Paweł Goleń, blog

Jeśli po mojej prezentacji na dzisiejszym spotkaniu OWASP kogoś zainteresował temat ogólnie pojętego forensic , być może zainteresują go również starsze wpisy dotyczące tego tematu. Nazbierało się tego trochę, więc małe przypomnienie części z poruszanych tematów.

Druga sprawa – zdaję sobie sprawę, że na prezentacji wiele tematów poruszyłem bardzo pobieżnie, nie wdając się w szczegóły. Nie pokazałem wszystkich informacji, które można było uzyskać z tego zrzutu ruchu sieciowego, nie do końca również wdawałem się w szczegóły techniczne dotyczące tego, jak niektóre informacje były uzyskane. Być może kilka wyjaśnień znajdzie się w kolejnych wpisach na blogu. Jeśli ktoś z Was ma jakieś pytania, czekam. Ja już widzę kilka tematów, które będę chciał rozwinąć.

I jeszcze jedna sprawa. Gratuluję Kamilowi Reszczykowi rozwiązania mini-konkursu. Niech koszulka dobrze się nosi :) Jednocześnie przepraszam tych z Was, których maile z rozwiązaniem nie dotarły. Proszę o przesłanie ich jeszcze raz, tym razem na pawel.golen na gmail. Rozwiązania opublikuję, może uda się również jakąś drugą turę w sensie gadżetów przeprowadzić. A ja spróbuję ustalić, dlaczego Wasze maile do mnie nie dotarły.

Tamagotchi

Cykl kilku wpisów, w których opisuję polowanie na malware i jego analizę (statyczną, behawioralną), analizę ruchu sieciowego, śladów zostawionych w systemie plików, (...)

• Tamagotchi I: łowienie zwierzyny,
• Tamagotchi II: konkurs piękności,
• Tamagotchi III: pokaż ząbki,
• Tamagotchi IV: złota klatka,
• Tamagotchi V: niuch niuch,
• Tamagotchi VI: co widać na żywo,
• Tamagotchi VII: wróżby z FuSów,
• Tamagotchi VIII: rejestr,
• Tamagotchi IX: zmienione pliki,
• Tamagotchi X: logi,
• Tamagotchi XI: zagubione pliki,
• Tamagotchi XII: Process Monitor,
• Tamagotchi XIII: brakujące ogniwo,
• Tamagotchi XIV: Logexts,

Do tego kilka tematów pobocznych, które przy tworzeniu powyższych wpisów się pojawiły:

• Error opening event log (...) The event log file is corrupted,
• $I30, czyli pliki, których (już) nie ma,
• Stary log, nowe narzędzie,

Analiza pamięci fizycznej

Ilość śladów pozostawionych w pamięci RAM jest duża, jedyny problem, to te ślady znaleźć. Pomagają w tym narzędzia takie jak Memoryze albo Volatility.

• Pamięć do pliku, czyli jak żyć bez \Device\PhysicalMemory,
• Prosty sposób na zrzucenie pamięci procesów użytkownika (w XP),
• Memoryze i (nowy) AuditViewer,
• Obcych procesów nie musi być,
• Znajdowanie wstrzykniętego kodu,
• Wstrzyknięty kod II: debugger,
• Wykrywanie API hooking,
• API Hooking II: Volatility,
• Rozwiązanie wyzwania: Forensic Challenge 2010 – Banking Troubles,
• Odczytywanie plików z filecache,

Network Forensic

• Mały network forensic,
• Puzzle #2: Ann Skips Bail,

Analiza systemu plików, odzyskiwanie danych, skuteczne czyszczenie

• Zaoszczędź 190 PLN, czyli o odzyskiwaniu danych,
• sdelete, cipher, rmdir – eksperyment raz jeszcze,
• Szybkość czyszczenia dysku z użyciem dd,

Inne ciakawostki

• Tajemnicza płytka, czyli nie mogę przeczytać książki normalnie,
• Płytka raz jeszcze – timestampy,

...i pewnie więcej tego jest

Wpisów o tego typu tematyce jest więcej. Zastanawiam się nad wprowadzeniem tagowania wpisów tak, by znalezienie tych dotyczących konkretnej tematyki, było łatwiejsze. Z drugiej strony z natury jestem leniwy i podejrzewam, że do odpowiedniego tagowania wpisów nie będę się w stanie zmusić. Myślałem nawet o napisaniu skryptu, który w oparciu o treść wpisów będzie generował listę tych “podobnych”, lub w jakiś sposób automatycznie je tagował. Jak widać na razie idea nie została wcielona w życie :)

Oryginał tego wpisu dostępny jest pod adresem W temacie forensic trochę wpisów się uzbierało...

Autor: Paweł Goleń