aprendizagem 8 Anรกlise forense em Windows


Sumário Análise forense em Windows Sistema de arquivos Kit de ferramentas forense Primeiras ações


Análise forense em Windows O processo de análise forense em um sistema Windows não difere do ambiente Unix Principal diferença: informações voláteis Windows tem grande presença em desktop de empresas e usuários caseiros Resultado: análise em um sistema vivo (on-line)


Análise forense em Windows Principais razões no comprometimento de um sistema Windows: Sistema infectado por vírus ou código malicioso Caso envolvendo direitos autorais Pornografia Fraude Presença de trojan ou backdoor Utilização do sistema de forma maliciosa


Sistema de arquivos Sistema de arquivos NTFS Padrão no Windows XP e Vista Windows Vista implementa o TxF em cima do NTFS Versão atual: 3.1 Veremos ferramentas para NTFS, mas a maioria funciona em FAT e FAT32 Uma partição NTFS é composta de diversas estruturas, sendo que a principal é a Master File Table (MFT)


Sistema de arquivos O MFT é composto de 16 registros, sendo que somente 12 são utilizados atualmente: $MFT – Master File Table $MftMirr – Cópia de Master File Table $LogFile – Arquivo de registro de eventos do NTFS $Volume – Informações sobre o volume $AttrDef – Definições de atributos $. – Diretório raiz do sistema $Bitmap – Mapa de utilização de clusters $Boot – Setor de boot da partição $BadClus – Lista de bad cluster $Secure – Informações sobre segurança $Upcase – Tabela de conversão de caracteres $Extend – Arquivo de extensões do NTFS


Sistema de arquivos Os arquivos são armazenados como uma série de atributos, equivalentes aos inodes no Linux: Standard Information – Inclui informações como timestamps e número de links Attribute List – Lista a localização de todos os atributos do arquivo File Name – Armazena o nome do arquivo Security Descriptor – Informações sobre o dono do arquivo e permissões de acesso Data – Armazena os dados do arquivo Object ID – Identificador único de arquivo Logged Tool Stream – Registro de mudanças do metadado Reparse Point – Ponto de junção para diretórios e volumes Index Root – Usado para implementar índice de arquivos e diretórios Index Allocation – Usado para implementar índice de arquivos e diretórios Index Bitmap – Usado para implementar índice em diretórios muito longos Volume Information – Contém a versão do volume Volume Name – Contém o nome do volume


Kit de ferramentas forense Capaz de reproduzir resultados Não altera os dados analisados Mínimo de interferência possível Possui validade jurídica Graphical User Interface (GUI) X Console User Interface (CUI)


Kit de ferramentas forense Outros pontos a considerar: Custo Licenciamento C贸digo-fonte Portabilidade


Kit de ferramentas forense Ferramentas disponĂ­veis no Live CD do Helix: 2K 2K3 AgileRM Bin Cygwin DiamondCS FAU Foundstone FSP Hoverdesk

Imager IRCR Microsoft Net Latency Nir Soft NT NT Security PCtime Perl Putty

Sysinternals System Tools UnxUtils Vista WFT WinDBG Winfingerprint XP cmdenv1.bat NC_Server.bat


Kit de ferramentas forense Outras fontes de ferramentas: www.sysinternals.com www.foundstone.com users.erols.com/gmgarner/forensics Windows Resource Kit – www.microsoft.com Windows XP Service Pack 2 Support Tools – www.microsoft.com GNU utilities for Win32 – unxutils.sourceforge.net Win32 Forensics Tools – www.first.org http://www.forensicswiki.org/index.php?title=Helix http://www.forinsect.de/forensics/forensics-tools.html http://www.opensourceforensics.org/tools/windows.html


Primeiras ações Primeiras ações: Preservar evidências Coletar evidências mais voláteis Verificação externa do sistema: Números de série Dispositivos conectados Estado geral do sistema Conectividade Energia Tela do sistema (console): Fotografia Print-screen (compromete a memória)


Primeiras ações cmd.exe


Primeiras ações Imagem da memória Na estação forense: D:\IR\xp> nc -l -p 999 > d:\tmp\physmem.img

Na máquina comprometida: D:\IR\xp> dd if=\\.\Physicalmemory conv=noerror | nc 127.0.0.1 999 Command Line: dd if=\\.\Physicalmemory conv=noerror 27/01/2008 23:12:59 (UTC) 27/01/2008 21:12:59 (local time) Current User: COMPUTADOR\usuario Total physical memory reported: 1047024 KB Copying physical memory... Physical memory in the range 0x00100000-0x001ff000 could not be read. Stopped reading physical memory: 27/01/2008 23:14:07 (UTC) 27/01/2008 21:14:07 (local time) 261871+0 records in 261871+0 records out


Primeiras ações Hora do sistema Necessário conhecer horário correto e timezone da máquina Garante a correlação de evidências com registros externos D:\IR\xp> date /t dom 27/01/2008 D:\IR\xp> time /t 21:41


Primeiras ações Hora do sistema D:\IR\xp> reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneIn formation  Listing of [SYSTEM\CurrentControlSet\Control\\TimeZoneInformation] REG_DWORD Bias 180 REG_SZ StandardName E. South America Standard Time REG_DWORD StandardBias 0 REG_BINARY StandardStart Data to follow: 00000200 03000000 00000000 00000000 REG_SZ DaylightName E. South America Daylight Time REG_DWORD DaylightBias -60 REG_BINARY DaylightStart Data to follow: 00000A00 02000000 00000000 00000000 REG_DWORD ActiveTimeBias 120


Primeiras açþes Hora do sistema D:\IR\xp> net time \\computador Current time at \\computador is 1/27/2008 9:51 PM The command completed successfully. D:\IR\xp> net time \\computador /QUERYSNTP The current SNTP value is: 200.144.121.33,0x1 The command completed successfully.


Conclusões Vimos nessa sessão os conceitos básicos de análise forense em sistemas Windows Algumas características do NTFS diferem das que vimos até agora em ambientes Linux Conhecemos as ferramentas do Live CD do Helix e vimos como utilizar algumas delas para coletar evidências em uma máquina comprometida

08-windows  

Análise forense Sessão de aprendizagem 8 Análise forense em Windows Análise forense em Windows Sistema de arquivos Kit de ferramentas forens...

Read more
Read more
Similar to
Popular now
Just for you