Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
1
Digital forensics Ковешников Михаил НГУ, 2012г
2
Что такое компьютерная криминалистика? Ответвление криминалистики, сочетающее в себе восстановление и расследование материалов, найденных на электронных носителях. Криминалистика – наука, исследующая закономерности приготовления, совершения и раскрытия преступлений
3
Разделы
4
Задачи на CTF Найди улику в образе диска Найди улику в дампе трафика Найди улику в дампе ОП Найди улику в бинарнике Найди улику в RAM …
5
Про анализ бинарников Бинарные файлы могут встречаться десятками в образе Каждый дизассемблировать смысла нет Проверить строки командой strings
6
Анализ оперативной памяти Volatility \\.\PhysicalMemory \\.\DebugMemory /dev/mem mdd Hex-editors (HxD, WinHex,..)
7
Загрузка ОС на примере Windows Включение питания Чтение команд из BIOS Анализ оборудования Поиск загрузочного носителя в порядке очереди Выполнение загрузочного кода из первого сектора диска Выполнение загрузочного кода раздела
8
Анализ файловых систем Данные файловой системы Данный содержимого Метаданные Данные имен файлов Прикладные данные
9
NTFS Наиболее распространенная файловая система для семейства ОС Windows Концепции –Безопасность –Надежность –Поддержка носителей больших объёмов
10
Основные понятия NTFS Все данные – файлы MFT (Master File Table ~ «Главная файловая таблица» ) Пространство выделяется кластерами – (группы смежных секторов)
11
MFT (Master File Table) Запись в таблице для каждого файла и директории Все записи нумеруются. [0,1,…] Нулевая запись – запись на себя Может быть фрагментирована по секторам Расширяется системой, но не сужается
![MFT (Master File Table) Запись в таблице для каждого файла и директории Все записи нумеруются. [0,1,…] Нулевая запись – запись на себя Может быть фрагментирована по секторам Расширяется системой, но не сужается](http://images.myshared.ru/5/377274/slide_11.jpg "MFT (Master File Table) Запись в таблице для каждого файла и директории Все записи нумеруются. [0,1,…] Нулевая запись – запись на себя Может быть фрагментирована по секторам Расширяется системой, но не сужается")
12
Запись MFT Занимает 1024 байта Первые 42 байта – фиксированный формат Остальное пространство под атрибуты
13
Запись MFT Первая запись – базовая Если атрибуты не помещаются в запись, то создается ещё одна запись с ссылкой на базовую
14
Файлы метаданных Занимают зарезервированные первые 16 записей MFT Первые 12 записей выделены и содержат файлы метаданных 4 записи [12-15] выделены, но являются пустыми
![Файлы метаданных Занимают зарезервированные первые 16 записей MFT Первые 12 записей выделены и содержат файлы метаданных 4 записи [12-15] выделены, но являются пустыми](http://images.myshared.ru/5/377274/slide_14.jpg "Файлы метаданных Занимают зарезервированные первые 16 записей MFT Первые 12 записей выделены и содержат файлы метаданных 4 записи [12-15] выделены, но являются пустыми")
15
Файлы метаданных НомерНазваниеОписание 0$MFTЗапись для MFT 1$MFTMirrРезервная копия MFT 2$LogFileЖурнал транзакций 3$VolumeИнформация о томе
16
Файлы метаданных НомерНазваниеОписание 4$AttrDefИнформация о атрибутах 5.Корневой каталог 6$BitMapМаска выделения кластеров 7$BootЗагрузочный сектор и загрузочный код
17
Файлы метаданных НомерНазваниеОписание 8$BadClusИнформация о поврежденных кластерах 9$SecureИнформация о безопасности 10$UpсaseСодержит uppercase Unicode символы 11$ExtendКаталог с файлами необязательных расширений
18
Атрибуты Все атрибуты имеют заголовок и содержимое Структура содержимого может быть разная у разных атрибутов Заголовок хранит тип, размер, имя атрибута Запись может иметь несколько однотипных атрибутов (у каждого уникальный id)
19
Атрибуты Резидентные и нерезидентные Разреженные атрибуты Сжатые атрибуты($DATA)
20
Сжатие
21
Шифрование атрибутов Шифруется только $DATA Можно опознать по атрибуту $LOGGED_UTILITY_STREAM или по флагу в $STANDART_INFORMATION для каталогов, флагу в заголовке атрибута для файла Используется алгоритм DESX
22
Типы атрибутов Все типы имеют идентификатор, имя По идентификатору происходит упорядочивание атрибутов в записи
23
Типы атрибутов idИмяОписание 16$STANDART_ INFORMATION Общая информация (флаги, даты, владелец) 48$FILE_NAMEИмя файла, даты 128$DATAСодержимое файла 144$INDEX_ROOTКорневой узел 160$INDEX_ALLOCATI ON Узлы, дочерние к $INDEX_ROOT
24
Alternate Data Stream Что произойдет, если у файла несколько атрибутов с типом $DATA?
25
Каталоги Обладает $INDEX_ROOT – информация о файлах и подкаталогах При большом размере - $INDEX_ALLOCATION, $BITMAP Также возможны атрибуты с типом $DATA (ADS). В основном $INDEX_ALLOCATION и $INDEX_ROOT имеют имена $I30
26
Пакет The Sleuth Kit (TSK) Файл образа (img_stat, img_cat) Файловая система (fsstat) Анализ томов (mmls, mmcat, mmstat) Файлы (fls, ffind) Метаданные (icat, ils, istat, ifind) Сектора (blkcat, blkls, blkcalc, blkstat) Дополнительно (jls, jcat, hfind, tsk_recover, tsk_gettimes, tsk_comparedir, tsk_loaddb)
27
Спасибо за внимание! Вопросы?
28
Голосование! 1) 2) 3)
Еще похожие презентации в нашем архиве:
