1 / 28

Digital forensics

Digital forensics. Ковешников Михаил НГУ, 2012г. Что такое компьютерная криминалистика?. Ответвление криминалистики, сочетающее в себе восстановление и расследование материалов, найденных на электронных носителях.

gustav
Download Presentation

Digital forensics

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Digital forensics Ковешников Михаил НГУ, 2012г

  2. Что такое компьютерная криминалистика? • Ответвление криминалистики, сочетающее в себе восстановление и расследование материалов, найденных на электронных носителях. • Криминалистика – наука, исследующая закономерности приготовления, совершения и раскрытия преступлений

  3. Разделы

  4. Задачи на CTF • Найди улику в образе диска • Найди улику в дампе трафика • Найди улику в дампе ОП • Найди улику в бинарнике • Найди улику в RAM • …

  5. Про анализ бинарников • Бинарные файлы могут встречаться десятками в образе • Каждый дизассемблировать смысла нет • Проверить строкикомандой strings

  6. Анализ оперативной памяти • Volatility • \\.\PhysicalMemory \\.\DebugMemory • /dev/mem • mdd • Hex-editors (HxD, WinHex,..)

  7. Загрузка ОС на примере Windows • Включение питания • Чтение командиз BIOS • Анализ оборудования • Поиск загрузочного носителя в порядке очереди • Выполнение загрузочного кода из первого сектора диска • Выполнение загрузочного кода раздела

  8. Анализ файловых систем • Данные файловой системы • Данный содержимого • Метаданные • Данные имен файлов • Прикладные данные

  9. NTFS • Наиболее распространенная файловая система для семейства ОС Windows • Концепции • Безопасность • Надежность • Поддержка носителей больших объёмов

  10. Основные понятия NTFS • Все данные – файлы • MFT (Master File Table ~ «Главная файловая таблица» ) • Пространство выделяется кластерами – (группы смежных секторов)

  11. MFT (Master File Table) • Запись в таблице для каждого файла и директории • Все записи нумеруются. [0,1,…] • Нулевая запись – запись на себя • Может быть фрагментирована по секторам • Расширяется системой, но не сужается

  12. Запись MFT • Занимает 1024 байта • Первые 42 байта – фиксированный формат • Остальное пространство под атрибуты

  13. Запись MFT • Первая запись – базовая • Если атрибуты не помещаются в запись, то создается ещё одна запись с ссылкой на базовую

  14. Файлы метаданных • Занимают зарезервированные первые 16 записей MFT • Первые 12 записей выделены и содержат файлы метаданных • 4 записи [12-15] выделены, но являются пустыми

  15. Файлы метаданных

  16. Файлы метаданных

  17. Файлы метаданных

  18. Атрибуты • Все атрибуты имеют заголовок и содержимое • Структура содержимого может быть разная у разных атрибутов • Заголовок хранит тип, размер, имя атрибута • Запись может иметь несколько однотипных атрибутов (у каждого уникальный id)

  19. Атрибуты • Резидентные и нерезидентные • Разреженные атрибуты • Сжатые атрибуты($DATA)

  20. Сжатие

  21. Шифрование атрибутов • Шифруется только $DATA • Можно опознать по атрибуту $LOGGED_UTILITY_STREAM или по флагу в $STANDART_INFORMATION для каталогов, флагу в заголовке атрибута для файла • Используется алгоритм DESX

  22. Типы атрибутов • Все типы имеют идентификатор, имя • По идентификатору происходит упорядочивание атрибутов в записи

  23. Типы атрибутов

  24. Alternate Data Stream • Что произойдет, если у файла несколько атрибутов с типом $DATA?

  25. Каталоги • Обладает $INDEX_ROOT – информация о файлах и подкаталогах • При большом размере - $INDEX_ALLOCATION, $BITMAP • Также возможны атрибуты с типом $DATA (ADS). • В основном $INDEX_ALLOCATION и $INDEX_ROOT имеют имена $I30

  26. Пакет The Sleuth Kit (TSK) • Файл образа (img_stat, img_cat) • Файловая система (fsstat) • Анализ томов (mmls, mmcat, mmstat) • Файлы (fls, ffind) • Метаданные (icat, ils, istat, ifind) • Сектора (blkcat, blkls, blkcalc, blkstat) • Дополнительно (jls, jcat, hfind, tsk_recover, tsk_gettimes, tsk_comparedir, tsk_loaddb)

  27. Спасибо за внимание! • Вопросы?

  28. Голосование! • 2) • 1) • 3)

More Related