1 / 21

Tackling the U3 trend with computer forensics

Tackling the U3 trend with computer forensics. Andy Spruilla, Chris Pavanb,* aProfessional Services, Guidance Software, Inc. bGuidance Software, Inc. d i g i t a l i n v e s t i g a t i on 4 (2 0 0 7 ) 7 – 1 2 available at www.sciencedirect.com journal homepage: www.elsevier.com/locate/diin.

hedy-anthony
Download Presentation

Tackling the U3 trend with computer forensics

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Tackling the U3 trend with computer forensics Andy Spruilla, Chris Pavanb,* aProfessional Services, Guidance Software, Inc. bGuidance Software, Inc. d i g i t a l i n v e s t i g a t i on 4 (2 0 0 7 ) 7 – 1 2 available at www.sciencedirect.com journal homepage: www.elsevier.com/locate/diin

  2. 摘要 • 一種允許在可攜式裝置上儲存及執行各種應用的新技術產生,例如flash drives和iPod。 • U3隨身碟成為這種輕便裝置領域的標準。 • U3 是一個行動運算平台,可以用 USB 隨身碟攜帶應用程式,在任何電腦都可以執行。 • 不論身在何處,公司或家裡,網際網路咖啡廳或商務中心,都能叫出慣用的軟體和資料檔。 • 用 U3 技術,USB 隨身碟就不僅只是個普通的儲存裝置,而是個智慧型隨身碟。 • 將此項技術的出現應用在電腦鑑識調查影響的議題上。 • 有些人可以利用這些產品插入電腦主機上進行不良行為然後簡單的拔去裝置,讓他們的行為不留痕跡。 • 資訊稽查人員必須記住在調查期間嫌犯使用此種技術的可能性,因為這似乎特別容易造成調查的死角。

  3. Introduction • 在數位鑑識的調查世界經常需要努力跟上技術,U3的聰明技術是最新的挑戰。 • 數位鑑識開始涉入如拇指大小的各種行動裝置,因為這些個體有能力從電腦去引進和移除相對的檔案。 • 以U3技術的隨身碟讓用戶不僅持有檔案並且可以進行相關應用,即使那些檔案並沒有安裝在電腦主機上。 • 這個便利的功能讓調查事件的任務變的更加困難。

  4. Introduction • 從前,如果用戶經由webmail發出檔案,一個顯示檔案名稱的儲存網頁(cached webpage)能在硬碟中被發現。 • 如果用戶從他們的U3隨身碟使用火狐(Firefox)發送信件,則cache將會在用戶取出裝置的同時消失。 • 這些缺乏的資料是造成資訊稽查人員警戒的新挑戰。

  5. Introduction • 在一個典型的公司網路環境裡,用戶因為許多原因不被允許安裝他們自己的各項應用軟體。 • 最首要也最重要的原因是因為安全考量,因為這些應用軟體也許會導致網路流量或效能減弱。 • 而使用U3技術就能迴避目前組織的安全顧慮,允許雇員使用它們自己的應用軟體因為應用軟體並沒有實際安裝在組織的電腦上。 • 這能力使個體可以輕鬆移除或傳送智慧財產權(Intellectual property,IP)的產物,通常被發現在電腦中與IP有關的鑑識運用現在也會在隨身碟內被發現。

  6. Introduction • U3同時浮現出一項執法上的問題,當調查犯罪時,可作為起訴依據的證據也許只有在U3設備中才能被發現。 • 有一個例子是兒童色情案例,由使用被安裝在U3設備上的郵件客戶,嫌犯能容易的取得他們的圖像和以兒童色情為主題的電影。 • 嫌犯不須經由在電腦上設定就能下載檔案並經由即時通訊的客戶就能和嫌犯通信和交換內容。 • 雖然這些設備不能在電腦上留下“確鑿的證據”,但是他們可能遺留下一些可供鑑識的痕跡讓鑑識人員在處理U3裝置事件上能有進一步的發展。 • 除了一些另外的人為因素的事件遺留下在設備上的應用安裝之外,檢驗U3設備的使用和檢驗一般隨身碟的使用沒有任何不同。

  7. Device behavior • 當設備被連接到運行Windows XP作業系統的電腦時,會登錄多個項目,這些項目是讓設備起作用的必要項目,讓鑑識稽查人員可以更進一步的調查確定販賣者姓名、產品名稱和U3裝置的產品類型。

  8. Device behavior • Name: HardwareID • Type: REG_MULTI_SZ • Data: USBSTOR\CdRomMemorex_Mini_TravelDrive6.50 • USBSTOR\CdRomMemorex_Mini TravelDrive • USBSTOR\CdRomMemorex_ • USBSTOR\Memorex_Mini_TravelDrive6 • Memorex_Mini_TravelDrive6 • USBSTOR\GenCdRom • GenCdRom • 當U3設備被插入電腦時,設備本身會將自己視為兩個分開的裝置。 • 第一個裝置是在CDROM硬碟中標示為“U3系統檔案”內含執行檔案必要的U3應用。 • 如果電腦執行autorun,U3應用就可以自動執行這是橫跨所有U3設備的標準應用。 • 在CDROM的U3設備分割部分可由用戶自行移除。 • 登錄CDROM的硬碟ID位置為:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\CdRom&Ven_Memorex&Prod_Mini_TravelDrive&Rev_6.50\0CF0C86102B0990B&1 • 內含各項目如左表。

  9. Device behavior • Name: HardwareID • Type: REG_MULTI_SZ • Data: USBSTOR\DiskMemorex_Mini_TravelDrive6.50 • USBSTOR\DiskMemorex_Mini_TravelDrive • USBSTOR\DiskMemorex_ • USBSTOR\Memorex_Mini_TravelDrive6 • Memorex_Mini_TravelDrive6 • USBSTOR\GenDisk • GenDisk • U3設備的第二個裝置是設備中的儲存部份,用戶所有可與U3應用兼容的文件都從這裡被儲存與執行。 • 可移動硬碟的登錄ID位置為:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR\Disk&Ven_Memorex&Prod_Mini_TravelDrive&Rev_6.50\0CF0C86102B0990B&0

  10. Device behavior • 當LaunchPad應用運作時,“U3”圖像會顯示在工具列。如左圖。 • 點擊此圖示將會彈出顯示安裝在裝置裡的表單。左列是當設備被插入且launchpad.exe 應用執行運作後從工具列彈出的表單預覽。

  11. 遺留的線索 • Link files • Files and folders • Prefetch files

  12. Link files • Link file: C\Documents and Settings\JQP\Recent\U3Shortcut.lnk • Created date: 10/13/06 10:00:41AM • Last written date: 10/13/06 10:00:42AM • Last accessed date: 10/13/06 12:00:00AM • Volume label: TravelDrive • Media type: Removable • Volume serial: D1 EC 1C 86 • Base path: F:\Documents\U3Shortcut • 當“Explore U3 Drive”選項被選擇時,就會在用戶登錄的“Recent”資料夾中製造一個連接檔案(link file)。 • 在這種情況下Encase V5可以用來解析連接檔案各個項目,如左表。

  13. Link files • 這個人為因素事件證明檔案系統瀏覽包括在Windows XP建立的檔案系統內對U3裝置上檔案系統的瀏覽。 • Windows用戶典型的習慣是對他們想接收的檔案進行“雙點擊”,這個行為可在主電腦中產生一個連接檔案。 • 因為U3應用不處理檔案系統的接收,故應可找到所有的Windows人為事件如連接檔案(link file)。

  14. Files and folders • 當U3裝置被插入且“LaunchPad”應用被執行時,文件夾會同時安裝並登錄在用戶的profile下。 • 從“LaunchPad ”表單執行應用時,供操作的必要檔案會被複製在associated資料夾中。 • 作為U3的技術部份,會遺留所有應用移除的剩餘部分。

  15. Files and folders • 有一個例子,從“LaunchPad”表單中執行火狐程式後,在本機電腦裡會製造出許多executables。 • 一旦U3設備從“LaunchPad”表單中被取出,上述資料夾如左圖的結構幾乎會全部被刪除。

  16. Files and folders • U3資料夾保留了以“temp”命名的子資料夾,在那個資料夾裡保留了唯一的可執行檔名為“cleanup.exe ”。 • 在系統內這個資料夾的出現提供了U3隨身碟曾被插入的證據。 • 運用電腦鑑識工具例如Encase鑑識軟體可以恢復上述結構並且更進一步的確定哪些應用實際上被使用。 • 鑑識工具將解析MFT項目包含在資料夾中對U3應用複製在電腦硬碟驅動期間的資料。 • 這些命名後的資料夾與獨特的識別符號(UUIDs)也可以在U3裝置中被找到。

  17. Files and folders • 這些獨特的識別符號在U3裝置應用啟動時被創造。 • 如果可以取得設備,將可以在被實際使用的U3設備中找到與應用資料夾UUID配對的UUID資料夾。 • 這是一個具體證明U3設備被使用的更有效的方法。 • 如果用戶在使用到取得的期間更新過應用,executables的雜湊值(hash values)將不能配對。 • 因此,比較雜湊值並不是最佳的方法。

  18. Files and folders • 在UUID資料夾內,有典型包含兩個檔案的“Manifest”資料夾。 • 第一個檔案是必須的“manifest.u3i”檔案。 • 這個xml檔描述的可執行包括應用名稱、販賣者URL和所有應用所需要的參數。 • manifest資料夾的出現僅指出應用有被安裝在U3裝置上。 • 第二個檔案是特殊應用的圖像檔。

  19. Files and folders • 當U3裝置上的程式實際被執行時,一個命名為“Exec”的資料會被創造在UUID的資料夾下。 • 所有應用必須的可執行檔都會出現在這個“Exec”資料夾中。 • 在某些情況下,“Exec”資料夾也會包含程式操作必要的檔案結構,像是登錄金鑰和.dat 檔。 • 例如Skype只遺留executables,但是火狐會留下一些不同的登錄金鑰,如左圖。

  20. Prefetch files • 在確定應用是經由U3裝置執行的之後,可以更進一步的藉由檢驗prefetch資料夾來建立各項對於應用的使用用途。 • 當裝置從系統移除時並不清除“prefetch”資料夾,反而它會遺留額外的prefetch進一步的顯示出U3設備曾插入過系統。 • Prefetch資料是由Windows XP 作業系統創造,為了幫助加速應用軟體的執行和表現。 • Prefetch檔案可以被檢驗用來確定U3應用使用的時間框架。 • 例如,在“cleanup.exe”prefetch檔上的“最後寫入”日期會指出U3應用何時被取出,如左圖。

  21. 結論 • 即使U3設備已經被使用過且沒有實際的資料留在電腦硬碟上,還是有許多人為因素的事件被遺留下來可以證明設備的曾經插入過系統及使用。 • 一旦U3設備的使用和設備的物理控制被辨識出來,將有可能遇到一個障礙。 • 如果裝置有密碼保護,目前沒有能允許通過這道安全屏障的技術。 • 如果密碼被設置在U3設備中,在電腦中就不會有儲存的部份。 • 如果不能夠從所有者得到密碼(即他們已經去世或者不願透露),就必須使用其他方式通過這道安全屏障。 • 在此情形最好的實踐方法是在嫌犯的電腦系統中分析其他密碼(及LM Hash)並且嘗試這些密碼。 • 未來發展也許會導向在針對U3裝置上各應用軟體的弱點去著手或者是創造破解密碼的方法。 • 當數位鑑識開始遇上這些智慧型行動裝置時,不同檢驗資料的技術和方法論點將會漸漸發展。

More Related