diff --git a/FFI/ForensInf2_Zusammenfassung.tex b/FFI/ForensInf2_Zusammenfassung.tex index 48432a7..1ddcbd6 100644 --- a/FFI/ForensInf2_Zusammenfassung.tex +++ b/FFI/ForensInf2_Zusammenfassung.tex @@ -8,6 +8,12 @@ \title{Konfluenz} \date{ } \begin{document} + \subsection*{Anmerkungen:} + Diese Zusammenfassung fokusiert sich stark auf die Dinge die ich fuer wichtige gehalten habe + und enthaelt teilweise Information die nicht in der Vorlesung, sondern nur in den in der + Vorlesung erwaehnten Papern zu finden sind. Ich bin zu faul jedes mal wenn ich was aus einem + Paper zitiere das Paper hinzuschreiben, nehmt einfach mal an, dass nichts von dem was hier + steht auf meinem Mist gewachsen ist. \section{Begriffserklaerungen} \subsubsection*{Kriminalistik} Verhinderung, Aufdeckung und Aufklaerung von Kriminalitaet (Naturwissenschaften/ @@ -51,8 +57,7 @@ des Beweises $0.66$. Offensichtlicherweise, wenn nun $Prob_1 >> Prob_2$ ist der Beweis sehr stark. Mit der gleichen Logik gilt fuer das Nichtvorhandensein von Beweisen das Gegenteil, also das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist. - \section{Live-Analyse} - \subsection{Allgemein} + \section{Live-Analyse} \subsubsection{Fluechtige Daten} Informationen/Spuren die selbst bei dauerhafter Stromzufuhr erhalten bleiben (im engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen werden als persistent bezeichnet. \begin{itemize} @@ -86,7 +91,6 @@ \item einige, z.B. Rootkits koennen im laufenden Betrieb nicht zuverlaessig erkannt werden \end{itemize} - \subsection{Netzwerkverkehr} \subsubsection{Sniffing} Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschluesselung moeglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden koennen. \subsubsection{Hauptspeichersicherung} @@ -103,21 +107,79 @@ Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\ Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt} bezeicht korrekt ist. - \newpage \subsubsection{Technische Moeglichkeiten} \noindent \includegraphics{pics/RAM-Sicherung.png} \begin{itemize} \item Crashdumps unter Windows \item Modul Hijacking unter Linux - \item Linux-sysfs + \item Linux-sysfs (/dev/mem) \item Fireware/DMA/Hardware allgemein \item Snapshot bei VM + \item Linux /dev/mem ist etwas broken kriegt man aber mit kernel-modules gebacken \end{itemize} Aus dem Hauptspeicher-Abbild kann der Systemzustand nachvollziehbar rekonstruiert werden oder einfach nach \textit{strings} oder \textit{magic-bytes} gesucht werden. + \subsubsection{Hauptspeicherdumps auf MAC} + Relevantes Paper: \textit{Visualization in Testing a Volatile Memory Forensic Tool} + \begin{itemize} + \item kein /dev/mem mehr auf neueren Mac's, funktioniert nicht (richtig) ohne bestimmte \ + Boot-Flags und funktioniert nicht auf einigen Intel-iMacs + \item auf aelteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und + konsistentes Haupspeicherabbild, allerdings auf Kosten von verloren (nicht mehr genutzten, + aber vielleicht trotzdem noch interessanten Speicherseiten) + \end{itemize} + \subsubsection{Dotplot} + Die meisten Fehler in forensischen Tools sind systematischer Natur, die Leute die dieses Paper + oben geschrieben haben, haben effektiv jede Speicherseite gehasht und dann, die Hashes der + Speicherseiten an X/Y-Achse aufgetragen und alle identischen \textit{('aehnlichen')} Felder + schwarz markiert.\\\\ + Dass zwei Seiten im Speicher die gleiche SHA-Sum haben, kann eigentlich (0er und 1er-Seiten + weggefiltert) nicht sein/ist sehr + unwahrscheinlich. Das bedeutet, wenn zwei Seiten den gleichen Hash haben aka, schwarz sind, + muss das Tool in irgendeiner Weise dafuer verantwortlich sein - z.B. weil das \textit{dd}, die + Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest.\\ + \textbf{Long story short: Nutzlose aber ganz lustige Spielerrei um Probleme mit forensischen + Tools die das System beeinflussen zu zeigen, Praedikat 'nicht lesenswert'} + \subsubsection{Evalution von Live-Analyse Techniken} + \begin{itemize} + \item zwei identische VMs aufsetzen und Speicher in festen Abschnitten dumpen + \item moegliche Unterschiede beider VMs ohne Interaktion ueberpruefen (vorhanden aber + gering) + \item auf der einen Live-Analyse starten auf der anderen nicht -> Unterschied = Impact der + Untersuchung + \item suprise, Unterschiedliche Tools, unterschiedlich viel Impact + \end{itemize} + \begin{itemize} + \item das gleiche geht auch mit Xen aka dem ersetzen aller relevanten aufrufe durch + Hypercalls die man dann einzeln analysieren kann, am Ende auch nichts anderes als eine VM, + nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden Aufruf den + man sehen will). + \end{itemize} + \noindent \includegraphics{pics/Integritybymemsize.png}\\ + Ziehmlich dumme Grafik, denn was man hier wirklich sieht, ist dass der Memory-Footprint des + Tools gleich bliebt, was natuerlich bedeutet, dass er relativ zum Gesamtspeicher einen + kleineren Impact hat umso groesser der Speicher ist, also der Anteil des Unveraenderten + Speichers steigt. \textit{(Bild aus Folien S.99)} + \subsubsection{Messung von Atomaritaet} + \begin{itemize} + \item ein Programm schreibt fuer gewisse Zeitscheiben bestimmte Werte in den Speicher, + umso weniger verschiedene dieser Werte wir sehen umso Atomarer ist der Vorgang. + \end{itemize} + \section{Versteckte Daten in Dokumenten} + \begin{itemize} + \item Aenderungshistorie von (Word-)Dukumenten + \item Versteckte Felder (Druckerinformationen, Benutzernamen, Versionsnummer etc..) + \item "geschaerzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem + Postscript raus) + \item Thumbnails/unbekannte EXIF-Daten (nach Zuschneiden eines Bildes kann eine Version + des urspruenglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das + Bildbearbeitungsprogramm diese, z.B. nicht parsen konnte) + \item Informationen ueber Kamera und verwendete Software + \item thumbd.db/Windows.edb (Tumbnails/Desktop-Search-Savefile) + \end{itemize} \section{Freilings Weisheiten der Woche} \begin{itemize} - \item Wenn der Zeitdruck hoch ist und das Ermittlungsziel bekommt man nur schwer sinnvolle - Priorisierungskriterien. + \item Wenn der Zeitdruck hoch ist und das Ermittlungsziel breit bekommt man nur schwer + sinnvolle Priorisierungskriterien. \end{itemize} \end{document}