Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00076 012554 13632211 na godz. na dobę w sumie
Informatyka śledcza. Przewodnik po narzędziach open source - ebook/pdf
Informatyka śledcza. Przewodnik po narzędziach open source - ebook/pdf
Autor: , Liczba stron: 320
Wydawca: Helion Język publikacji: polski
ISBN: 978-83-246-9565-2 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> hacking >> inne
Porównaj ceny (książka, ebook, audiobook).

Informatyka śledcza w najlepszym wydaniu!

Współczesne systemy informatyczne przetwarzają gigantyczne ilości bezcennych danych. Numery kart płatniczych, przelewy bankowe, historie pacjentów to tylko niektóre z nich. Ich zniszczenie lub kradzież to niewyobrażalne straty, za które winni muszą zostać ukarani. Dlatego coraz większą popularność zdobywa nowa gałąź nauki — informatyka śledcza. Jej celem jest dostarczenie dowodów przestępstw popełnionych w cyfrowym świecie.

Jeżeli chcesz poznać tę dziedzinę, to trafiłeś na doskonałą książkę. Dowiesz się z niej, jak wykorzystać darmowe narzędzia do analizy zawartości dysków twardych oraz odzyskiwania usuniętych danych w systemach operacyjnych Windows, Linux oraz MacOS X. Ponadto nauczysz się rozpoznawać w systemie te miejsca, w których można znaleźć informacje na temat aktywności użytkowników Internetu, oraz zobaczysz, jak uzyskać dostęp do skrzynek pocztowych. Na sam koniec nauczysz się automatyzować najczęściej wykonywane zadania. Książka ta jest doskonałą lekturą dla pasjonatów bezpieczeństwa systemów informatycznych.

Dzięki tej książce:

Twoja przepustka do świata informatyki śledczej!

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Tytuł oryginału: Digital Forensics with Open Source Tools Tłumaczenie: Grzegorz Kowalczyk ISBN: 978-83-246-9562-1 Syngressis an imprint of Elsevier 225 Wyman Street, Waltham, MA 02451, USA © 2011 Elsevier, Inc. All rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording, or any information storage and retrieval system, without permission in writing from the publisher.This book and the individual contributions contained in it are protected under copyright by the Publisher (other than as may be noted herein). This edition of Digital Forensics with Open Source Tools by Cory Altheide and Harlan Carvey is published by arrangement with ELSEVIER INC., a Delaware corporation having its principal place of business at 360 Park Avenue South, New York, NY 10010, USA. Translation copyright © 2014 Helion SA Wszelkie prawa zastrzeżone. Nieautoryzowane rozpowszechnianie całości lub fragmentu niniejszej publikacji w jakiejkolwiek postaci jest zabronione. Wykonywanie kopii metodą kserograficzną, fotograficzną, a także kopiowanie książki na nośniku filmowym, magnetycznym lub innym powoduje naruszenie praw autorskich niniejszej publikacji. Wszystkie znaki występujące w tekście są zastrzeżonymi znakami firmowymi bądź towarowymi ich właścicieli. Autor oraz Wydawnictwo HELION dołożyli wszelkich starań, by zawarte w tej książce informacje były kompletne i rzetelne. Nie bierze jednak żadnej odpowiedzialności ani za ich wykorzystanie, ani za związane z tym ewentualne naruszenie praw patentowych lub autorskich. Wydawnictwo HELION nie ponosi również żadnej odpowiedzialności za ewentualne szkody wynikłe z wykorzystania informacji zawartych w książce. Wydawnictwo HELION ul. Kościuszki 1c, 44-100 GLIWICE tel. 32 231 22 19, 32 230 98 63 e-mail: helion@helion.pl WWW: http://helion.pl (księgarnia internetowa, katalog książek) Pliki z przykładami omawianymi w książce można znaleźć pod adresem: ftp://ftp.helion.pl/przyklady/infsle.zip Drogi Czytelniku! Jeżeli chcesz ocenić tę książkę, zajrzyj pod adres http://helion.pl/user/opinie/infsle Możesz tam wpisać swoje uwagi, spostrzeżenia, recenzję. Printed in Poland. • Kup książkę • Poleć książkę • Oceń książkę • Księgarnia internetowa • Lubię to! » Nasza społeczność Spis tre(cid:258)ci O autorach ............................................................................................................................................ 9 Podzi(cid:218)kowania ................................................................................................................................... 11 Wprowadzenie .................................................................................................................................... 13 ROZDZIA(cid:146) 1. Informatyka (cid:258)ledcza i narz(cid:218)dzia typu open source .................................................... 17 Wprowadzenie ................................................................................................................................17 Czym jest informatyka śledcza? ...................................................................................................18 Cele dochodzeń informatyki śledczej ...................................................................................19 Proces cyfrowej analizy śledczej .............................................................................................20 Czym jest open source? .................................................................................................................21 Oprogramowanie darmowe a otwarte ..................................................................................22 Licencje open source ...............................................................................................................22 Zalety korzystania z oprogramowania open source ..................................................................23 Edukacja ....................................................................................................................................23 Przenośność i elastyczność .....................................................................................................24 Cena ...........................................................................................................................................24 Inne zalety .................................................................................................................................25 Podsumowanie ...............................................................................................................................26 Bibliografia ......................................................................................................................................26 ROZDZIA(cid:146) 2. Platforma robocza typu open source .......................................................................... 27 Przygotowanie stanowiska badawczego ......................................................................................27 Budowanie pakietów oprogramowania ................................................................................27 Instalowanie interpreterów ....................................................................................................28 Praca z binarnymi obrazami nośników danych ..................................................................28 Praca z systemami plików .......................................................................................................29 Stacja robocza z systemem Linux .................................................................................................29 Rozpakowywanie pakietów oprogramowania .....................................................................30 Pakiet GNU Build System .......................................................................................................31 Systemy kontroli wersji pakietów oprogramowania ...........................................................35 Instalowanie interpreterów ....................................................................................................36 Praca z binarnymi obrazami nośników danych ..................................................................38 Stacja robocza z systemem Windows ..........................................................................................46 Budowanie pakietów oprogramowania ................................................................................47 Instalowanie interpreterów ....................................................................................................49 Kup książkęPoleć książkę 4 Informatyka (cid:258)ledcza. Przewodnik po narz(cid:218)dziach open source Praca z binarnymi obrazami nośników danych ..................................................................52 Praca z systemami plików .......................................................................................................56 Podsumowanie ...............................................................................................................................58 Bibliografia ......................................................................................................................................59 ROZDZIA(cid:146) 3. Analiza zawarto(cid:258)ci dysku i systemu plików ................................................................61 Analiza zawartości nośników danych — pojęcia podstawowe ................................................61 Abstrakcyjny model systemu plików ....................................................................................62 Pakiet The Sleuth Kit .....................................................................................................................64 Instalowanie pakietu The Sleuth Kit .....................................................................................65 Narzędzia pakietu ....................................................................................................................66 Podział na partycje i konfiguracja dysków .................................................................................77 Identyfikacja i odtwarzanie partycji ......................................................................................78 Macierze RAID .........................................................................................................................79 Kontenery specjalne .......................................................................................................................80 Obrazy dysków maszyn wirtualnych ....................................................................................80 Kontenery obrazów binarnych ..............................................................................................81 Haszowanie .....................................................................................................................................83 Data carving — odzyskiwanie danych z niealokowanej przestrzeni nośnika danych ..........85 Foremost ...................................................................................................................................86 Tworzenie binarnych kopii nośników danych ...........................................................................88 Skasowane dane .......................................................................................................................89 File slack — niewykorzystana przestrzeń na końcu pliku ..................................................90 Polecenie dd ..............................................................................................................................92 Polecenie dcfldd .......................................................................................................................94 Polecenie dc3dd .......................................................................................................................95 Podsumowanie ...............................................................................................................................96 Bibliografia ......................................................................................................................................96 ROZDZIA(cid:146) 4. Systemy plików i artefakty w systemie Windows ........................................................97 Wprowadzenie ................................................................................................................................97 Systemy plików obsługiwane w systemie Windows ..................................................................97 System plików FAT ..................................................................................................................98 System plików NTFS ...............................................................................................................99 Systemy plików — podsumowanie ......................................................................................107 Rejestr ............................................................................................................................................107 Dzienniki zdarzeń ........................................................................................................................114 Pliki prefetch .................................................................................................................................118 Pliki skrótów .................................................................................................................................120 Pliki wykonywalne .......................................................................................................................121 Podsumowanie .............................................................................................................................125 Bibliografia ....................................................................................................................................125 Kup książkęPoleć książkę Spis tre(cid:258) ci 5 ROZDZIA(cid:146) 5. Systemy plików i artefakty w systemie Linux ............................................................ 127 Wprowadzenie ..............................................................................................................................127 Systemy plików obsługiwane w systemie Linux ......................................................................127 Warstwa systemu plików ......................................................................................................129 Warstwa nazw plików ...........................................................................................................132 Warstwa metadanych ............................................................................................................134 Warstwa jednostek danych ...................................................................................................136 Narzędzia księgujące .............................................................................................................136 Skasowane dane .....................................................................................................................137 Menedżer dysków logicznych systemu Linux ....................................................................137 Proces uruchamiania systemu Linux i jego usług ...................................................................138 System V ..................................................................................................................................139 BSD ..........................................................................................................................................141 Organizacja systemu Linux i artefakty ......................................................................................141 Partycjonowanie .....................................................................................................................141 Hierarchia systemu plików ...................................................................................................141 Pojęcie właściciela plików oraz prawa dostępu do plików ...............................................141 Atrybuty plików .....................................................................................................................143 Pliki ukryte ..............................................................................................................................143 Katalog /tmp ...........................................................................................................................144 Konta użytkowników ...................................................................................................................144 Katalogi domowe użytkowników ..............................................................................................147 Historia poleceń powłoki ......................................................................................................149 SSH ...........................................................................................................................................149 Artefakty menedżera okien środowiska GNOME ............................................................150 Logi (dzienniki zdarzeń) .............................................................................................................152 Logi aktywności użytkownika ..............................................................................................152 Syslog .......................................................................................................................................153 Przetwarzanie logów z poziomu wiersza poleceń konsoli ...............................................155 Zaplanowane zadania ..................................................................................................................158 Podsumowanie .............................................................................................................................158 Bibliografia ....................................................................................................................................158 ROZDZIA(cid:146) 6. Systemy plików i artefakty w systemie Mac OS X ...................................................... 159 Wprowadzenie ..............................................................................................................................159 Artefakty systemu plików w Mac OS X .....................................................................................159 Podstawowe struktury systemu HFS+ ................................................................................160 Artefakty systemu operacyjnego Mac OS X .............................................................................166 Pliki .plist .................................................................................................................................167 Bundles ....................................................................................................................................167 Uruchamianie systemu i usług .............................................................................................168 Rozszerzenia jądra systemu — kexts ...................................................................................169 Konfiguracja połączeń sieciowych .......................................................................................169 Kup książkęPoleć książkę 6 Informatyka (cid:258)ledcza. Przewodnik po narz(cid:218)dziach open source Ukryte katalogi .......................................................................................................................171 Zainstalowane aplikacje ........................................................................................................171 Pliki wymiany i hibernacji ....................................................................................................171 Dzienniki systemowe .............................................................................................................171 Artefakty związane z aktywnością użytkownika w Mac OS X ...............................................172 Katalogi domowe użytkowników ........................................................................................173 Podsumowanie .............................................................................................................................181 Bibliografia ....................................................................................................................................181 ROZDZIA(cid:146) 7. Artefakty internetowe ..................................................................................................183 Wprowadzenie ..............................................................................................................................183 Artefakty przeglądarek sieciowych ............................................................................................183 Przeglądarka Internet Explorer ............................................................................................184 Przeglądarka Firefox ..............................................................................................................188 Przeglądarka Chrome ............................................................................................................196 Przeglądarka Safari ................................................................................................................199 Artefakty poczty elektronicznej .................................................................................................203 Pliki PST ..................................................................................................................................204 Formaty mbox i maildir ........................................................................................................206 Podsumowanie .............................................................................................................................210 Bibliografia ....................................................................................................................................210 ROZDZIA(cid:146) 8. Analiza plików .............................................................................................................211 Podstawowe zagadnienia analizy plików ..................................................................................211 Identyfikacja zawartości plików ...........................................................................................212 Analiza zawartości plików ....................................................................................................214 Wyodrębnianie metadanych ................................................................................................216 Zdjęcia i inne pliki graficzne .......................................................................................................218 Pliki w formacie JPEG ...........................................................................................................221 Pliki w formacie GIF ..............................................................................................................228 Pliki w formacie PNG ............................................................................................................229 Pliki w formacie TIFF ............................................................................................................229 Pliki audio .....................................................................................................................................230 Pliki w formacie WAV ..........................................................................................................230 Pliki w formacie MPEG-3/MP3 ...........................................................................................230 Pliki w formacie MPEG-4 Audio (AAC/M4A) .................................................................231 Pliki w formacie ASF/WMA ................................................................................................233 Pliki wideo .....................................................................................................................................234 Pliki w formatach MPEG-1 i MPEG-2 ...............................................................................234 Pliki w formacie MPEG-4 Video (MP4) .............................................................................234 Pliki w formacie AVI .............................................................................................................235 Pliki w formacie ASF/WMV ................................................................................................236 Pliki w formacie MOV (Quicktime) ...................................................................................236 Pliki w formacie MKV ...........................................................................................................237 Kup książkęPoleć książkę Spis tre(cid:258) ci 7 Pliki archiwum .............................................................................................................................237 Pliki w formacie ZIP ..............................................................................................................238 Pliki w formacie RAR ............................................................................................................239 Pliki w formacie 7-zip ...........................................................................................................240 Pliki w formatach TAR, GZIP oraz BZIP2 .........................................................................241 Pliki dokumentów ........................................................................................................................242 Dokumenty pakietu Office (OLE Compound Files) .........................................................242 Dokumenty pakietu Office w formacie Open XML ..........................................................247 Pliki w formacie ODF (OpenDocument Format) .............................................................250 Pliki w formacie RTF (Rich Text Format) ..........................................................................251 Pliki w formacie PDF ............................................................................................................252 Podsumowanie .............................................................................................................................255 Bibliografia ....................................................................................................................................256 ROZDZIA(cid:146) 9. Automatyzacja procesów analizy (cid:258)ledczej ................................................................ 257 Wprowadzenie ..............................................................................................................................257 Graficzne środowiska wspomagające analizę śledczą .............................................................257 PyFLAG ...................................................................................................................................258 DFF — Digital Forensics Framework .................................................................................268 Automatyzacja procesu identyfikacji i wyodrębniania artefaktów .......................................278 Pakiet fiwalk ............................................................................................................................278 Chronologia zdarzeń ...................................................................................................................280 Względne znaczniki czasu ....................................................................................................283 Pośrednie znaczniki czasu ....................................................................................................285 Osadzone znaczniki czasu ....................................................................................................287 Periodyczność .........................................................................................................................288 Częstość występowania i zdarzenia LFO ............................................................................289 Podsumowanie .............................................................................................................................291 Bibliografia ....................................................................................................................................292 DODATEK A. Inne bezp(cid:239)atne narz(cid:218)dzia wspomagaj(cid:200)ce analiz(cid:218) (cid:258)ledcz(cid:200) i pow(cid:239)amaniow(cid:200) ........... 293 Wprowadzenie ..............................................................................................................................293 Rozdział 3. Analiza zawartości dysku i systemu plików .........................................................294 FTK Imager .............................................................................................................................294 ProDiscover Free ....................................................................................................................295 Rozdział 4. Artefakty systemu Windows ..................................................................................296 Windows File Analyzer .........................................................................................................296 Event Log Explorer ................................................................................................................297 LogParser ................................................................................................................................298 Rozdział 7. Artefakty internetowe .............................................................................................299 Narzędzia Nira Sorfera (Nirsoft) .........................................................................................299 Narzędzia Woanware ............................................................................................................300 Kup książkęPoleć książkę 8 Informatyka (cid:258)ledcza. Przewodnik po narz(cid:218)dziach open source Rozdział 8. Analiza plików ..........................................................................................................300 Structured Storage Viewer ....................................................................................................301 Offvis ........................................................................................................................................301 FileInsight ................................................................................................................................303 Rozdział 9. Automatyzacja procesów wyodrębniania i analizy artefaktów .........................303 Highlighter ..............................................................................................................................303 CaseNotes ................................................................................................................................304 Weryfikacja narzędzi i źródła testowych kopii binarnych .....................................................306 Digital Corpora ......................................................................................................................306 Kolekcja obrazów binarnych DFTT Images ......................................................................307 Electronic Discovery Reference Model ...............................................................................307 Digital Forensics Research Workshop ................................................................................307 Inne źródła binarnych obrazów nośników danych ...........................................................307 Bibliografia ....................................................................................................................................308 Skorowidz .........................................................................................................................................309 Kup książkęPoleć książkę Analiza zawarto(cid:258)ci dysku i systemu plików ROZDZIA(cid:146) 3 W TYM ROZDZIALE: (cid:120) Podstawowe pojęcia związane z analizą nośników danych (cid:120) Pakiet The Sleuth Kit (cid:120) Podział na partycje i konfiguracja dysków (cid:120) Kontenery specjalne (cid:120) Haszowanie (cid:120) Data carving — wyszukiwanie i odzyskiwanie danych z niealokowanej przestrzeni no- śnika danych (cid:120) Tworzenie binarnych kopii nośników danych ANALIZA ZAWARTO(cid:165)CI NO(cid:165)NIKÓW DANYCH — POJ(cid:125)CIA PODSTAWOWE W największym uproszczeniu możemy powiedzieć, że informatyk śledczy zajmuje się analizą plików zapisanych na różnego rodzaju nośnikach danych — mogą to być pliki skasowane przez użytkownika, pliki znajdujące się w folderach, pliki osadzone w innych plikach czy pliki zapisane w takich czy innych kontenerach plików. Zadaniem analizy nośników danych jest identyfikacja, przetwarzanie i analiza zawartości takich plików, jak również analiza samych systemów plików (ang. file systems), w których takie pliki są przechowywane. Proces identyfi- kacji obejmuje między innymi określenie, jakie pliki, zarówno istniejące, jak i skasowane, są zapisane na danym nośniku danych. Przetwarzanie to proces pozwalający na wyszukiwanie i pozyskiwanie z plików odpowiednich danych i metadanych mających znaczenie dla bie- żącej ekspertyzy śledczej. Wreszcie ostatni etap, analiza, to proces, w którym informatyk śledczy poddaje analizie zgromadzone dane, stara się znaleźć pomiędzy nimi powiązania i wyciągnąć odpowiednie wnioski, potwierdzające lub odrzucające założoną hipotezę. Zwróć uwagę, że opisane powyżej etapy postępowania nie mają charakteru dyskretne- go, a wręcz przeciwnie, w praktyce bardzo często zdarza się, że dana operacja nie daje się jednoznacznie zakwalifikować — na przykład carving, czyli wyszukiwanie i odzyskiwanie danych z niealokowanej przestrzeni nośnika danych, może być traktowany zarówno jako Kup książkęPoleć książkę 62 Rozdzia(cid:239) 3 identyfikacja, jak i przetwarzanie danych. Niezależnie jednak od tego wydaje nam się, że podział przedstawiony powyżej dobrze oddaje charakter pracy informatyków śledczych i wyjaśnia, dlaczego wykonują takie czy inne operacje. W tym rozdziale skoncentrujemy się przede wszystkim na operacjach związanych z iden- tyfikacją i pozyskiwaniem artefaktów przechowywanych w systemach plików oraz wydobywa- niem informacji o plikach. Nie znajdziesz tutaj zatem opisów znaczenia samych artefaktów związanych z plikami i systemami plików, ponieważ będziemy się nimi szczegółowo zajmować w rozdziałach od 4. do 8. Należy tutaj jednak zaznaczyć, że pomimo iż tematy związane z analizą śledczą systemów plików to jedne z najważniejszych zagadnień dla każdego informatyka śledczego, to jed- nak szczegółowe omawianie wszystkich możliwych artefaktów i niuansów poszczególnych systemów plików zdecydowanie wykraczałoby daleko poza ramy tej książki. Jeżeli jesteś zainteresowany poszerzeniem swojej wiedzy w tym zakresie, to zdecydowanie polecamy lektu- rę doskonałej książki Briana Carriera, zatytułowanej File System Forensic Analysis [1], która jest jedną z najlepszych książek omawiających zagadnienia analizy śledczej systemów plików. Abstrakcyjny model systemu plików We wspomnianej w poprzednim podrozdziale książce File System Forensic Analysis autor przedstawia abstrakcyjny model systemu plików, który może być wykorzystywany do opisy- wania poszczególnych mechanizmów systemów plików i generowanych przez nie artefaktów. Czytelnicy posiadający pewną wiedzę w zakresie sieci komputerowych z pewnością zauważą tutaj pewne podobieństwo do modelu OSI, wykorzystywanego do opisywania systemów ko- munikacyjnych. Model systemu plików opisywany przez Briana Carriera wygląda następująco (patrząc od najniższej warstwy do najwyższej): (cid:120) Dysk Termin dysk (ang. disk) odnosi się do fizycznego urządzenia będącego nośnikiem da- nych, takiego jak na przykład dysk twardy SCSI czy SATA, karta pamięci z aparatu cy- frowego czy przenośna pamięć USB. Analiza na tym poziomie znajduje się zazwyczaj daleko poza zasięgiem większości analityków — przeprowadzanie analizy nośników fi- zycznych (na przykład „talerzy” w dyskach twardych) wymaga bardzo specjalistycznej wiedzy, dostępu do specjalnie przygotowanych, sterylnych pomieszczeń oraz bardzo drogiego, specjalistycznego sprzętu, takiego jak mikroskopy elektronowe. Z drugiej strony jednak, gwałtownie rosnąca popularność przenośnych pamięci USB i dysków SSD (ang. Solid State Disk) powoduje, że analiza nośników na tym poziomie przestaje być tylko i wyłącznie domeną wąskiego grona specjalistów. (cid:120) Wolumin Wolumin (ang. volume) jest tworzony z wykorzystaniem całości lub części jednego lub więcej dysków. Pojedynczy dysk może zawierać wiele woluminów, ale równie dobrze jeden wolumin może rozciągać się na kilka dysków; wszystko zależy od konfiguracji Kup książkęPoleć książkę Analiza zawarto(cid:258)ci dysku i systemu plików 63 danego systemu. Bardzo często wymiennie z terminem wolumin używany jest termin partycja, choć w swojej książce Brian Carrier rozgranicza te dwa pojęcia: partycja jest ograniczona do jednego fizycznego dysku, a wolumin to kolekcja składająca się z jednej lub więcej partycji. Krótko mówiąc, wolumin opisuje liczbę sektorów na dysku (lub dyskach) w danym systemie. Na rysunku 3.1 przedstawiamy uproszczony schemat przedstawiający dysk i utworzone na nim woluminy. RYSUNEK 3.1. Dysk i woluminy (cid:120) System plików (cid:120) System plików (ang. file system) jest zapisany na woluminie i opisuje przechowywane w nim pliki oraz powiązane z nimi metadane. Na warstwie systemu plików możesz również znaleźć takie elementy jak metadane specyficzne dla danego typu systemu plików i wykorzystywane wyłącznie do zapewnienia jego poprawnego działania — dobrym przykładem mogą być tzw. superbloki (ang. superblocks) występujące w systemie Ext2. Jednostka danych Jednostka danych (ang. Data Unit) to najmniejszy niezależny blok danych dostępny w danym systemie plików. W rozwiązaniach wywodzących się z systemu UNIX takie jednostki danych noszą nazwę bloków (ang. blocks). Takie bloki danych mają zazwyczaj rozmiar będący wielokrotnością rozmiaru pojedynczego sektora. Jeszcze nie tak dawno temu sektory na dyskach miały rozmiar 512 bajtów, ale we współczesnych systemach plików najmniejsze adresowalne jednostki danych mają rozmiar 4096 bajtów (4 kB) lub więcej. Informacje dostępne na tej warstwie modelu systemu plików są proste — jest to zawartość poszczególnych jednostek danych. Na przykład jeżeli wybrana jednost- ka danych jest przypisana do zdjęcia w formacie JPEG, to taka jednostka danych prze- chowuje fragment danych obrazu w formacie JPEG. Jeżeli wybrana jednostka danych jest przypisana do pliku tekstowego, to po prostu przechowuje fragment zawartości ta- kiego pliku. Kup książkęPoleć książkę 64 Rozdzia(cid:239) 3 (cid:120) Metadane Metadane (ang. metadata) to po prostu dane opisujące inne dane. Jeżeli przyjmiemy, że warstwa jednostek danych w systemie plików przechowuje dane, to na warstwie metada- nych przechowywane są dane opisujące poszczególne jednostki danych. W rozwiązaniach wywodzących się z systemu UNIX takie jednostki metadanych są nazywane i-węzłami (ang. inodes). Dokładna zawartość jednostek metadanych zależy od rodzaju systemu plików, ale ogólnie rzecz biorąc, dane przechowywane w tej warstwie reprezentują ta- kie elementy jak znaczniki czasu poszczególnych plików, informacje o właścicielach plików czy lista jednostek danych alokowanych do poszczególnych jednostek metada- nych. W kolejnych podrozdziałach będziemy bardziej szczegółowo omawiać poszcze- gólne artefakty dla różnych systemów plików. (cid:120) Nazwa pliku Nazwa pliku to warstwa, na której działa użytkownik. Nie będzie chyba dla nikogo zasko- czeniem, jeżeli napiszemy, że na tej warstwie przechowywane są nazwy plików i katalogów. Podobnie jak w poprzednich przypadkach liczba i rodzaje artefaktów dostępnych dla tej warstwy zmieniają się w zależności od systemu plików. Niezależnie jednak od systemu plików nazwa pliku powinna mieć przypisany wskaźnik prowadzący do odpowiadającej jej struktury metadanych. Ponieważ przedstawiony abstrakcyjny model systemu plików został zbudowany z myślą o systemach plików wywodzących się z rodziny UNIX, niektóre z jego elementów nie do końca odpowiadają projektom systemów plików na innych platformach. Nie zmienia to jed- nak w niczym faktu, że dobre poznanie budowy i działania tego modelu jest niezbędnym warunkiem do zrozumienia wagi i znaczenia artefaktów, jakie występują w dowolnym systemie plików. PAKIET THE SLEUTH KIT Artefakty systemu plików będziemy przetwarzać za pomocą pakietu The Sleuth Kit (http:// www.sleuthkit.org/). Jest to zestaw narzędzi przeznaczonych do analizy śledczej, napisany przez Briana Carriera jako zaktualizowana wersja starszego pakietu The Coroner’s Toolkit (TCT). Pakiet TCT był dedykowany przeprowadzaniu analizy śledczej systemów wywo- dzących się z rodziny UNIX. Posiadał ogromne możliwości, ale niestety nie był również pozbawiony wad, takich jak brak możliwości działania w innych systemach czy brak wsparcia dla systemów plików innych niż uniksowe. Brian Carrier zaprojektował nowy pakiet tak, aby można go było używać w różnych systemach i rozszerzać jego funkcjonal- ność za pomocą wtyczek, dzięki czemu The Sleuth Kit stał się bardzo wygodnym i uży- tecznym narzędziem dla szerokiej rzeszy informatyków śledczych. Kup książkęPoleć książkę Analiza zawarto(cid:258)ci dysku i systemu plików 65 Instalowanie pakietu The Sleuth Kit Pakiet The Sleuth Kit posiada wbudowaną obsługę binarnych obrazów dysków typu RAW (jedno- i wieloplikowych), ale po zaimportowaniu odpowiednich mechanizmów z biblio- tek LibEWF oraz AFFLib (o których pisaliśmy w rozdziale 2.) potrafi obsługiwać również inne formaty. Warto zauważyć, że dla systemu Ubuntu istnieje gotowa, prekompilowana wersja tego pakietu, którą możemy zainstalować za pośrednictwem menedżera pakietów tego systemu. Pobranie kodu źródłowego i samodzielne skompilowanie programu po- zwoli Ci jednak na znaczące zredukowanie liczby pośredników, którzy byli zaangażowani w przygotowanie binarnej, wykonywalnej wersji pakietu. Samodzielna kompilacja gwa- rantuje również, że będziesz korzystał z najnowszych wersji podstawowych narzędzi i bi- bliotek, ponieważ repozytoria prekompilowanych pakietów nie zawsze są aktualizowane na bieżąco. Zwróć uwagę, że po uruchomieniu skryptu konfiguracyjnego pakietu The Sleuth Kit (.\configure) powinieneś w końcowej części wyników działania zobaczyć następujące wiersze informacji: checking afflib/afflib.h usability... yes checking afflib/afflib.h presence... yes checking for afflib/afflib.h... yes checking for af_open in -lafflib... yes checking libewf.h usability... yes checking libewf.h presence... yes checking for libewf.h... yes checking for libewf_open in -lewf... yes configure: creating ./config.status Wyświetlenie takich komunikatów potwierdza, że biblioteki LibEWF oraz AFFLib są zainstalowane poprawnie i zostaną użyte przez pakiet The Sleuth Kit. Po zakończeniu przygotowania konfiguracji pakietu możesz dokończyć proces instalacji, wykonując najpierw polecenie make, a następnie polecenie sudo make install. Po zakończeniu działania tych poleceń pakiet The Sleuth Kit składający się z szeregu narzędzi konsolowych będzie zainstalowany w Twoim systemie. OSTRZE(cid:191)ENIE MASZ UPRAWNIENIA U(cid:191)YTKOWNIKA ROOT? Je(cid:285)eli chcesz u(cid:285)y(cid:202) pakietu The Sleuth Kit do przeprowadzenia analizy zawarto(cid:258)ci dysku do(cid:239)(cid:200)czonego do Twojego systemu (zamiast analizy binarnego obrazu takiego dysku), pami(cid:218)taj, (cid:285)e b(cid:218)dziesz potrzebowa(cid:239) uprawnie(cid:241) u(cid:285)ytkownika root. Mo(cid:285)esz to osi(cid:200)gn(cid:200)(cid:202), prze(cid:239)(cid:200)czaj(cid:200)c konsol(cid:218) za pomoc(cid:200) polecenia su – lub uruchamiaj(cid:200)c proces instalacji za pomoc(cid:200) polecenia sudo, tak jak to robili(cid:258)my w rozdziale 2. Kup książkęPoleć książkę 66 Rozdzia(cid:239) 3 Narz(cid:218)dzia pakietu Poznanie zastosowania i sposobu działania 21 poleceń konsolowych wchodzących w skład pakietu The Sleuth Kit może się wydawać ogromnym wyzwaniem, zwłaszcza jeżeli nie przywykłeś do pracy z konsolą systemu. Poszczególne polecenia posiadają jednak logicz- nie dobrane nazwy wskazujące warstwę systemu plików, na której pracują, oraz rodzaj da- nych wyjściowych, których możesz oczekiwać po ich uruchomieniu. Ponieważ pakiet wy- wodzi się z systemów rodziny UNIX, to użytkownikom mającym doświadczenie w pracy z konsolą systemu Linux przyjęta konwencja nazw będzie się wydawała oczywista. W nazwach poszczególnych narzędzi pakietu The Sleuth Kit pojawiają się wspólne fs- (cid:127) to narzędzia działające na strukturach systemu plików. prefiksy wskazujące warstwę modelu systemu plików, na której działa dane narzędzie: (cid:120) mm- (cid:127) to narzędzia pracujące na woluminach dysków (ang. media management). (cid:120) (cid:120) blk- (cid:127) to narzędzia pracujące na warstwie jednostek danych (warstwie „bloków” danych). (cid:120) (cid:120) i- (cid:127) to narzędzia działające na warstwie metadanych (warstwa i-węzłów). f- (cid:127) to narzędzia przeznaczone do działania na warstwie nazw plików. Istnieją jednak dwie dodatkowe warstwy systemu plików, które nie mają swoich bez- pośrednich odpowiedników w przedstawionym wcześniej abstrakcyjnym modelu: (cid:120) (cid:120) j- (cid:127) narzędzia do pracy z dziennikami systemu plików. img- (cid:127) narzędzia przeznaczone do pracy z plikami binarnych kopii nośników danych. Oprócz wymienionych wyżej prefiksów w nazwach poleceń pakietu The Sleuth Kit znaj- dziesz również szereg sufiksów, które wskazują na rolę poszczególnych narzędzi i rodzaj wyników ich działania: (cid:120) -stat (cid:127) narzędzia, które wyświetlają ogólne informacje o danym elemencie; podobne do polecenia stat w systemach uniksowych. -ls (cid:127) narzędzia, które wyświetlają zawartość danej warstwy; podobne do polecenia ls w systemach uniksowych. -cat (cid:127) narzędzia, które pozwalają na pozyskanie zawartości danej warstwy; podobne do polecenia cat w systemach uniksowych. Oprócz narzędzi, których nazwy są zgodne z przedstawioną wyżej konwencją, w pakie- cie The Sleuth Kit znajdziesz również kilka narzędzi, których nazwy nie mają z tą kon- wencją nic wspólnego. Takie narzędzia zostały opisane w podrozdziale zatytułowanym „Inne narzędzia pakietu The Sleuth Kit”. Aby pokazać zastosowania pakietu The Sleuth Kit, przejdziemy teraz przez kolejne warstwy modelu systemu plików i opiszemy wszystkie narzędzia występujące na poszcze- gólnych warstwach. Dodatkowo szczegółowo omówimy sposób działania najważniejszych narzędzi i opiszemy wyniki ich działania na przykładzie systemu plików Ext3. (cid:120) (cid:120) Kup książkęPoleć książkę Analiza zawarto(cid:258)ci dysku i systemu plików 67 UWAGA NARZ(cid:125)DZIA WARSTWY DYSKU W PAKIECIE THE SLEUTH KIT W bie(cid:285)(cid:200)cej wersji pakietu The Sleuth Kit nie ma (cid:285)adnych narz(cid:218)dzi dzia(cid:239)aj(cid:200)cych na warstwie dysku. Poniewa(cid:285) The Sleuth Kit jest pakietem przeznaczonym do analizy (cid:258)ledczej systemów plików, brak takich narz(cid:218)dzi nie powinien by(cid:202) (cid:285)adnym zaskoczeniem. Warto jednak zauwa(cid:285)y(cid:202), (cid:285)e w wersjach pakietu starszych ni(cid:285) 3.1.0 mo(cid:285)na by(cid:239)o znale(cid:283)(cid:202) dwa narz(cid:218)dzia dzia(cid:239)aj(cid:200)ce na warstwie dysku, które do tej pory mo(cid:285)esz odnale(cid:283)(cid:202) w niektórych starszych dystrybucjach Live CD (cid:258)ledczych wersji systemu Linux. Pierwsze z tych polece(cid:241), disk_stat, wy(cid:258)wietla(cid:239)o informacje o tym, czy dany dysk posiada tzw. obszar HPA (Host Protected Area). Zastosowanie HPA to jedna z metod pozwalaj(cid:200)cych na sztuczne ograniczenie liczby sektorów dysku, które mog(cid:200) by(cid:202) zaadresowane przez system operacyjny. Drugie polecenie, disk_sreset, pozwala(cid:239)o na tymczasowe usuni(cid:218)cie ustawie(cid:241) obszaru HPA z dysku. Taka operacja mia(cid:239)a charakter ulotny — domy(cid:258)lne ustawienia obszaru HPA by(cid:239)y automatycznie przywracane po wy(cid:239)(cid:200)czeniu i ponownym w(cid:239)(cid:200)czeniu zasilania dysku. Tymczasowe usuni(cid:218)cie ustawie(cid:241) obszaru HPA za pomoc(cid:200) polecenia disk_sreset pozwala(cid:239)o na utworzenie pe(cid:239)nej kopii binarnej zawarto(cid:258)ci dysku, w tym zawarto(cid:258)ci obszaru, która w normalnych okoliczno(cid:258)ciach by(cid:239)a chroniona. Inn(cid:200) metod(cid:200) ograniczenia liczby sektorów widocznych dla systemu operacyjnego jest zastosowanie tzw. obszaru DCO (Device Configuration Overlay). Oba obszary, HPA i DCO, mog(cid:200) by(cid:202) wykryte i usuni(cid:218)te za pomoc(cid:200) narz(cid:218)dzia hdparm, które jest domy(cid:258)lnie wbudowane w zdecydowanej wi(cid:218)kszo(cid:258)ci wspó(cid:239)czesnych dystrybucji systemu Linux. Opisy innych narz(cid:218)dzi niezwi(cid:200)zanych z pakietem The Sleuth Kit, które dzia(cid:239)aj(cid:200) na warstwie dysku, znajdziesz w podrozdziale „Tworzenie binarnych kopii no(cid:258)ników danych” w dalszej cz(cid:218)(cid:258)ci tego rozdzia(cid:239)u. Narz(cid:218)dzia warstwy woluminu Polecenie mmstat wyświetla typ woluminu wykorzystywany w badanym dysku lub binarnym obrazie nośnika danych. Polecenie mmls analizuje i wyświetla informacje o strukturach zarządzających danymi prze- chowywanymi na dysku lub w obrazie binarnym (np. tablice partycji). Warto zauważyć, że w przeciwieństwie do polecenia fdisk polecenie mmls wyświetla również informacje na temat przestrzeni niealokowanej, znajdującej się przed, po lub pomiędzy woluminami. Poniżej przedstawiamy przykład działania takiego polecenia na obrazie pobranym z witry- ny Digital Forensics Tool Testing (http://dftt.sourceforge.net/). user@forensics:~$ mmls 10-ntfs-disk.dd DOS Partition Table Offset Sector: 0 Units are in 512-byte sectors Slot Start End Length Description 00: Meta 0000000000 0000000000 0000000001 Primary Table (#0) 01: ----- 0000000000 0000000062 0000000063 Unallocated 02: 00:00 0000000063 0000096389 0000096327 NTFS (0x07) 03: 00:01 0000096390 0000192779 0000096390 NTFS (0x07) 04: ----- 0000192780 0000192783 0000000004 Unallocated Kup książkęPoleć książkę 68 Rozdzia(cid:239) 3 Jak łatwo zauważyć, partycja podstawowa rozpoczyna się w pierwszym sektorze dysku, a na dysku możemy wyróżnić dwa woluminy — pierwszy rozciąga się od sektora 63 do sektora 96389, a drugi zajmuje sektory od 96390 do 192779. Ponadto wyniki działania polecenia mmls jasno wskazują, że na dysku, za końcem drugiego woluminu, znajdują się jeszcze cztery, niealokowane, dodatkowe sektory (oprócz standardowej, niealokowanej przestrzeni o rozmiarze 63 sektorów, znajdującej się przed pierwszym woluminem dysku). Kolejną ważną zaletą używania polecenia mmls zamiast narzędzi takich jak fdisk jest to, że mmls wyświetla offsety poszczególnych woluminów w postaci liczby 512-bajtowych sektorów. Wartość offsetu wskazującego początek woluminu do analizy może być następ- nie bezpośrednio przekazana do innych poleceń pakietu The Sleuth Kit, działających na wyższych warstwach modelu systemu plików. Polecenie mmcat przesyła zawartość wskazanego woluminu na standardowe wyjście STDOUT (domyślnie jest to konsola). Możesz to wykorzystać do pozyskania zawartości interesującego Cię woluminu i jego dalszej analizy przy użyciu innych narzędzi, które nie potrafią działać bezpośrednio na danej kopii binarnej lub dysku. Narz(cid:218)dzia warstwy systemu plików Polecenie fsstat wyświetla informacje o systemie plików. Rodzaje wyświetlanych informacji mogą się różnić w zależności od badanego systemu plików, ale zazwyczaj w wynikach działania tego polecenia znajdziesz takie informacje jak nazwy woluminów, rozmiar jednostek danych oraz informacje statystyczne o systemie plików. Poniżej przedstawiamy przykła- dowe wyniki działania tego polecenia dla systemu plików Ext3. Więcej szczegółowych in- formacji na temat analizy systemu plików Ext3 znajdziesz w rozdziale 5. user@forensics:~$ fsstat ubnist1.casper-rw.gen3.aff FILE SYSTEM INFORMATION --------------------------------------------------- File System Type: Ext3 Volume Name: Volume ID: 9935811771d9768b49417b0b3b881787 Last Written at: Tue Jan 6 10:59:33 2009 Last Checked at: Sun Dec 28 12:37:56 2008 Last Mounted at: Tue Jan 6 10:59:33 2009 Unmounted properly Last mounted on: Source OS: Linux Dynamic Structure Compat Features: Journal, Ext Attributes, Resize Inode, Dir Index InCompat Features: Filetype, Needs Recovery, Read Only Compat Features: Sparse Super, Has Large Files, Journal ID: 00 Journal Inode: 8 Jak widać na tym nieco okrojonym przykładzie, wykonanie polecenia fsstat dostarczyło podstawowych informacji o systemie plików, w tym danych, które mogą mieć kluczowe Kup książkęPoleć książkę Analiza zawarto(cid:258)ci dysku i systemu plików 69 znaczenie dla prowadzonego dochodzenia, takich jak data i czas ostatniego zapisu czy data i czas ostatniego zamontowania systemu plików. Poza kilkoma informacjami ogólnymi rodzaj danych wyświetlanych przez polecenie fsstat jest bardzo mocno uzależniony od typu badanego systemu plików. W przypadku systemu plików Ext3 polecenie to wyświetla sze- reg informacji na temat metadanych i innych struktur danych znajdujących się na dysku: METADATA INFORMATION --------------------------------------------------- Inode Range: 1 - 38401 Root Directory: 2 Free Inodes: 36976 Orphan Inodes: 35, 20, 17, 16, CONTENT INFORMATION --------------------------------------------------- Block Range: 0 - 153599 Block Size: 4096 Free Blocks: 85287 ... Zwróć uwagę na fakt, że jedną z wyświetlanych informacji jest rozmiar bloku danych wykorzystywany w tym systemie plików. Jest to niezmiernie ważna i przydatna informa- cja, zwłaszcza jeżeli chcesz wyszukiwać i pozyskiwać informacje z niealokowanych prze- strzeni dysku. Narz(cid:218)dzia warstwy jednostek danych Polecenie blkstat wyświetla informacje o wskazanej jednostce danych. Ogólnie rzecz bio- rąc, znajdziesz tutaj status alokacji takiej jednostki danych, choć w przypadku systemów plików rodziny Ext dodatkowo wyświetlane są również informacje o grupie bloków, do której przypisana jest badana jednostka danych. user@forensics:~$ blkstat ubnist1.casper-rw.gen3.aff 521 Fragment: 521 Allocated Group: 0 Polecenie blkls wyświetla szczegółowe informacje o jednostkach danych, ale może być również wykorzystywane do pozyskania zawartości całego niealokowanego obszaru danych z systemu plików. Taka możliwość może być bardzo użyteczna na przykład w sytuacji, kiedy chcesz wyszukiwać i odzyskiwać dane z niealokowanej przestrzeni dysku. W przykładzie przedstawionym poniżej polecenie blkstat zostało użyte do pozyskania zawartości całej, niealokowanej przestrzeni systemu plików z binarnego obrazu nośnika danych i zapisania jej w pliku na dysku. user@forensics:~$ blkls ubnist1.casper-rw.gen3.aff ubnist1.casper-rw.gen3.unalloc user@forensics:~$ ls -lath ubnist1.casper-rw.gen3.unalloc -rw-r----- 1 cory eng 331M Sep 2 20:36 ubnist1.casper-rw.gen3.unalloc Kup książkęPoleć książkę 70 Rozdzia(cid:239) 3 Wykonanie polecenia blkstat powoduje przesłanie strumienia danych z niealokowa- nej przestrzeni systemu plików na standardowe wyjście polecenia (STDOUT). Efekt koń- cowy takiej operacji jest bardzo zbliżony do użycia polecenia dd do odczytywania i zapi- sywania określonego bloku danych. W kolejnym przykładzie użyjemy polecenia blkcat do pozyskania zawartości bloku danych o numerze 521, która następnie zostanie wyświetlona na ekranie za pomocą przeglądarki danych binarnych xxd (polecenie to jest częścią pakietu edytora vim, który jest domyślnie instalowany w zdecydowanej większości dystrybucji systemu Linux). user@forensics:~$ blkcat ubnist1.casper-rw.gen3.aff 521 | xxd | head 0000000: 0200 0000 0c00 0102 2e00 0000 0200 0000 ......... 0000010: 0c00 0202 2e2e 0000 0b00 0000 1400 0a02 ......... 0000020: 6c6f 7374 2b66 6f75 6e64 0000 0c00 0000 lost+found..... 0000030: 1400 0c01 2e77 682e 2e77 682e 6175 6673 ......wh..wh.aufs 0000040: 011e 0000 1400 0c02 2e77 682e 2e77 682e .........wh..wh. 0000050: 706c 6e6b 015a 0000 1400 0c02 2e77 682e plnk.Z......wh. 0000060: 2e77 682e 2e74 6d70 021e 0000 0c00 0402 .wh..tmp....... 0000070: 726f 6673 025a 0000 0c00 0302 6574 6300 rofs.Z.....etc. 0000080: 045a 0000 1000 0502 6364 726f 6d00 0000 .Z...cdrom...... 0000090: 031e 0000 0c00 0302 7661 7200 013c 0000 ......var.. .. Polecenie blkcalc jest wykorzystywane do analizy pliku niealokowanej przestrzeni systemu plików, który został utworzony za pomocą polecenia blkls. Dzięki poleceniu blkcalc mo- żemy sprawdzić, w którym miejscu oryginalnego systemu plików znajduje się określony blok danych z pliku zawierającego zrzut niealokowanej przestrzeni systemu plików. Jest to bardzo przydatne zwłaszcza w sytuacji, kiedy w pliku zawierającym zrzut niealokowanej przestrzeni systemu plików znajdziesz dane istotne dla prowadzonego dochodzenia (ciąg znaków, plik czy inny artefakt) i chcesz odnaleźć lokalizację takiego elementu w oryginal- nym systemie plików. Narz(cid:218)dzia warstwy metadanych Polecenie istat wyświetla informacje o wskazanej strukturze metadanych. W praktyce pole- cenie to wyświetla wszystkie informacje znajdujące się w danej strukturze metadanych (na przykład informacje o właścicielu, znaczniki daty i czasu, informacje o alokacji bloków itp.). Jak zwykle rodzaj i ilość wyświetlanych informacji zależy w dużej mierze od typu badanego systemu plików. Więcej szczegółowych informacji na temat poszczególnych typów syste- mów plików znajdziesz w kolejnych rozdziałach tej książki. Poniżej przedstawiamy przykładowe wyniki działania polecenia istat, które zostało użyte do wyświetlenia informacji o i-węźle numer 20, znajdującym się w naszym testo- wym systemie plików Ext3. W wynikach działania możemy znaleźć informacje spotykane w większości innych systemów plików, takie jak status alokacji, informacje o właścicielu, roz- miarze czy znaczniki daty i czasu. Adresy jednostek danych i-węzłów są również często spoty- kane, ale różne systemy plików wykorzystują je w różny sposób, o czym napiszemy jeszcze nieco później. Kup książkęPoleć książkę Analiza zawarto(cid:258)ci dysku i systemu plików 71 user@forensics:~$ istat ubnist1.casper-rw.gen3.aff 20 inode: 20 Allocated Group: 0 Generation Id: 96054594 uid / gid: 0 / 0 mode: rrw-r—r— size: 123600 num of links: 0 Inode Times: Accessed: Tue Jan 6 10:59:33 2009 File Modified: Wed Jan 7 07:59:47 2009 Inode Modified: Wed Jan 7 07:59:47 2009 Deleted: Wed Dec 31 16:00:17 1969 Direct Blocks: 28680 0 0 0 0 0 0 28681 0 0 0 0 0 0 0 28683 0 0 0 0 0 0 28684 0 0 0 0 0 0 0 28685 Indirect Blocks: 28682 Polecenie ils wyświetla struktury metadanych oraz ich zawartość, łącznie z osadzo- nymi znacznikami daty i czasu, informacjami o właścicielu itp. Jest to jedno z poleceń, którego możesz użyć do utworzenia tak zwanego pliku bodyfile, który za pomocą polecenia mactime możesz przekonwertować do formatu pozwalającego na analizę zdarzeń w osi czasu (ang. timeline) — patrz podrozdział „Inne narzędzia pakietu The Sleuth Kit”. Analiza zdarzeń w osi czasu jest jednym z kluczowych elementów podczas prowadzenia analizy śledczej; więcej szczegółowych informacji na ten temat znajdziesz w rozdziale 9. Jak można się łatwo zorientować po liczbie dostępnych argumentów wywołania, każdy analityk może dostosować sposób działania polecenia ils oraz ilość wyświetlanych informacji do własnych potrzeb. user@forensics:~$ ils Missing image name usage: ils [-emOpvV] [-aAlLzZ] [-f fstype] [-i imgtype] [-b dev_sector_size] (cid:180)[-o imgoffset] [-s seconds] image [images] [inum[-end]] -e: Display all inodes -m: Display output in the mactime format -O: Display inodes that are unallocated, but were still open (UFS/ExtX only) -p: Display orphan inodes (unallocated with no file name) -s seconds: Time skew of original machine (in seconds) -a: Allocated inodes -A: Unallocated inodes -l: Linked inodes -L: Unlinked inodes -z: Unused inodes (ctime is 0) -Z: Used inodes (ctime is not 0) -i imgtype: The format of the image file (use -i list for supported types) Kup książkęPoleć książkę 72 Rozdzia(cid:239) 3 -b dev_sector_size: The size (in bytes) of the device sectors -f fstype: File system type (use -f list for supported types) -o imgoffset: The offset of the file system in the image (in sectors) -v: verbose output to stderr -V: Display version number Na przykład jeżeli chcesz wyświetlić listę wszystkich i-węzłów, które są alokowane lub któ- re były już kiedyś użyte, możesz to zrobić, dodając w wierszu wywołania polecenia opcje –a oraz –Z: user@forensics:~$ ils -aZ ubnist1.casper-rw.gen3.aff ... st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_crtime|st_mode| (cid:180)st_nlink|st_size 1|a|0|0|1230496676|1230496676|1230496676|0|0|0|0 2|a|0|0|1231268373|1230496676|1231268373|0|755|15|4096 7|a|0|0|1230496676|1230496676|1230496676|0|600|1|4299210752 8|a|0|0|1230496679|0|1230496679|0|600|1|16777216 11|a|0|0|1230496676|1230496676|1230496676|0|700|2|16384 12|a|0|0|1230469846|1230469846|1231311252|0|444|19|0 13|a|0|0|1230615881|1225321841|1230615881|0|755|9|4096 ... Polecenie icat przesyła zawartość jednostki danych wskazanej przez adres struktury meta- danych podany jako argument wywołania polecenia. Na przykład jeżeli plik file1.txt wska- zuje na i-węzeł 20, który z kolei wskazuje na bloki danych o numerach 30, 31 i 32, to wykona- nie polecenia icat {plik-obrazu} 20 będzie miało taki sam efekt jak wykonanie polecenia car file1.txt na zamontowanym systemie plików. Polecenie ifind wyszukuje strukturę metadanych powiązaną z podaną nazwę pliku lub strukturę metadanych powiązaną z jednostką danych o podanym adresie. Na przykład aby znaleźć i-węzeł, do którego przypisany jest blok danych o numerze 28680, powinieneś wy- konać następujące polecenie: user@forensics:~$ ifind -d 28680 ubnist1.casper-rw.gen3.aff 20 Narz(cid:218)dzia warstwy nazw plików Polecenie fls wyświetla listę nazw plików (skasowanych i alokowanych). Domyślnie polecenie nie przechodzi przez całą strukturę systemu plików, stąd na ekranie pojawi się tylko zawartość głównego katalogu badanego woluminu. Jest to jedno z poleceń, które możesz wykorzy- stać do utworzenia pliku bodyfile, który za pomocą polecenia mactime możesz przekon- wertować do formatu pozwalającego na analizę zdarzeń w osi czasu (ang. timeline) — patrz podrozdział „Inne narzędzia pakietu The Sleuth Kit”. Wykonanie prostego polecenia fls {plik-obrazu} spowoduje wyświetlenie na ekranie zawartości głównego katalogu systemu plików. user@forensics:~$ fls ubnist1.casper-rw.gen3.aff d/d 11: lost+found Kup książkęPoleć książkę Analiza zawarto(cid:258)ci dysku i systemu plików 73 r/r 12: .wh..wh.aufs d/d 7681: .wh..wh.plnk d/d 23041: .wh..wh..tmp d/d 7682: rofs d/d 23042: etc d/d 23044: cdrom d/d 7683: var d/d 15361: home d/d 30721: tmp d/d 30722: lib d/d 15377: usr d/d 7712: sbin d/d 13: root r/r * 35(realloc): .aufs.xino d/d 38401: $OrphanFiles Zwróć uwagę, że w wierszu opisującym plik .aufs.xino znajduje się symbol gwiazdki — oznacza to, że taki plik jest skasowany. Dodatkowo słowo kluczowe realloc oznacza, że i-węzeł przypisany początkowo do tego pliku został już realokowany do innego pliku. Na stronach podręcznika man polecenia fls znajdziesz szczegółowy opis szeregu innych opcji wywołania tego polecenia. Poniżej przedstawiamy zestaw najważniejszych opcji wy- korzystywanych w trybie interaktywnym: -d: Wy(cid:286)wietla tylko skasowane pliki -l: Wy(cid:286)wietla szczegó(cid:225)owe informacje o plikach (podobnie jak polecenie ls -l) -m: Wy(cid:286)wietla wyniki w formacie mactime z zachowaniem punktu montowania -p: Wy(cid:286)wietla pe(cid:225)n(cid:261) (cid:286)cie(cid:298)k(cid:266) dla ka(cid:298)dego pliku -r: Wy(cid:286)wietla zawarto(cid:286)(cid:252) podkatalogów -u: Wy(cid:286)wietla tylko istniej(cid:261)ce pliki -z: Pozwala na ustawienie strefy czasowej oryginalnego komputera (np. EST5EDT czy GMT); (cid:180)opcja jest u(cid:298)yteczna tylko w po(cid:225)(cid:261)czeniu z opcj(cid:261) -l -s liczba_sekund: Przesuni(cid:266)cie czasu dla oryginalnego komputera (w sekundach); (cid:180)opcja jest u(cid:298)yteczna tylko w po(cid:225)(cid:261)czeniu z opcjami -l i -m Zwróć uwagę, że opcja –z pozwalająca na zdefiniowanie strefy czasowej nie ma żadnego znaczenia, jeżeli jednocześnie używasz opcji –m
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Informatyka śledcza. Przewodnik po narzędziach open source
Autor:
,

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: