Veiligstellen op locatie

[Ken Cijsouw]

Het lijkt mij interessant om eens een thread te openen over hoe iedereen de data veiligstelt op locatie.

Even een kort verhaal. Je bent ingehuurd door een bedrijf waar fraude is gepleegd. Deze wil dit graag laten onderzoeken. Je komt op een kamer waar een aantal spullen liggen. Dit zijn:

Een draaiende windows computer
Een DVD
Een SD kaart

Nu moeten deze gevens worden veiliggesteld. Omdat de computer nog aan staat zul je eerst een dump moeten maken van het geheugen. Zodat je later terug kan kijken welke processen er draaiden. ( Wat voor tools gaan we hiervoor gebruiken ) Hierna moet de hardeschijf gekopieerd worden. Dit doen we met een logicube hard disk copier. Deze is schrijfbeveiligd en er worden hasshes gemaakt.

Nu moet de dvd worden veiliggsteld. Dit doen we met ftk imager. Aangezien een dvd een ROM ( Read only Memory ) is kunnen we deze kopieren zonder dat hier schrijfbeveiliging moet worden toegepast.

Nu gaan we de sd kaart kopieren. Dit kan op 2 manieren. We gebruiken een hardware matige writeblokker of we gebruiken een software matige writeblokker. De voorkeur gaat natuurlijk uit naar de hardwarematige writeblokker. Maar je baas heeft niet het geld over voor een hardwarematige writeblokker dus er moet gebruik gemaakt worden door een softwarematige writeblokker. Deze moet opensource zijn.

Dit gaat dus echt over het veiligstellen en niet over het daadwerkelijke onderzoek. Er hoeft niet naar gegevens gezocht te worden.

Hoe zouden jullie dit aanpakken?

[libris]

Ten eerste zou ik met de computer beginnen omdat dit het langste duurt en niet makkelijk verplaatsbaar is aangezien hij aanstaat. Mijn eerste stap zou inderdaad ook een geheugendump zijn.

Daarna kijk je als eerst of er een soort encryptie draait, als bijvoorbeeld truecrypt draait (wat je default in de tray ziet) dan weet je al dat je live onderzoek zult moeten gaan uitvoeren tenzij je het truecrypt wachtwoord weet te bemachtigen

Maar ik zou mijn type onderzoek ook aanpassen op wat de opdrachtgever precies wil, als hij gewoon wat history wil weten dan zou ik Live onderzoek tools toepassen. Mocht het diep gaan zoals deleted files of verborgen bestanden dan zou ik Encase FIM of dan toch maar de PC uitzetten en hier een kopie van maken.

En dan dat DVDtje, die zou ik toch maar in linux gewoon mounten en Read only mounten zodat je later nooit geen commentaar kan krijgen om de stappen die je in je werk hebt gedaan (maar goed dat is mijn mening)

De SD kaart is ook een questie van read only mounten en een kopie maken, dat doeik het liefst in linux...

[Ken Cijsouw]

Beginnend over de geheugen dump. Gebruik je hiervoor bijvoorbeeld
win32dd of mandd. Of gebruik je hele andere tools

Je hoeft niks te analyseren echt alleen maar veiligstellen. Nadat je het geheugen hebt veiliggesteld. Zet je de computer uit en maak je een kopie van de hardeschijf. Op de pc draait geen truecrypt dus we hoeven geen live onderzoek te doen.

Van de opdrachtgever krijg je een laptop met windows xp. Hierop moet je een tool installeren om de sd kaart / usb stick read only te maken. Op welke manier doe je dit

[libris]

FTK imager heeft tegenwoordig ook de mogelijkheid om geheugen dumpen te maken, maar ik zou denk ik toch kiezen voor winen of man32dd, maakt mij niet uit welke

voor het read only maken op windows zijn er verschillende tools, google it en je zult veel vinden

[themaster]

Ik zou het volgende doen:

- Foto`s maken van werkplek.
- SD noteren op evidence formulier
- DVD noteren op evidence formulier
- SD & DVD veilig opbergen (tijdelijk)
- memory dump maken met dd en stunnel nar forensic laptop
- als er encryption software aanwezig is een live image maken met een van de live acquisition software pakketen.
- als er geen encryption software is dan uitschakelen en kopie maken met dd van de hdd met een hardware matige writeblocker.
-sd kaart copieren met usb card-reader en hardwarematige writeblocker.
- dd maken van dvd.
- sd,dvd en hdd opbergen in kluis.
- gegevens inladen in encase