mirror of
https://gitlab.cs.fau.de/ik15ydit/latexandmore.git
synced 2024-11-24 20:49:33 +01:00
Advanced to Slides 5
This commit is contained in:
parent
6a9aa8a3ea
commit
92bb52adf5
@ -8,6 +8,12 @@
|
|||||||
\title{Konfluenz}
|
\title{Konfluenz}
|
||||||
\date{ }
|
\date{ }
|
||||||
\begin{document}
|
\begin{document}
|
||||||
|
\subsection*{Anmerkungen:}
|
||||||
|
Diese Zusammenfassung fokusiert sich stark auf die Dinge die ich fuer wichtige gehalten habe
|
||||||
|
und enthaelt teilweise Information die nicht in der Vorlesung, sondern nur in den in der
|
||||||
|
Vorlesung erwaehnten Papern zu finden sind. Ich bin zu faul jedes mal wenn ich was aus einem
|
||||||
|
Paper zitiere das Paper hinzuschreiben, nehmt einfach mal an, dass nichts von dem was hier
|
||||||
|
steht auf meinem Mist gewachsen ist.
|
||||||
\section{Begriffserklaerungen}
|
\section{Begriffserklaerungen}
|
||||||
\subsubsection*{Kriminalistik}
|
\subsubsection*{Kriminalistik}
|
||||||
Verhinderung, Aufdeckung und Aufklaerung von Kriminalitaet (Naturwissenschaften/
|
Verhinderung, Aufdeckung und Aufklaerung von Kriminalitaet (Naturwissenschaften/
|
||||||
@ -52,7 +58,6 @@
|
|||||||
stark. Mit der gleichen Logik gilt fuer das Nichtvorhandensein von Beweisen das Gegenteil, also
|
stark. Mit der gleichen Logik gilt fuer das Nichtvorhandensein von Beweisen das Gegenteil, also
|
||||||
das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist.
|
das wenn $Prob_3 >> Prob_4$ der Beweis sehr schwach ist.
|
||||||
\section{Live-Analyse}
|
\section{Live-Analyse}
|
||||||
\subsection{Allgemein}
|
|
||||||
\subsubsection{Fluechtige Daten}
|
\subsubsection{Fluechtige Daten}
|
||||||
Informationen/Spuren die selbst bei dauerhafter Stromzufuhr erhalten bleiben (im engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen werden als persistent bezeichnet.
|
Informationen/Spuren die selbst bei dauerhafter Stromzufuhr erhalten bleiben (im engen Sinne) und solche die mit unterbrochener Stromzufuhr verloren gehen. Alle anderen werden als persistent bezeichnet.
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
@ -86,7 +91,6 @@
|
|||||||
\item einige, z.B. Rootkits koennen im laufenden Betrieb nicht zuverlaessig erkannt werden
|
\item einige, z.B. Rootkits koennen im laufenden Betrieb nicht zuverlaessig erkannt werden
|
||||||
|
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
\subsection{Netzwerkverkehr}
|
|
||||||
\subsubsection{Sniffing}
|
\subsubsection{Sniffing}
|
||||||
Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschluesselung moeglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden koennen.
|
Mitlesen des Netzwerkverkehrs, nur schwer bis gar nicht durch Maleware manipulierbar, allerdings Verschluesselung moeglich, was wiederum bedeutet, dass nur Metadaten gesammelt werden koennen.
|
||||||
\subsubsection{Hauptspeichersicherung}
|
\subsubsection{Hauptspeichersicherung}
|
||||||
@ -103,21 +107,79 @@
|
|||||||
Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\
|
Werte sind, die zum Speicherzeitpunkt an der entsprechenden Stelle im Hauptspeicher standen.}\\\\
|
||||||
Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt}
|
Damit ist ein Abbild konsistent, wenn das Hauptspeicherabbild, das oft als \textit{Schnitt}
|
||||||
bezeicht korrekt ist.
|
bezeicht korrekt ist.
|
||||||
\newpage
|
|
||||||
\subsubsection{Technische Moeglichkeiten}
|
\subsubsection{Technische Moeglichkeiten}
|
||||||
\noindent \includegraphics{pics/RAM-Sicherung.png}
|
\noindent \includegraphics{pics/RAM-Sicherung.png}
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
\item Crashdumps unter Windows
|
\item Crashdumps unter Windows
|
||||||
\item Modul Hijacking unter Linux
|
\item Modul Hijacking unter Linux
|
||||||
\item Linux-sysfs
|
\item Linux-sysfs (/dev/mem)
|
||||||
\item Fireware/DMA/Hardware allgemein
|
\item Fireware/DMA/Hardware allgemein
|
||||||
\item Snapshot bei VM
|
\item Snapshot bei VM
|
||||||
|
\item Linux /dev/mem ist etwas broken kriegt man aber mit kernel-modules gebacken
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
Aus dem Hauptspeicher-Abbild kann der Systemzustand nachvollziehbar rekonstruiert werden oder
|
Aus dem Hauptspeicher-Abbild kann der Systemzustand nachvollziehbar rekonstruiert werden oder
|
||||||
einfach nach \textit{strings} oder \textit{magic-bytes} gesucht werden.
|
einfach nach \textit{strings} oder \textit{magic-bytes} gesucht werden.
|
||||||
|
\subsubsection{Hauptspeicherdumps auf MAC}
|
||||||
|
Relevantes Paper: \textit{Visualization in Testing a Volatile Memory Forensic Tool}
|
||||||
|
\begin{itemize}
|
||||||
|
\item kein /dev/mem mehr auf neueren Mac's, funktioniert nicht (richtig) ohne bestimmte \
|
||||||
|
Boot-Flags und funktioniert nicht auf einigen Intel-iMacs
|
||||||
|
\item auf aelteren MACs produziert ein \textit{dd} auf /dev/mem ein korrektes und
|
||||||
|
konsistentes Haupspeicherabbild, allerdings auf Kosten von verloren (nicht mehr genutzten,
|
||||||
|
aber vielleicht trotzdem noch interessanten Speicherseiten)
|
||||||
|
\end{itemize}
|
||||||
|
\subsubsection{Dotplot}
|
||||||
|
Die meisten Fehler in forensischen Tools sind systematischer Natur, die Leute die dieses Paper
|
||||||
|
oben geschrieben haben, haben effektiv jede Speicherseite gehasht und dann, die Hashes der
|
||||||
|
Speicherseiten an X/Y-Achse aufgetragen und alle identischen \textit{('aehnlichen')} Felder
|
||||||
|
schwarz markiert.\\\\
|
||||||
|
Dass zwei Seiten im Speicher die gleiche SHA-Sum haben, kann eigentlich (0er und 1er-Seiten
|
||||||
|
weggefiltert) nicht sein/ist sehr
|
||||||
|
unwahrscheinlich. Das bedeutet, wenn zwei Seiten den gleichen Hash haben aka, schwarz sind,
|
||||||
|
muss das Tool in irgendeiner Weise dafuer verantwortlich sein - z.B. weil das \textit{dd}, die
|
||||||
|
Daten die es aus /dev/mem liest, cached, und dann gleich nochmal aus dem Hauptspeicher liest.\\
|
||||||
|
\textbf{Long story short: Nutzlose aber ganz lustige Spielerrei um Probleme mit forensischen
|
||||||
|
Tools die das System beeinflussen zu zeigen, Praedikat 'nicht lesenswert'}
|
||||||
|
\subsubsection{Evalution von Live-Analyse Techniken}
|
||||||
|
\begin{itemize}
|
||||||
|
\item zwei identische VMs aufsetzen und Speicher in festen Abschnitten dumpen
|
||||||
|
\item moegliche Unterschiede beider VMs ohne Interaktion ueberpruefen (vorhanden aber
|
||||||
|
gering)
|
||||||
|
\item auf der einen Live-Analyse starten auf der anderen nicht -> Unterschied = Impact der
|
||||||
|
Untersuchung
|
||||||
|
\item suprise, Unterschiedliche Tools, unterschiedlich viel Impact
|
||||||
|
\end{itemize}
|
||||||
|
\begin{itemize}
|
||||||
|
\item das gleiche geht auch mit Xen aka dem ersetzen aller relevanten aufrufe durch
|
||||||
|
Hypercalls die man dann einzeln analysieren kann, am Ende auch nichts anderes als eine VM,
|
||||||
|
nur dass man jeden einzelnen Speicher-/Systemaufruf sieht (bzw. generell jeden Aufruf den
|
||||||
|
man sehen will).
|
||||||
|
\end{itemize}
|
||||||
|
\noindent \includegraphics{pics/Integritybymemsize.png}\\
|
||||||
|
Ziehmlich dumme Grafik, denn was man hier wirklich sieht, ist dass der Memory-Footprint des
|
||||||
|
Tools gleich bliebt, was natuerlich bedeutet, dass er relativ zum Gesamtspeicher einen
|
||||||
|
kleineren Impact hat umso groesser der Speicher ist, also der Anteil des Unveraenderten
|
||||||
|
Speichers steigt. \textit{(Bild aus Folien S.99)}
|
||||||
|
\subsubsection{Messung von Atomaritaet}
|
||||||
|
\begin{itemize}
|
||||||
|
\item ein Programm schreibt fuer gewisse Zeitscheiben bestimmte Werte in den Speicher,
|
||||||
|
umso weniger verschiedene dieser Werte wir sehen umso Atomarer ist der Vorgang.
|
||||||
|
\end{itemize}
|
||||||
|
\section{Versteckte Daten in Dokumenten}
|
||||||
|
\begin{itemize}
|
||||||
|
\item Aenderungshistorie von (Word-)Dukumenten
|
||||||
|
\item Versteckte Felder (Druckerinformationen, Benutzernamen, Versionsnummer etc..)
|
||||||
|
\item "geschaerzter" Text in PDF-Dokumenten (bekommt man potentiell noch aus dem
|
||||||
|
Postscript raus)
|
||||||
|
\item Thumbnails/unbekannte EXIF-Daten (nach Zuschneiden eines Bildes kann eine Version
|
||||||
|
des urspruenglichen Bildes noch in den EXIF-Daten vorhanden sein, weil das
|
||||||
|
Bildbearbeitungsprogramm diese, z.B. nicht parsen konnte)
|
||||||
|
\item Informationen ueber Kamera und verwendete Software
|
||||||
|
\item thumbd.db/Windows.edb (Tumbnails/Desktop-Search-Savefile)
|
||||||
|
\end{itemize}
|
||||||
\section{Freilings Weisheiten der Woche}
|
\section{Freilings Weisheiten der Woche}
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
\item Wenn der Zeitdruck hoch ist und das Ermittlungsziel bekommt man nur schwer sinnvolle
|
\item Wenn der Zeitdruck hoch ist und das Ermittlungsziel breit bekommt man nur schwer
|
||||||
Priorisierungskriterien.
|
sinnvolle Priorisierungskriterien.
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
\end{document}
|
\end{document}
|
||||||
|
Loading…
Reference in New Issue
Block a user