Przewodnik po podstawowych metodach z zakresu Computer Forensics

Opublikowano: 7 stycznia 2008

Zawartość strony

	W skrócie:
	Wstęp
	Informacje na temat proponowanych rozwiązań (akceleratorów)
	CD-ROM Windows PE
	Zewnętrzny dysk USB
	Prowadzenie dochodzenia
	Sprawdzenie złośliwego oprogramowania
	Zachowywanie ważnych plików
	Gromadzenie dodatkowych informacji

W skrócie:

• Przewodnik po podstawowych metodach badania komputerów działających w systemie Windows (The Fundamental Computer Investigation Guide for Windows);
• Pakiet startowy do usuwania oprogramowania typu malware (The Malware Removal Starter Kit);
• Tworzenie zestawu badawczego w środowisku Windows PE (Windows preinstallation environment);
• Zachowywanie informacji na potrzeby analizy badawczej.

 Do początku strony

Wstęp

Istnieje niezliczona ilość sposobów wykorzystania komputera, którymi mogą posłużyć się osoby działające niezgodnie z prawem, mające na celu włamanie się do systemu, pozyskanie poufnych danych, rozprzestrzenianie nowych wirusów, wykorzystanie wiadomości do wykradania osobistych informacji (phishing) itp. Regularnie docierają do nas informacje o wykorzystywaniu nowych luk w oprogramowaniu i technik z tym związanych. Jednak niezbyt często użytkownicy słyszą o metodach wykorzystania komputerów do śledzenia i badania działań tego typu.

Niektóre metody badań tego typu wymagają zaangażowania wykwalifikowanych specjalistów korzystających z drogich narzędzi i skomplikowanych technik. Istnieją jednak prostsze i tańsze sposoby, które użytkownik może zastosować samodzielnie do przeprowadzenia podstawowych badań i analiz. W prezentowanym artykule skoncentrujemy się na technikach badań komputera, które są bezpośrednio dostępne dla użytkowników administrujących systemem.

Przedstawiony niżej materiał dotyczy dwóch wspomagających rozwiązań – akceleratorów, które można pobrać za darmo: "The Fundamental Computer Investigation Guide for Windows" (go.microsoft.com/fwlink/?LinkId=80344) i "The Malware Removal Starter Kit”. W artykule omówiono sposób, w jaki użytkownik może przeprowadzić skuteczne badanie i zachować wyniki do dalszych analiz i raportu. Należy zwrócić uwagę, że omawianej metody nie można zastosować do badania zaszyfrowanego dysku twardego lub stanowiącego część woluminu RAID. Jeżeli dysk twardy jest uszkodzony, konieczne jest najpierw podjęcie dodatkowych kroków w celu jego naprawy.

Prezentowane rozwiązanie jest łatwym sposobem na zebranie informacji w przypadku komputera działającego w systemie Windows. Należy pamiętać, że jest to jednak podstawowe, doraźne podejście. Istnieje szereg bardziej wyrafinowanych rozwiązań dostępnych komercyjnie, które mogą wykonać opisane tutaj zadania o wiele bardziej efektywnie.

Należy również mieć na uwadze, że technika omawiana w tym opracowaniu nie jest gwarantowanym, zalecanym rozwiązaniem, ani też certyfikowanym przez międzynarodowe stowarzyszenie The International Society of Forensic Computer Examiners, skupiające specjalistów z interesującej nas dziedziny. Przed rozpoczęciem badań należy rozważyć, czy dane znajdujące się na dysku twardym mogą potencjalnie stanowić przedmiot działań prawnych. Jeżeli istnieje taka możliwość, to do prowadzenia dochodzenia powinien zostać zaangażowany wykwalifikowany specjalista, posiadający odpowiedni certyfikat. W zależności od charakteru podejmowanych działań prawnych, należy rozważyć przekazanie dochodzenia bezpośrednio przedstawicielom odpowiednich instytucji. Więcej informacji na ten temat można znaleźć w opracowaniu "The Fundamental Computer Investigation Guide for Windows".

 Do początku strony

Informacje na temat proponowanych rozwiązań (akceleratorów)

"The Fundamental Computer Investigation Guide for Windows" omawia procesy i narzędzia, które można wykorzystać do wewnętrznych badań komputerowych. W przewodniku przedstawiono cztery fazy procesu badania komputera: ocenę, pozyskanie informacji, analizę i raportowanie. Jest to poręczny model, pozwalający specjalistom IT na przeprowadzenie badań w sposób, który umożliwia zachowanie ważnych rezultatów.

Przewodnik zawiera również omówienie przypadków, kiedy konieczne jest zaangażowanie przedstawicieli instytucji odpowiedzialnych za przestrzeganie prawa. Należy wówczas włączyć doradców prawnych w proces podejmowania decyzji. Użytkownik znajdzie również informacje na temat przestępstw związanych z wykorzystaniem komputerów, zasad kontaktowania się z instytucjami odpowiedzialnymi za przestrzeganie prawa oraz narzędzi Windows Sysinternals i innych narzędzi systemu Windows przydatnych w prowadzeniu dochodzenia.

Drugie rozwiązanie przedstawione w artykule – "The Malware Removal Starter Kit” – zawiera informacje na temat zasad utworzenia i użycia startowego dysku CD-ROM Windows PE, pozwalającego na usunięcie z komputera złośliwego oprogramowania (malware). Przewodnik zawiera listę zagrożeń i niektóre ze sposobów na zmniejszenie potencjalnych skutków działania takiego oprogramowania dla organizacji. Omawia także problem przygotowania planu reakcji w nadzwyczajnych sytuacjach, według którego należy postępować, kiedy spodziewany jest złośliwy atak. "The Malware Removal Starter Kit” przedstawia również metodę działania w czterech etapach, umożliwiającą specjalistom IT określenie charakteru zastosowanego oprogramowania złośliwego, ograniczenie jego rozprzestrzeniania się, usunięcie i jeżeli to możliwe, weryfikację procesu usuwania oraz podjęcie następnych, wymaganych działań.

 Do początku strony

CD-ROM Windows PE

Niezbędnym warunkiem przeprowadzenia tego rodzaju badania jest konieczność zastosowania dysku CD Windows PE oraz zewnętrznego urządzenia pamięci masowej, np. USB flash drive.

Użytkownicy są prawdopodobnie w pełni świadomi, kierując się chociażby przykładami sytuacji oglądanych w telewizji, że oficer prowadzący śledztwo, powinien pozostawić miejsce przestępstwa w stanie nienaruszonym. Z tego samego powodu użytkownik chciałby zachować bez zmian wszystkie dane na badanym dysku twardym. W odróżnieniu od dysku zawierającego Malware Removal Starter Kit, dysk startowy Windows PE, który utworzymy, będzie pozwalał jedynie na uruchomienie narzędzi do badania, nie naruszając w żaden sposób danych na dysku twardym.

Dysk Widnows PE uruchamia system w ograniczonym środowisku Windows. W trakcie tworzenia dysku startowego użytkownik może dołączyć narzędzia (takie, jak Malware Removal Starter Kit), wcześniej skonfigurowane do specjalnych zastosowań. Należy mieć na uwadze, że komputer musi być wyposażony w co najmniej 512 MB pamięci RAM – jest to niezbędny wymóg korzystania z Windows PE.

Proces tworzenia dysku CD zawierającego Widnows PE jest stosunkowo prosty. Został on szczegółowo przedstawiony w artykule "The Malware Removal Starter Kit". Przed utworzeniem dysku użytkownik powinien wykonać kilka operacji: zainstalować Windows Automated Installation Kit (AIK) oraz Sysinternals Suite (dostępne do pobrania pod adresem microsoft.com/technet/sysinternals/utilities/sysinternalssuite.mspx), następnie umieścić narzędzia Sysinternals na swojej liście narzędzi, jak opisano to w zadaniu 2. pakietu The Malware Removal Starter Kit i zainstalować jakiekolwiek inne narzędzia i programy użytkowe, skanujące zawartość dysku w poszukiwaniu oprogramowania typu malware. Aby uzyskać szczegółowe instrukcje na temat tworzenia dysku należy postępować zgodnie z zaleceniami przedstawionymi w dokumencie "The Malware Removal Starter Kit".

 Do początku strony

Zewnętrzny dysk USB

Ponieważ proces nie narusza zawartości badanego dysku, potrzebny będzie również dysk USB typu „pen drive” lub jakikolwiek inny dysk zewnętrzny, na którym składowane będą wygenerowane pliki (Pen drive USB jest rekomendowanym rozwiązaniem, jako że Windows PE jest w stanie automatycznie instalować urządzenia USB). Użytkownik może również wykorzystać zewnętrzny dysk twardy do zapisania obrazu głównego dysku twardego. Biorąc pod uwagę wszystkie omawiane wymagania i opcje, ważną rzeczą jest zaplanowanie zawczasu przestrzeni dyskowej niezbędnej do przeprowadzenia badań.

W celu zapewnienia, że używany zestaw narzędzi jest całkowicie „czysty” w momencie rozpoczęcia analizy, wszystkie dane wcześniej zapisane na zewnętrznym dysku, który ma być użyty do zachowania plików utworzonych w trakcie badania, powinny zostać usunięte. Można łatwo wykonać tę operację, korzystając z użytkowego oprogramowania służącego do czyszczenia dysku, które powoduje nadpisanie całej przestrzeni dostępnej do zapisu. Dysk zewnętrzny można później sformatować i oznaczyć etykietą, w zależności od potrzeb wynikających z prowadzonego badania. Wspomniane działania wstępne zapewnią, że urządzenie nie będzie zawierać plików, które mogłyby ewentualnie wpłynąć na zafałszowanie dowodów zebranych w trakcie badania.

Użytkownik powinien również dołączyć formularz określający kolejność przekazywania dowodów, który będzie stanowił oficjalną dokumentację potwierdzającą, kto zajmował się komputerem w toku dochodzenia. "The Fundamental Computer Investigation Guide for Windows" zawiera taki przykładowy formularz. Po zakończeniu procesu przygotowania pakietu (z dyskiem startowym Widows PE, zewnętrznym urządzeniem do zapisu, formularzem ewidencji przekazywania dowodów) można rozpocząć badania.

 Do początku strony

Prowadzenie dochodzenia

Rozpoczynamy dochodzenie od uruchomienia podejrzanego systemu przy pomocy utworzonego dysku Windows PE. Należy pamiętać, że komputer w trakcie uruchamiania musi identyfikować napęd CD-ROM jako pierwsze urządzenie startowe. Po pojawieniu się zapytania, wciskamy dowolny klawisz, aby kontynuować uruchomienie z CD-ROM. Po zakończeniu procesu, użytkownik uzyskuje dostęp do narzędzi zainstalowanych na płycie.

Skorzystamy z zestawu działającego na testowym sprzęcie, aby zademonstrować, jak można zebrać informacje z badanego komputera (nazwiemy je Testbox1). Napęd CD w Testbox1 jest identyfikowany jako X:\, a domyślna lokalizacja narzędzi z zestawu Malware Removal Starter Kit została określona jako X:\tools. W celu uzyskania dostępu do narzędzi należy po prostu wpisać: cd \tools.

Do dyspozycji mamy kilka narzędzi pozwalających na identyfikację napędów, zainstalowanych w komputerze. Program Bginfo.exe, znajdujący się w katalogu Sysinternals, umożliwia uzyskanie takich informacji oraz umieszczenie ich w odrębnym oknie na pulpicie, co ułatwia odwoływanie się do nich. Podobnie Drive Manager pozwala na identyfikację wszystkich napędów w komputerze, włącznie z badanym dyskiem twardym oraz zewnętrznym urządzeniem USB. Rys. 1. przedstawia informacje zawarte w Testbox1. Napęd rozruchowy został oznaczony jako X:\, badany dysk C:\, a zewnętrzne urządzenie USB F:\.

Rys. 1. Informacje na temat dysków uzyskane za pomocą programu Drive Manager.

 Do początku strony

Sprawdzenie złośliwego oprogramowania

Przed przystąpieniem do analizy należy uruchomić narzędzia sprawdzające obecność oprogramowania złośliwego, aby mieć pewność, że badania nie zostaną zaburzone przez wirusy lub inny szkodliwy kod. Jeżeli będzie to potrzebne, raport utworzony przez te narzędzia może być wykorzystany jako dowód. Pominięcie takiego sprawdzenia mogłoby spowodować błędne wyniki badań, a także podważyć wiarygodność i dokładność osoby prowadzącej dochodzenie. Zalecane jest zatem, uruchomienie w trybie „tylko do odczytu” lub „raportowanie” dostępnych narzędzi sprawdzających obecność złośliwego oprogramowania.

W pakiecie The Malware Removal Starter Kit zaprezentowano kilka rekomendowanych narzędzi, w tym Malicious Software Removal Tool oraz McAfee AVERT Singer. Proszę zwrócić uwagę, że przy uruchomieniu programu Malicious Software Removal Tool, należy użyć opcji /N w wierszu poleceń:

x:\tools\windows-KB890830-v1.29.exe /N

Narzędzie nie usunie wówczas złośliwego oprogramowania, a jedynie utworzy raport, który będzie znajdował się w %windir%\debug\mrt.log.

Podobnie, przy użyciu McAfee AVERT Stinger, należy zmienić ustawienia i wybrać opcję „Report only”, jak pokazano to na rys. 2. Program przeprowadzi wówczas jedynie skanowanie komputera, nie dokonując żadnych zmian na dysku twardym. Należy upewnić się, że raport utworzony przez zastosowane narzędzie został zachowany po zakończeniu procesu skanowania.

Rys. 2. Wybór opcji „Report only” w programie McAfee AVERT Stinger.

 Do początku strony

Zachowywanie ważnych plików

Jeżeli przed rozpoczęciem badań nie utworzono kopii bezpieczeństwa całego dysku, należałoby przynajmniej sporządzić kopie kluczowych plików użytkownika. Informacje dotyczące konfiguracji mogą być wówczas wykorzystane w przyszłości, jeżeli będzie taka potrzeba. Należy rozpocząć od plików rejestru i ustawień, które zawierają wszystkie informacje o tym, jak komputer był używany i o programach zainstalowanych w systemie.

Aby zachować dane zgromadzone w rejestrze w Testbox1, utworzymy najpierw folder na wymiennym dysku F:\ i zapiszemy datę oraz czas rozpoczęcia badań, używając następujących poleceń:

f:

Mkdir f:\evidence_files

Date /t >> f:\evidence_files\Evidence_start.txt

Time /t >> f:\evidence_files\Evidence_start.txt

Zachowujemy dane z rejestru, używając polecenia xcopy w celu skopiowania zawartości całego katalogu konfiguracji i jego zawartości. Interesujące użytkownika pliki rejestru, znajdują się w %windows%\system32\config. W naszym przypadku wykonujemy następujące polecenie:

xcopy c:\windows\system32\config\*.* f:\registrybkup /s /e /k /v

Spowoduje to skopiowanie wszystkich informacji konfiguracyjnych znajdujących się w folderze config. Textbox1 zawiera ok. 95MB danych w folderze config.

Następnie skoncentrujemy się na danych użytkownika, które mogą znajdować się w dowolnym miejscu na dysku twardym. W naszym testowym przypadku, kopiujemy jedynie dane zawarte w katalogu c:\HR. Aby upewnić się, że zebraliśmy wszystkie dane, kopiujemy całą zawartość katalogu wraz z podkatalogami, korzystając z następującego polecenia xcopy:

Mkdir f:\evidence_files\HR_Evidence

Mkdir f:\evidence_files\documents_and_settings

Mkdir f:\evidence_files\users

xcopy c:\HR\*.* f:\evidence_files\HR_Evidence /s /e /k /v

Obecnie możemy zająć się folderem informacji osobistych. Chcemy również zebrać wszystkie informacje z tych katalogów i podkatalogów. W tym celu wykonujemy polecenia:

Xcopy c:\documents and settings\*.* f:\evidence_files\documents_and_settings /s /e /k /v



Xcopy c:\users\*.* f:\evidence_files\users /s /e /k /v

W opisywanym teście zebrano ok. 500MB danych, które mogą być poddane dalszej analizie w razie potrzeby. Jak widać, ilość zgromadzonych danych może być ogromna – szczególnie, jeżeli uwzględnimy pliki audio, wideo, grafikę i fotografie. Ważne jest zachowanie możliwie największej ilości informacji, ponieważ w dochodzeniu ważne mogą być nie tylko zebrane dowody, ale również potwierdzenie, że w procesie zbierania danych, nie zostały one naruszone. Idealnym rozwiązaniem jest utworzenie obrazu całego badanego dysku twardego, ale może to być trudne z uwagi na ograniczenia wynikające z rozmiaru danych. Jest zatem dość oczywiste, jak ważne jest określenie odpowiednio wcześniej objętości przestrzeni potrzebnej do zachowania niezbędnych danych.

 Do początku strony

Gromadzenie dodatkowych informacji

W procesie zbierania dowodów przydatne mogą być również pliki systemowe, jednak ich zgromadzenie może wymagać bardziej wnikliwego przeszukania badanego komputera, ponieważ nie muszą one zawsze znajdować się w tym samym miejscu. Tym niemniej, warto poszukać określonych plików, gdyż mogą one dostarczyć wartościowych informacji. Pliki wymiany (pliki stronicowania) na przykład, zawierają cenne informacje o tym, jakie programy korzystały z pamięci. Ponadto, mogą one być źródłem szczegółowych informacji na temat podejmowanych działań. Podobnie, przeglądarka stron WWW i pliki cookie (ciasteczka) zawierają dane o zachowaniach i zwyczajach w trakcie przeglądania sieci.

Wyszukanie tych danych może wymagać w pewnym sensie detektywistycznej pracy, zwłaszcza, jeżeli użytkownik zmienił konfigurację określającą miejsce przechowywania danych na inną niż domyślna. Do dyspozycji mamy kilka narzędzi Sysinternals, które są pomocne w odnalezieniu ważnych plików. W tabeli 1. przedstawiono listę pięciu przydatnych aplikacji i opisano, jak mogą one pomóc w prowadzeniu dochodzenia.

Do początku strony