Jeśli po mojej prezentacji na dzisiejszym spotkaniu OWASP kogoś zainteresował temat ogólnie pojętego forensic, być może zainteresują go również starsze wpisy dotyczące tego tematu. Nazbierało się tego trochę, więc małe przypomnienie części z poruszanych tematów.
Druga sprawa - zdaję sobie sprawę, że na prezentacji wiele tematów poruszyłem bardzo pobieżnie, nie wdając się w szczegóły. Nie pokazałem wszystkich informacji, które można było uzyskać z tego zrzutu ruchu sieciowego, nie do końca również wdawałem się w szczegóły techniczne dotyczące tego, jak niektóre informacje były uzyskane. Być może kilka wyjaśnień znajdzie się w kolejnych wpisach na blogu. Jeśli ktoś z Was ma jakieś pytania, czekam. Ja już widzę kilka tematów, które będę chciał rozwinąć.
I jeszcze jedna sprawa. Gratuluję Kamilowi Reszczykowi rozwiązania mini-konkursu. Niech koszulka dobrze się nosi :) Jednocześnie przepraszam tych z Was, których maile z rozwiązaniem nie dotarły. Proszę o przesłanie ich jeszcze raz, tym razem na pawel.golen na gmail. Rozwiązania opublikuję, może uda się również jakąś drugą turę w sensie gadżetów przeprowadzić. A ja spróbuję ustalić, dlaczego Wasze maile do mnie nie dotarły.
Tamagotchi
Cykl kilku wpisów, w których opisuję polowanie na malware i jego analizę (statyczną, behawioralną), analizę ruchu sieciowego, śladów zostawionych w systemie plików, (...)
- Tamagotchi I: łowienie zwierzyny,
- Tamagotchi II: konkurs piękności,
- Tamagotchi III: pokaż ząbki,
- Tamagotchi IV: złota klatka,
- Tamagotchi V: niuch niuch,
- Tamagotchi VI: co widać na żywo,
- Tamagotchi VII: wróżby z FuSów,
- Tamagotchi VIII: rejestr,
- Tamagotchi IX: zmienione pliki,
- Tamagotchi X: logi,
- Tamagotchi XI: zagubione pliki,
- Tamagotchi XII: Process Monitor,
- Tamagotchi XIII: brakujące ogniwo,
- Tamagotchi XIV: Logexts,
Do tego kilka tematów pobocznych, które przy tworzeniu powyższych wpisów się pojawiły:
Analiza pamięci fizycznej
Ilość śladów pozostawionych w pamięci RAM jest duża, jedyny problem, to te ślady znaleźć. Pomagają w tym narzędzia takie jak Memoryze albo Volatility.
- Pamięć do pliku, czyli jak żyć bez \Device\PhysicalMemory,
- Prosty sposób na zrzucenie pamięci procesów użytkownika (w XP),
- Memoryze i (nowy) AuditViewer,
- Obcych procesów nie musi być,
- Znajdowanie wstrzykniętego kodu,
- Wstrzyknięty kod II: debugger,
- Wykrywanie API hooking,
- API Hooking II: Volatility,
- Rozwiązanie wyzwania: Forensic Challenge 2010 - Banking Troubles,
- Odczytywanie plików z filecache,
Network Forensic
Analiza systemu plików, odzyskiwanie danych, skuteczne czyszczenie
Inne ciakawostki
...i pewnie więcej tego jest
Wpisów o tego typu tematyce jest więcej. Zastanawiam się nad wprowadzeniem tagowania wpisów tak, by znalezienie tych dotyczących konkretnej tematyki, było łatwiejsze. Z drugiej strony z natury jestem leniwy i podejrzewam, że do odpowiedniego tagowania wpisów nie będę się w stanie zmusić. Myślałem nawet o napisaniu skryptu, który w oparciu o treść wpisów będzie generował listę tych "podobnych", lub w jakiś sposób automatycznie je tagował. Jak widać na razie idea nie została wcielona w życie :)
