Adverteren naar het onderwerp...

Dagelijks heb ik een aantal vaste sites die ik langsloop. Tegenwoordig kan je daarbij geholpen worden door je "eigen" startpagina, iGoogle. Vandaag zag ik bij de nieuwsitems op FOK!frontpage die ik vanuit mijn iGoogle aanklikte een artikel over een vrouw die door een onbekende man voor de trein is geduwd. Diep triest dat dit soort dingen gebeuren. Echter worden de pagina's van FOK ook gevuld met advertenties. Van de Google advertenties weten we dat deze gerelateerd zijn aan de website waarop ze staan, maar dat het soms ook averechts kan werken toont de onderstaande afbeelding aan.



In dit geval geen "gerelateerde" advertentie van Google, maar wel een advertentie van Ditzo, een verzekeringsmaatschappij. In het flashfilmpje wordt een nietsvermoedende man platgewalst door een sloopkogel. De advertenties worden weliswaar random onder de artikelen gezet, maar het lijkt mij dat deze niet helemaal gepast is...

Daarnaast kan je je afvragen in hoeverre op deze manier adverteren effectief is. Op het moment dat je de advertentie aanklikt,zal bij een aantal mensen de informatiebalk tevoorschijn komen met de melding dat er een pop-up geblokkeerd is.



De mensen die dan toch nog de advertentie willen zien kunnen vervolgens de informatiebalk aanklikken, waarna ze kunnen kiezen voor pop-ups tijdelijk toestaan...



Helaas zal de pagina zich dan verversen. Grote kans dat de random gekozen advertentie pas weer verschijnt nadat de pagina meerdere malen is ververst. In mijn test duurde het in 1 geval wel 20x voordat de betreffende advertentie weer verscheen. Helaas... na het aanklikken van de advertentie verscheen weer de informatiebalk waarin ik de pop-up tijdelijk toe kan staan. Natuurlijk kan ik kiezen voor de andere optie "pop-ups van deze website altijd toestaan", maar wil ik dat wel? Hiermee zadel ik mijzelf op met ongewenste popups van deze "toegestane" website. Daarnaast loop ik het risico dat de beveiliging van mijn pc aangetast wordt. Het ging mij tenslotte alleen maar om die ene advertentie en niet die honderden anderen...

Challenge yourself...

everybody goes on about reading, yes reading articles is important, but it is much better if you try and find it out yourself through experiments, you may find something nobody has discovered yet, because you didn't just follow what somebody wrote and you approached it with an open mind.

"take the stairs instead of the elevator"

its a metaphorical statement for finding something out. if you enter a building and need to go up you look for the stairs or elevator. imagine as you learn you rise up.

you could take the elevator, this will take you up the quickest. all you have to do is find the right one and push a button. however you may miss something in your apparent rapid ascent and not understand how you got there.

the alternative is the stairs. it will take you longer to get there and will require more time and effort. however each step will build on the previous ones, giving you a solid foundation to higher levels. you may also notice some interesting things on the way.

there is another way. do not rise, let the rise descend to you. this can by done by changing your reality so that you believe you are further up. if you believe it strongly enough it will "appear" to be no different from actually being there. if you can also change nearby entities' realities then they will think you are on their level. however it is a pretence and could be adverse if sustained for time. there is no subsitute for true first person experience.

thus the "mini challanges" were formed. simple and not so simple tasks for you to try. there is no race or rank and you are not graded on how you do. it is up to you to do the best you can.the challanges

use a resource hacker to modify an image and text string of a program.

save a file to your hard drive - delete it (also in recycle bin) using windows (not secure 3rd party delete) and then recover it using an undelete program or hex editor.

setup a test webserver to be accessed either on your local network or the internet, include ftp/ssh for user account upload. setup .htaccess on a folder. run a server sided script like asp/php/pl.

install a (smallish) program and record all of its file and registry entries and modifications.

tryout a different shell for your operating system.

setup a 2kpro box(no other bootable partitions or boot.ini edited) with ntfs - bios(pwd protected) set to boot from harddrive. set a (short) admin password and shutdown. get local admin access without using your memory of the password. findout what the password was.

backup a dvd and cd you own to divx (audio/video synced) and mp3 respectfully.

make a usable crosslinked piece of network cable.

hide a file/some data (atleast 512kb) somewhere on your hard drive.

crack a (shortish) des/md5 password with john the ripper.

check your email (not webmail) and send a message using telnet.

use a packet capturing program to see what information is exchanged when you connect to a website, when you check your email.

install/use pgp and exchange signed/encrypted email with a friend.

findout the manufactures, model numbers and main specifications of the major components in your computer.

signup for a shell account and try/use some of the services.

send a spoofed arp reply to a remote computer

do a trace on a domain name, find the ip, find out all the connections to get there, who is it hosted by, who was it registered by and under which accredited registrar.

compile some code into an exe, either written by you or somebody else, if the latter modify the code slightly, to add/remove/optimize a feature.

connect to an irc server and use/learn at least 10 /commands.

write a couple of html or wap web pages including images using a text editor. if html, include the style and script tags.

browse the internet using a/multiple proxy(s).

use nmap(nt) to do a scan on a remote computer.

install a rule based firewall - delete all default rules and write your own. test your security with an online scanner and/or local network scans.

install a linux distro either on a clean disk or dual boot.

Let op wat u print...

De GHDB, oftewel de Google Hacking Database (http://johnny.ihackstuff.com/ghdb.php), is een aardige bron om eens een avondje aan te besteden. Er staan zoekopdrachten voor Google in die wat andere resultaten geven dan die je normaal gesproken kan verwachten. Alhoewel er al een aardig aantal queries in de database zijn terug te vinden, is deze natuurlijk nooit volledig. Hieronder mijn bevindingen met betrekking tot een querie die nog niet in de GHDB staat, maar er ongetwijfeld vroeg of laat in zal komen.

De opdracht “web/user/nl/websys” levert 2 resultaten op. Eventueel kan nl veranderd worden in een andere landcode om meer resultaten te krijgen.



De twee links in dit geval wijzen beide naar hetzelfde IP adres. Het aanklikken van deze link brengt je naar een pagina die afkomstig is van een printer of multifunctional. Door het adres aan te passen, en alleen het ip adres te laten staan kom je op de frontpage terecht.



Zonder in te hoeven loggen kunnen diverse opties van de IS 2127 bekeken worden. De opties onder de tab “> Opdr. -> Printer -> Historie” Laten zien dat er actief gebruik wordt gemaakt van deze machine.



Toch wel nieuwsgierig geworden welke instantie zijn machines op deze wijze aan het internet heeft gekoppeld, heb ik een scan uitgevoerd op de iprange. Dit levert het volgende op:



Klaarblijkelijk betreft het hier de UvA, oftewel de Universiteit van Amsterdam. Sommige ip adressen leveren interessante gegevens op. Gegevens die je niet open en bloot op het internet wil zetten. Via de optie Document Server kunnen opgeslagen gegevens worden opgevraagd zonder op het apparaat in te hoeven loggen. Faxen, kopieen en prints blijven soms langer bestaan dan wenselijk is. Een aantal van deze apparaten beschikt namelijk over een harddisk. Organisaties schaffen deze machines aan vanwege het efficiente gebruik, echter wordt vaak vergeten dat ze afgeconfigureerd moeten worden nadat ze ook zijn neergezet...

De CERT van de Universiteit van Amsterdam is inmiddels geinformeerd. Uit de reactie van Jeroen Roodhart, lid van het CERT team, blijkt wel dat het inderdaad niet de bedoeling is geweest: "Dank voor uw melding, hiervoor is een call aangemaakt met call-id CERT-UvA#001255. Dit kan inderdaad niet de bedoeling zijn en wij zullen zo snel mogelijk deze misconfiguratie verhelpen."

The Recycle Bin

The Recycle Bin
Functionality is straightforward. It was developed as a way to throw things away without really losing them because they didn't really mean to throw it away.

Similar to regular file deletion, the OS makes the file invisible to the original directory but it won't zero out the cluster chain. It adds a directory entry to the Recycle Bin directory and renames the file. If you delete John.jpg, you'll now have a df000010.jpg in the trash can that is associated with the name John.jpg and the path f:/My Pictures/Yadda/Yadda/John.jpg.

From a forensics perspective, it is obvious that stuff gets into the trash can because the user put it there. On Windows Me/9x machines, the trash can is a community dump. All accounts on a machine share a single trash can. This is a big security problem because you can have something you don't want someone else to see and in the community trash can anybody with an account on the machine can get to it.

On later Windows boxes, you can tell which trash can is whose by looking in the SAM file.

INFO2 Structure
"Deleted" file path
"Deleted" file index number
"Deleted" file drive location
"Deleted" file date and time
"Deleted" file physical size

The recycle bin tracks only user deleted files. It does not track stuff that the OS deletes, such as temporary Internet files and deleting things with a shift-click.

The trash can doesn't hold stuff deleted from removable media or networks. The time stamps will be "machine active time bias" relative.

FAT vs. NTFS Recycle Bins

FAT: 280 byte INFO2 records and all users on the machine can access filesNTFS: 800 byte INFO2 records and the bin is user-specific based on SID.

The recycle bin has its own Master File Table record for deleted files. FTK is able to show that a file has been removed from the bin and all of the INFO2 data for removed files.

When an item is removed from the file, it's not possible to tell whether it was deleted from the bin or moved back out of the bin. Both actions have the same result as far as the Recycle Bin is concerned.

The date an item is moved into the recycle bin is a potentially powerful piece of evidence, and that informaiton is stored in the INFO2 data in the trash can.

Quote

If Sherlock Holmes were alive today, he would surely be a master of computer forensics...

Alarm Clock of Justice

The Alarm Clock of Justice wakes your computer from standby and hibernation to play an alarm consisting of movies, music, CDs, and/or running programs, scripts, batchfiles, and ANY type of file your computer knows how to run. Alarms can also include web addresses and a built-in reminder system can speak reminders with a customizable display (including flashing random colors). Volume effects include unmuting the volume, setting the volume to a certain level, random volume, and alternating the volume between two customizable levels for four customizable amounts of time.
Built in support for Windows Media Player is included, and used as a backup in case your regular media player reports an error. Waking from standby and hibernation is customizable with the amount of time to wake up from before your alarm plays, whether to enable "insomniac mode", and whether to play your alarm if your computer wakes up within a customizable amount of time (default: 60 seconds) of the alarm. It runs in the system tray and can optionally run at startup with a specific configuration. The time format is customizable (24 hour or 12 hour). Extensive tests are included to make sure your computer can wake from hibernation and standby. Configurations allow for unlimited alarms.OS: Windows 2000, Windows XP, Windows Vista, or (probably) higher. http://www.forrestheller.com/alarm2/

Turn on lightbulb with the Alarm Clock and a printer

used the Alarm Clock of Justice 2.0 to run an AutoHotKey script that made a printer print a file. The printer cartridges are connected to a string which is connected to a light switch. This video has very bad quality and editing.

http://www.forrestheller.com/light_bulb/

http://www.youtube.com/watch?v=LcjQyWV6xGI

CIPAV

In juni 2007 kreeg de FBI een officiële toelating van het Amerikaanse Federaal Hof om spyware te installeren op een aantal pc's om na te gaan wie achter de bom dreiging zat in een school niet ver van Olympia, Washington. De spyware wordt geïnstalleerd via e-mail en rapporteert de computer zijn IP adres, MAC adres, informatie van het register en updates welke IP adressen (websites) contact mee opnam. De FBI noemt de software een "computer and internet protocol address verifier," oftewel CIPAV. De vraag is nog steeds hoe de FBI langs de anti-virus en adaware software raakte. Hiervoor zouden twee logische antwoorden zijn: de FBI gebruikt een voorgedefinieerde achterpoort in het besturingssysteem of hebben een “deal” gesloten met security producenten. De spyware is enkel een dreiging voor Windows computers.


Het volledige rapport is hier te vinden. http://www.politechbot.com/docs/fbi.cipav.sanders.search.warrant.071607.pdf

Gnucitizen's GHDB

GNUCITIZEN is a creative hacker organization. So, what does that mean? Well, it means that everything on GNUCITIZEN is about creativity and hacking. It also means that the content and all projects released as part of the organization are written and developed by, guess what, creative hackers. Creativity and hacking are closely related terms and very often they can substitute each other, but we like to put them together just to stress our identity.

How does GNUCITIZEN differentiate from other hacker organizations? Although 99.9% of the content published under the GNUCITIZEN hat is mostly about security, we tackle hacking from many different angles. To hack something does not necessarily means to penetrate it security-wise. Hacking is a creative form of expressing ourselves in a clever way. GNUCITIZEN members fall back to IT security very often, since this is what we can do best. However, we have other creative project on the line as well. Currently we concentrate our efforts on the Web2.0 sphere. We find it a very fascinating thing to work on.

http://www.gnucitizen.org/projects/ghdb

GHDB (a.k.a. Google Hacking Database) is HTML/JavaScript wrapper application that uses advance JavaScript techniques to scrape information from Johnny’s Google Hacking Database without the need for hosted server side scripts.

In attempt to show the real dangers of AJAX APIs they’ve created a completely harmless interface to Johnny’s Google Hacking Database. Keep in mind that no service side scripts are required from the Gnucitizen side. Also, keep in mind that all they provide is a single HTML page with a few JavaScript files to glue the interface together.

Returnil Virtual System

http://www.returnilvirtualsystem.com/index.htm


Returnil Virtual System is a powerful technology that clones a copy of your System Partition in memory and can create a file based Virtual Partition where you can save documents, data, and files while using the System Protection feature. Returnil Virtual System protects your computer from harmful viruses, Spyware and unwanted programs, preserves your computer settings, and ensures your Internet Privacy. Simply restart your computer to erase all changes.


When the Returnil protection is ON, your Windows system is running on a virtual partition meaning that every single change in the system partition actually takes place in memory. Therefore, all data and modifications will be lost after your system reboots. By restarting you PC, Returnil will discard all attempted changes made to your System Partition while Protection is ON.

When the Returnil Protection is OFF, you can install or remove any programs, create documents, install security upgrades and software patches, alter configurations, and update user accounts. All changes in the system partition will remain following a reboot.

Features

The Returnil Virtual System:
> Keeps your System Partition safe when browsing the Internet
> Viruses, Trojans, Worms, Adware, Spyware, and unwanted content disappear with a simple reboot
> Enforces settings and protects your internet privacy
> Helps reduce overall disk wear by using memory rather than HDD cloning technology
> Saves you time, money, and lost hair by maintaining or improving peak computer performance
> Reduces or eliminates the need for routine disk de-fragmentation of your system partition
> Your spam filter is strong, but not infallible – Returnil will eliminate the consequences of opening infected e-mail and/or attachments
> Leaves absolutely no traces of computer activities
> Eliminates all activities even if your computer is powered-off or crashes
> Eliminates the danger of evaluating new software that does not require a reboot to install
> Offers stronger, simpler and smarter protection for your PC
> Seamless integration with supported Windows Operating Systems
> Easy to use, simple to configure, and the one tool in your arsenal that will be there to save the day when all else fails!

Hacker Evolution

http://www.exosyphen.net/site-hacker-evolution/HackerEvolution-GamePlayMovie.wmv

From the creators of a successful hacker games series (Digital Hazard, BS Hacker, etc) Hacker Evolution is a new hacking simulation game, featuring unparalleled graphics and features.You play the role of a former intelligence agent, specializing in computer security. When a chain of events sets off worldwide, leaving critical service disabled, you assume the role a computer hacker to find out what happened and attempt to stop it.When a stock market, a central bank, satellite uplink and transoceanic fiber optics links crash, you know this is more then a simple event. Something big is behind all this, and you have to figure out what is it.You hack into computers, look for exploits and information, steal money to buy hardware upgrades in an attempt to put all the pieces of a big puzzle, together.Set in a virtual operating system environment, the game is packed with all the features required to bring the hacker feeling and experience to every gamer.The concept behind Hacker Evolution is to create a game that challenges the gamer's intelligence, attention and focus, creating a captivating mind game. Solve puzzles, examine code and bits of information, to help you achieve your objectives.

Game features:
Modding capability to allow the creation of custom levels.
The included mod editor, allows you to create new game levels easily.
Multiple interface skins
Complex levels and gameplay to guarantee the best experience
Optional freelance jobs to offer more variety
Complex command console with over 20 commands and tools System requirements:

RBCFINANCE - Onze firma stelt u met grote vreugde de functie van de financiele medewerker voor.

Op dinsdag 3 april heb ik een zevental mails ontvangen met hetzelfde onderwerp: RBCFINANCE - Onze firma stelt u met grote vreugde de functie van de financiele medewerker voor. De mail bevatte dezelfde inhoud:

RBCFINANCE - Onze firma stelt u met grote vreugde de functie van de financiele medewerker voor.

Een beetje informatie over onze firma.
Onze firma werd in 1998 gesticht en neemt tegenwoordig een van de belangrijkste posities op het gebied van consulting, audit, brokers-diensten en financien.
Onze filialen zijn vertegenwoordigd in 9 landen, waaronder de meest belangrijke landen in West-Europa (Duitsland, Groot Brittanie, Frankrijk, Finland) alsmede de Verenigde Staten en Canada.
Elke medewerker van onze firma krijgt een opdracht, die hij (of zij) thuis kan doen.
Dat is dan het grootste voordeel van onze firma.
Met elk jaar groeit het aantal medewerkers van onze firma overal in de wereld.
De belangrijkste eigenschappen van onze firma zijn menselijkheid en wederzijds begrip.
De inkomen van onze firma worden steeds groter. En omdat het inkomen van de firma groeit, wordt het salaris van elke medewerker steeds hoger.
Vacatures, functies van de “Financiele medewerker”
De belangrijkste taak van zulke functionaris is snelle bewerking van financiele stromen van geldwissels. Wij stellen het hoge inkomenniveau voor alsmede het maken van de carriere in overeenstemming met behaalde resultaten.
Als u bij onze firma begint te werken kunt u 8.000 euro per maand verdienen plus 5% van elk door u bewerkte geldbedrag.
Indien u als “Financiele medewerker” bij onze firma werkt, krijgt u:
- Hoog salaris: 8000 euro + 5% (vervolgens kan uw salaries tot 30000 euro per maand stijgen)
- Arbeidsovereenkomst (op basis van wederzijds voordelige samenwerking)
- Vrijheid in de planning van uw eigen werk.
- Het maken van carriere en de stijging van uw salaris.
- Mogelijkheid om dit werk met uw full-time baan te combineren.
- Mogelijkheid om thuis via internet te werken
Eisen die gesteld worden aan de kandidaat:
- Vaardigheden op het gebied van planning en organisatie van de activiteiten.
- Mogelijkheid om 3 a 4 uur per dag te werken.
- Kennis van de PC, Internet, E-mail op het niveau van de gevorderde gebruiker.
- Meerderjarige leeftijd.
Als u daartoe bereid bent kunt u beginnen als Financiele mederwerker bij onze firma te werken.
U krijgt dan de mogelijkheid om snel een goede carriere te maken en een hoog salaris te krijgen. Veel medewerkers van ons team waren begonnen met hun werk bij onze firma per se als financiele medewerkers.
_________________________________________________________________________________________________________________________
Om een baantje bij onze firma te krijgen dient u het aanvraagformulier in te vullen door u persoonlijke gegevens daarin op te schrijven.
Het aanvraagformulier vindt u op http://9565701117.rbcfinance.hk/
Nadat u het aanvraagformulier hebt ingevuld, neemt onze operator contact met u binnen 10 uur vanaf het moment van het invullen door u een mail-bericht te sturen of telefonisch op het telefoonnummer dat u in het aanvraagformulier hebt ingeschreven.
Attentie:
Let u goed op bij het invullen van het aanvraagformulier.
___________________________________________________________________________________________________________________________________________
Met elk jaar groeit onze firma aanzienlijk en heeft steeds nieuwe medewerkers nodig.
Wij zijn altijd blij met nieuwe functionarissen.
Administratief personeel van RBCFINANCE.

Als je echter de bron van het document opvraagt, zie je bij de link voor het aanvraagformulier telkens een andere url:

http://96673.rbcfinance.hk
http://39300.rbcfinance.hk
http://50503.rbcfinance.hk
http://26243.rbcfinance.hk
http://2433682127.rbcfinance.hk
http://5275831150.rbcfinance.hk
http://9565701117.rbcfinance.hk

Hieruit is al op te maken dat er iets vreemds aan de hand is. Alhoewel de tekst in het Nederlands is geschreven, verwijzen deze links naar een .hk domein. HK is de extensie voor Hong Kong. Das niet goed...
RBC is inderdaad een bank. Deze bevindt zich echter in Canada en opereert onder de link www.rbc.com. RBC staat voor de "Royal Bank of Canada". Bovenstaande mail heeft in geen enkel opzicht iets te maken met deze bank. De naam wordt wel misbruikt voor het versturen van deze Nederlandstalige mail.

Met behulp van de domaincheck van CentralOps krijgen we de volgende informatie terug:
Domain Name: RBCFINANCE.HK
Contract Version: HKDNR latest version
Registrant Contact Information:
Holder English Name: ZAXIK KIKAX
Holder Chinese Name:
Email: gyhjs@safe-mail.net
Domain Name Commencement Date: 2007-03-30
Country: US
Expiry Date: 2008-03-30
Re-registration Status: Complete
Name of Registrar: HKDNR
Account Name: HK1857643T
Technical Contact:
First name: MILE
Last name: ROGERS
Company Name: ZAXIK KIKAX
Name Servers Information: NS1.NSGROLER.NET NS2.NSGROLER.NET

Harddisk investigations

De afgelopen weken heb ik voor enkele euro's wat harddisken opgekocht. Omdat werkelijk forensisch onderzoek van harddisken niet elke dag voorbij komt (althans in mijn branche), en het goed is om wat ervaring op te doen, leek het mij een goed idee om dat te doen op deze harddisken. Om de harddisken op een juiste wijze te kunnen onderzoeken hebben we natuurlijk bepaalde tools nodig. Om een harddisk aan te kunnen sluiten op de pc of laptop waar het forensisch onderzoek zal plaatsvinden kun je gebruik maken van een externe harddisk case. Deze kunnen meestal alleen maar 1 type harddisk aan, IDE of SATA. Je zult dus 2 verschillende cases moeten hebben. Een goed alternatief is een Kama Connect kabel. De kabel kan aangesloten worden op een USB poort, beschikt over zowel IDE als SATA aansluitingen EN de nodige stroomvoorziening, en omdat er niet gebruik wordt gemaakt van een kastje om de harddisk in te plaatsen is de kabel ook nog eens makkelijk mee te nemen. De prijs van het kabeltje is ongeveer 25 euro. Bij onderzoek van servers wordt het natuurlijk een heel ander verhaal, en zullen we een andere keer onder de loep nemen.

Elk onderzoek dat wordt uitgevoerd moet bij voorkeur plaatsvinden op een forensische kopie. Als je op de originele harddisk zelf gaat snuffelen loop je het risico bewijs te "beschadigen". Om een kopie te maken dien je te beschikken over een programma dat een bitstream kopie kan maken. Hiervoor zijn diverse programma's geschikt. Ik gebruik in dit geval FTK imager van Accessdata. FTK imager is te dowloaden van de site. Ze adviseren bij het imagen gebruik te maken van een hardwarematige writeblocker. Hiermee wordt ook weer voorkomen dat er bestanden worden aangepast op de originele schijf. Omdat ik op dit moment nog niet beschik over een hardwarematige writeblocker maak ik gebruik van een softwarematige writeblocker van Innovision. Een volledige versie is kosteloos te downloaden. Deze zorgt ervoor dat de USB poort alleen nog maar geschikt is om data te lezen en niets meer weg kan schrijven.

Schrijven
Voordat de schijf gekopieerd wordt beginnen we met een onderzoek van de uiterlijke kenmerken. Alle informatie dienen we op te schrijven, dus beginnen we met de buitenkant. Om alles gestructureerd te doen heb ik een formulier ontworpen. Dit formulier zorgt ervoor dat we in ieder geval elke keer weer dezelfde stappen ondernemen in ons onderzoek.

Sluit eerst de harddisk aan op de Kama Connect kabel.
NOG NIET AANSLUITEN OP DE USB POORT VAN DE PC/LAPTOP
Zet de stroom op de harddisk
Let op of de harddisk normaal spint of afwijkende geluiden maakt

Start op de pc/laptop eerst computerbeheer op. Zet het scherm op schijfbeheer. Hiermee kun je bij het aansluiten van de harddisk een goede indicatie krijgen over de status.

Nu kan de harddisk aangesloten worden op de USB poort.

De FTK Imager is makkelijk te bedienen.
File --> Create disk image
Selecteer "Physical Drive" --> volgende
Selecteer "\\.\PHYSICALDRIVE1 - ?????? USB Device(0 USB) --> voltooien (?=naam hd)
Add --> Raw(dd)--> volgende
Geef nu een plek op voor het image
Geef ook een naam op voor het image (geef het image een herkenbare naam)
Maak het vakje met 650 leeg (dit is voor als je naar cd wilt imagen)
Voltooien
Als je tijd genoeg hebt kun je de optie "Verify images after they are created" aan zetten. Hou er rekening mee dat dit het imageproces in tijd verdubbeld. Bij een oefenschijf niet nodig, maar bij een echt onderzoek wel!
Start

Afhankelijk van de status, de aanwezige hoeveelheid data en de grootte van de harddisk kan het imageproces enkele uren duren. Als de status "in orde" is zal het proces redelijk snel verlopen.



Na een succesvolle image gemaakt te hebben zie je drie bestanden:

- xxxxxxxxxx.001.csv filelist
- xxxxxxxxxx.001 image
- xxxxxxxxxx.001.txt summery oftewel informatiebestand

De originele harddisk kan nu worden verzegeld en opgeborgen.

De filelist kan ingelezen worden in excel en geeft een eerste goede indruk van de gevonden bestanden.

De summery kan worden uitgeprint en bij het onderzoeksrapport worden bewaard.

Information for C:\test:

Physical Evidentiary Item (Source) Information:
[Drive Geometry]
Cylinders: 524
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 8.421.840
[Physical Drive Information]
Drive Model: ST34313A USB Device
Drive Interface Type: USB
Source data size: 4112 MB
Sector count: 8421840
[Computed Hashes]
MD5 checksum: a59adc7befe74a5c2280b481e4503ee3
SHA1 checksum: 8ef93d21bf0c03734124b39540585b1345f13b7b

Image Information:
Segment list:
C:\test.001


De volgende stap is ook weer afhankelijk van de aanwezige tools. Het is gebruikelijk een extra kopie van de image te maken. Hiermee voorkom je dat je een nieuwe image moet maken van het origineel als de kopie tijdens het onderzoek corrupt zou raken.
De image die ik nu heb gemaakt met FTK imager kan ingelezen worden in verschillende programma's. Het zou echter prettig zijn om door het bestand te kunnen browsen. Door het bestand te mounten, en op die manier aan te koppelen als nieuwe driveletter, kan dat. We doen dat met het programma P2 eXplorer van Paraben.



De tijdens het imagen gemaakte cvs file bevat 48820 records. Deze bevatten de volgende informatie:
Filename, Full Path, Size, Created, Modified, Accessed, Is deleted
Hiermee kunnen we een goede indicatie krijgen van de aanwezige bestanden.

Vervolgens kijken we naar de gemounte schijf. Een eerste blik kan ons al veel vertellen.

Door de eigenschappen op te vragen zien we in dit geval:

capaciteit : 4.311.949.312 bytes (4.01 Gb)
gebruikt : 4.105.465.856 bytes (3.82 Gb)
beschikbaar : 206.483.456 bytes (196 Mb)

Een volle schijf dus...

De root:

--- Folder: E:\ ---
Name Size Type Changed
compaq [Folder] Bestandsmap 11-1-2006 8:09
Documents and Settings [Folder] Bestandsmap 23-11-2005 12:13
My Download Files [Folder] Bestandsmap 11-1-2006 8:09
My Downloads [Folder] Bestandsmap 2-3-2006 12:22
My Games [Folder] Bestandsmap 11-1-2006 8:05
Program Files [Folder] Bestandsmap 23-11-2005 9:30
Setup [Folder] Bestandsmap 11-1-2006 8:10
temp [Folder] Bestandsmap 23-1-2006 20:53
ustat [Folder] Bestandsmap 29-6-2005 14:58
WINDOWS [Folder] Bestandsmap 23-5-2006 9:51
AUTOEXEC.BAT 0 bytes MS-DOS-batchbestand 19-12-2004 2:18
Bc520rtl.dll 224,50 kB Toepassingsuitbreiding 25-3-1997 5:02
bds52.dll 90,51 kB Toepassingsuitbreiding 25-3-1997 5:02
Bivbx30.dll 103,50 kB Toepassingsuitbreiding 28-6-1996 15:25
CONFIG.SYS 0 bytes Systeembestand 19-12-2004 2:18
MsnHandWriting.dll 44,00 kB Toepassingsuitbreiding 1-2-2005 19:45
owl52.dll 1,06 MB Toepassingsuitbreiding 25-3-1997 5:02
PCM_rtl.dll 76,41 kB Toepassingsuitbreiding 10-4-1999 15:14
PCM_Time.dll 3,01 kB Toepassingsuitbreiding 9-4-1999 20:37
StubInstaller.exe 680,00 kB Toepassing 15-9-2005 18:54
UNWISE.EXE 239,77 kB Toepassing 24-9-1998 11:33
--- 10 folders, 11 files (2,48 MB). ---

Totally 10 folders and 11 files (2,48 MB).


De Pagefile.sys en de hiberfile.sys geven het tijdstip aan waarop de disk voor het laatst als normaal besturingssysteem aan is geweest.
De boot.ini inhoud laat zien dat de disk als enkelvoudig besturingssysteem aanwezig is geweest.

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

De map "Documents and Settings" laat 6 accounts zien:

--- Folder: E:\Documents and Settings\ ---

Administrator [Folder] Bestandsmap 27-1-2005 22:31
All Users [Folder] Bestandsmap 28-1-2005 21:53
Default User [Folder] Bestandsmap 28-1-2005 21:53
k.......... [Folder] Bestandsmap 27-10-2005 17:15
l.......... [Folder] Bestandsmap 25-1-2006 11:12
LocalService [Folder] Bestandsmap 19-12-2004 2:31
m.......... [Folder] Bestandsmap 27-10-2005 15:21
NetworkService [Folder] Bestandsmap 19-12-2004 2:30
o.......... [Folder] Bestandsmap 27-10-2005 17:07

Uit privacy overwegingen heb ik de namen van de gebruikersaccounts aangepast.

Radius, the rollable display

We staan aan het begin van een nieuw tijdperk wat mobiele devices betreft. De Radius is een oprolbaar display. Alhoewel het hele apparaatje niet groter is dan een mobiele telefoon, kan het schermpje uitgerold worden tot zo'n 13 cm. De ontwikkeling tot een commercieel product heeft wel enkele jaren geduurd, maar is nu eindelijk zover om op de markt te brengen. Het display is met name geschikt voor leesvoer en beschikt over 16 grijstinten. Door gebruikmaking van een speciale techniek en een hoog contrast kan zelfs bij zonlicht een tekst gewoon worden gelezen. Doordat het apparaatje beschikt over een usb poort en wifi kan men rss feeds, nieuws, e-mails, e-books, pdf bestanden of een plattegrond bekijken. Ook is het mogelijk om geluidsbestanden te downloaden en te beluisteren. De Radius heeft een opslagcapaciteit van minimaal 4 Gb. Naar verwachting zal de Radius in de loop van 2007 op de markt komen. Prijs nog onbekend.

http://www.polymervision.com/ProductsApplications/Readius/Index.html

Forensic Discovery e-Book Free!

Je kan het boek natuurlijk kopen, maar Addison-Wesley heeft in dit geval toestemming gegeven het boek ook digitaal aan te bieden, gratis! Het boek is geschreven door Wietse Venema en Dan Farmer, de makers van de The Coroner’s Toolkit (TCT) . Het boek Forensic Discovery laat zien dat je uit elke hoek van de pc informatie kan halen.

Het boek is opgedeeld in drie delen. In deel 1 wordt ingegaan op de basisprincipes en technieken van forensisch onderzoek. In deel 2 wordt het bestandssysteem, processen en het OS verder bekeken. De nadruk in dit deel ligt in het inzichtelijk maken van gevonden gegevens en het toetsen van deze gegevens op betrouwbaarheid.
Deel 3 gaat in op de blijvende aanwezigheid van weggegooide bestanden. Veel "verdwenen" informatie blijkt nog gewoon aanwezig te zijn. Informatie de encrypt is, maar in niet encrypte vorm rondzwerft in het geheugen.

Automatic TIF cleaning (Temporary Internet Files)

Elk bezoek aan internet laat zijn sporen achter. De map Temporary Internet Files bevat een aantal subdirectories met hierin gegevens van bezochte pagina's. Het voordeel hiervan is dat bij een volgend bezoek aan dezelfde pagina gegevens uit deze "cache" geladen kunnen worden. Een forensisch onderzoeker kan echter met behulp van deze gegevens het volledige internetgedrag reconstrueren.
Een registerinstelling kan ervoor zorgen dat de TIF map voortaan wordt geleegd bij het afsluiten van de Internet Explorer. Klik op Start --> uitvoeren en type Regedit.exe. Zoek de registersleutel HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache. Dubbelklik op de DWORD-waarde Persistent en type in het vak Waardegegevens een 0. Sluit nu het register. Herstart de pc. De TIF map wordt vanaf nu geleegd bij het afsluiten van IE.

Fasten your seatbells (netwerktoegang versnellen)

Windows XP heeft de gewoonte om bij andere netwekcomputers telkens op zoek te gaan naar het onderdeel Geplande Taken. Door dit zoeken duurt het aanzienlijk langer voordat de inhoud van een netwerkcomputer tevoorschijn komt. Je kunt dit onnodige zoekwerk uitschakelen.
Druk op start --> uitvoeren en type regedit.exe. Ga nu naar de registersleutel HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}. Selecteer deze sleutel en kies vervolgens verwijderen. Sluit het register en herstart je pc. Als je nu met de verkenner een netwerk pc bezoekt zul je merken dat de gegevens een stuk sneller verschijnen.

Drive away

Het kan interessant zijn te weten of er exta harddisken aangesloten zijn geweest op een pc. Als systeemherstel geactiveerd is kan dit je vraag beantwoorden. In de map System Volume Information die in de root staat bevinden zich de aangemaakte herstelpunten. In de root van deze map staat een bestand met de naam drivetable.txt. Dit bestand bevat een overzicht van de op dat moment aangesloten harddisken. Per herstelpunt wordt er echter ook zo'n zelfde bestand aangemaakt. Dit kan informatie zijn die bij het samenstellen van een tijdslijn belangrijk kan zijn. De informatie wordt ook opgeslagen als er een externe harde schijf is aangesloten.

De map System Volume Information is niet zonder meer te openen. Als je de eigenschappen opvraagt van deze map zul je zien dat het tabblad beveiliging niet aanwezig is. Bij de XP Home editie moet je de computer opstarten in veilige modus en inloggen als administrator om toegang te krijgen. Bij XP Professional doe je het volgende: start de verkenner, klik op extra, mapopties, weergave en haal het vinkje weg bij "eenvoudig delen van bestanden gebruiken (aanbevolen)."
Hierna is het tabblad wel zichtbaar en kunnen de toegangrechten aangepast worden.

Er zijn natuurlijk nog meer manieren om er achter te komen welke apparaten aangesloten zijn geweest. Een zeer handig hulpmiddel is USBDeview van Nirsoft http://www.nirsoft.net Dit is een kleine tool die een overzicht genereert van alle usb apparaten die ooit aangesloten zijn gweest. Van elk usb apparaat wordt uitgebreide informatie weergegeven zoals de naam, type, serienummer, de datum en tijd waarop het apparaat aangesloten is geweest en meer.
USBDeview kan ook remote gebruikt worden, als je maar als admin bent ingelogd.

Peer 2 Peer Forensics

Internet heeft onze maatschappij veranderd. Heeft de wereld veranderd. Met internet deel je informatie. Om deze informatie nog toegankelijker te maken heeft men een aantal manieren bedacht die daarbij helpen. Niet alle informatie die wordt gedeeld is legaal. In sommige gevallen moet de digitaal onderzoeker achterhalen of bestanden via P2P zijn gedownload, wanneer, en waar vandaan. Een moeilijke klus, aangezien er tegenwoordig honderden P2P programma's zijn waar de gebruiker uit kan kiezen. Natuurlijk gebruikt het grootste percentage de meer bekende programma's zoals eMule, Kazaa, Limewire, BitTorrent of Shareaza, en kan hiermee al een goede forensische knowledge base aangelegd worden. Indien je zelf onderzoek moet verrichten naar een P2P programma is het verstandig eerst een zelfstandige installatie te doen in een VMware omgeving. Na enkele gebruikers handelingen, zoals zoeken met specifieke trefwoorden, downloaden en uploaden, kan je vervolgens met Filemon en Regmon nagaan welke registersleutels zijn aangepast en waar meer informatie te vinden is.

Om je alvast in te lezen is het stuk in deze link een goed begin: http://www.ctin.org/Presentations/P2P%20Presentation.pdf

Aan de andere kant is het al langer bekend dat veel gebruikers van P2P programma's de risico's niet goed inschatten. Een standaard installatie van een P2P programma heeft vaak als resultaat dat privegegevens van gebruikers gedeeld worden met de rest van de wereld. Limewire vraagt tijdens de installatie of het mag zoeken naar "gewilde" bestanden. Deze vraag staat standaard op ja. Als je dus doorklikt gaat het progamma vervolgens zoeken naar alle jpg, mp3 en doc files en zal die dan ook gaan delen. Het programma nestelt zich ook in de startup van de pc. Zonder het in de gaten te hebben staat de pc open zodra die wordt aan gezet. Een handleiding lezen zou dan ook niet onverstandig zijn. http://www.limewire-info.nl/nieuws.php

Nadat er in het nieuws een aantal van deze lekken zijn gepubliceerd http://www.geenstijl.nl/mt/archieven/013407.html , heeft half Nederland een poging gewaagd vertrouwelijke informatie te vinden. Niet altijd zonder resultaat. De trefwoorden "vertrouwelijk, geheim, prive of wachtwoorden" hebben de meeste bestanden met die teksten wel boven water gehaald.

LN-013 USB to fast ethernet adapter

De LN-013 is een klein apparaatje van Sitecom ter grootte van een USB stick. Het leuke in dit geval is dat het een converter is van USB naar fast ethernet. Tijdens mijn bezoek aan de rommelmarkt in Maassluis zag ik dit apparaatje liggen, en besloot dat ik voor € 2,50 mij hier geen buil aan kon vallen. Het is een gadget, ik weet het, maar het zou bij een forensisch onderzoek van pas kunnen komen. Ook vraag ik me af wat mijn softwarematige USB writeblocker doet. Dit gaan we dus nog uitproberen. Dit artikel is in ieder geval verzonden via mijn USB poort...
http://www.sitecom.com/product.php?productname=Network+USB+adapter+10%2F100&productcode=LN-013&productid=84&subgroupid=35#

Crime Scene Evidence Files

http://www.crimescene.com/index.html

Alhoewel het geen digitale onderzoeken betreft toch wel aardig om te noemen.
De site bevat misdaden die onderzocht dienen te worden door je zelf aan te melden als onderzoeker. Je kunt gratis inschrijven. Elke week krijg je informatie van de Yoknapatawpha County detectives. Je wordt uitgenodigd mee te helpen het bewijsmateriaal te onderzoeken en je theorieen en vragen met de andere onderzoekers te delen.