Harddisk investigations

De afgelopen weken heb ik voor enkele euro's wat harddisken opgekocht. Omdat werkelijk forensisch onderzoek van harddisken niet elke dag voorbij komt (althans in mijn branche), en het goed is om wat ervaring op te doen, leek het mij een goed idee om dat te doen op deze harddisken. Om de harddisken op een juiste wijze te kunnen onderzoeken hebben we natuurlijk bepaalde tools nodig. Om een harddisk aan te kunnen sluiten op de pc of laptop waar het forensisch onderzoek zal plaatsvinden kun je gebruik maken van een externe harddisk case. Deze kunnen meestal alleen maar 1 type harddisk aan, IDE of SATA. Je zult dus 2 verschillende cases moeten hebben. Een goed alternatief is een Kama Connect kabel. De kabel kan aangesloten worden op een USB poort, beschikt over zowel IDE als SATA aansluitingen EN de nodige stroomvoorziening, en omdat er niet gebruik wordt gemaakt van een kastje om de harddisk in te plaatsen is de kabel ook nog eens makkelijk mee te nemen. De prijs van het kabeltje is ongeveer 25 euro. Bij onderzoek van servers wordt het natuurlijk een heel ander verhaal, en zullen we een andere keer onder de loep nemen.

Elk onderzoek dat wordt uitgevoerd moet bij voorkeur plaatsvinden op een forensische kopie. Als je op de originele harddisk zelf gaat snuffelen loop je het risico bewijs te "beschadigen". Om een kopie te maken dien je te beschikken over een programma dat een bitstream kopie kan maken. Hiervoor zijn diverse programma's geschikt. Ik gebruik in dit geval FTK imager van Accessdata. FTK imager is te dowloaden van de site. Ze adviseren bij het imagen gebruik te maken van een hardwarematige writeblocker. Hiermee wordt ook weer voorkomen dat er bestanden worden aangepast op de originele schijf. Omdat ik op dit moment nog niet beschik over een hardwarematige writeblocker maak ik gebruik van een softwarematige writeblocker van Innovision. Een volledige versie is kosteloos te downloaden. Deze zorgt ervoor dat de USB poort alleen nog maar geschikt is om data te lezen en niets meer weg kan schrijven.

Schrijven
Voordat de schijf gekopieerd wordt beginnen we met een onderzoek van de uiterlijke kenmerken. Alle informatie dienen we op te schrijven, dus beginnen we met de buitenkant. Om alles gestructureerd te doen heb ik een formulier ontworpen. Dit formulier zorgt ervoor dat we in ieder geval elke keer weer dezelfde stappen ondernemen in ons onderzoek.

Sluit eerst de harddisk aan op de Kama Connect kabel.
NOG NIET AANSLUITEN OP DE USB POORT VAN DE PC/LAPTOP
Zet de stroom op de harddisk
Let op of de harddisk normaal spint of afwijkende geluiden maakt

Start op de pc/laptop eerst computerbeheer op. Zet het scherm op schijfbeheer. Hiermee kun je bij het aansluiten van de harddisk een goede indicatie krijgen over de status.

Nu kan de harddisk aangesloten worden op de USB poort.

De FTK Imager is makkelijk te bedienen.
File --> Create disk image
Selecteer "Physical Drive" --> volgende
Selecteer "\\.\PHYSICALDRIVE1 - ?????? USB Device(0 USB) --> voltooien (?=naam hd)
Add --> Raw(dd)--> volgende
Geef nu een plek op voor het image
Geef ook een naam op voor het image (geef het image een herkenbare naam)
Maak het vakje met 650 leeg (dit is voor als je naar cd wilt imagen)
Voltooien
Als je tijd genoeg hebt kun je de optie "Verify images after they are created" aan zetten. Hou er rekening mee dat dit het imageproces in tijd verdubbeld. Bij een oefenschijf niet nodig, maar bij een echt onderzoek wel!
Start

Afhankelijk van de status, de aanwezige hoeveelheid data en de grootte van de harddisk kan het imageproces enkele uren duren. Als de status "in orde" is zal het proces redelijk snel verlopen.



Na een succesvolle image gemaakt te hebben zie je drie bestanden:

- xxxxxxxxxx.001.csv filelist
- xxxxxxxxxx.001 image
- xxxxxxxxxx.001.txt summery oftewel informatiebestand

De originele harddisk kan nu worden verzegeld en opgeborgen.

De filelist kan ingelezen worden in excel en geeft een eerste goede indruk van de gevonden bestanden.

De summery kan worden uitgeprint en bij het onderzoeksrapport worden bewaard.

Information for C:\test:

Physical Evidentiary Item (Source) Information:
[Drive Geometry]
Cylinders: 524
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 8.421.840
[Physical Drive Information]
Drive Model: ST34313A USB Device
Drive Interface Type: USB
Source data size: 4112 MB
Sector count: 8421840
[Computed Hashes]
MD5 checksum: a59adc7befe74a5c2280b481e4503ee3
SHA1 checksum: 8ef93d21bf0c03734124b39540585b1345f13b7b

Image Information:
Segment list:
C:\test.001


De volgende stap is ook weer afhankelijk van de aanwezige tools. Het is gebruikelijk een extra kopie van de image te maken. Hiermee voorkom je dat je een nieuwe image moet maken van het origineel als de kopie tijdens het onderzoek corrupt zou raken.
De image die ik nu heb gemaakt met FTK imager kan ingelezen worden in verschillende programma's. Het zou echter prettig zijn om door het bestand te kunnen browsen. Door het bestand te mounten, en op die manier aan te koppelen als nieuwe driveletter, kan dat. We doen dat met het programma P2 eXplorer van Paraben.



De tijdens het imagen gemaakte cvs file bevat 48820 records. Deze bevatten de volgende informatie:
Filename, Full Path, Size, Created, Modified, Accessed, Is deleted
Hiermee kunnen we een goede indicatie krijgen van de aanwezige bestanden.

Vervolgens kijken we naar de gemounte schijf. Een eerste blik kan ons al veel vertellen.

Door de eigenschappen op te vragen zien we in dit geval:

capaciteit : 4.311.949.312 bytes (4.01 Gb)
gebruikt : 4.105.465.856 bytes (3.82 Gb)
beschikbaar : 206.483.456 bytes (196 Mb)

Een volle schijf dus...

De root:

--- Folder: E:\ ---
Name Size Type Changed
compaq [Folder] Bestandsmap 11-1-2006 8:09
Documents and Settings [Folder] Bestandsmap 23-11-2005 12:13
My Download Files [Folder] Bestandsmap 11-1-2006 8:09
My Downloads [Folder] Bestandsmap 2-3-2006 12:22
My Games [Folder] Bestandsmap 11-1-2006 8:05
Program Files [Folder] Bestandsmap 23-11-2005 9:30
Setup [Folder] Bestandsmap 11-1-2006 8:10
temp [Folder] Bestandsmap 23-1-2006 20:53
ustat [Folder] Bestandsmap 29-6-2005 14:58
WINDOWS [Folder] Bestandsmap 23-5-2006 9:51
AUTOEXEC.BAT 0 bytes MS-DOS-batchbestand 19-12-2004 2:18
Bc520rtl.dll 224,50 kB Toepassingsuitbreiding 25-3-1997 5:02
bds52.dll 90,51 kB Toepassingsuitbreiding 25-3-1997 5:02
Bivbx30.dll 103,50 kB Toepassingsuitbreiding 28-6-1996 15:25
CONFIG.SYS 0 bytes Systeembestand 19-12-2004 2:18
MsnHandWriting.dll 44,00 kB Toepassingsuitbreiding 1-2-2005 19:45
owl52.dll 1,06 MB Toepassingsuitbreiding 25-3-1997 5:02
PCM_rtl.dll 76,41 kB Toepassingsuitbreiding 10-4-1999 15:14
PCM_Time.dll 3,01 kB Toepassingsuitbreiding 9-4-1999 20:37
StubInstaller.exe 680,00 kB Toepassing 15-9-2005 18:54
UNWISE.EXE 239,77 kB Toepassing 24-9-1998 11:33
--- 10 folders, 11 files (2,48 MB). ---

Totally 10 folders and 11 files (2,48 MB).


De Pagefile.sys en de hiberfile.sys geven het tijdstip aan waarop de disk voor het laatst als normaal besturingssysteem aan is geweest.
De boot.ini inhoud laat zien dat de disk als enkelvoudig besturingssysteem aanwezig is geweest.

[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

De map "Documents and Settings" laat 6 accounts zien:

--- Folder: E:\Documents and Settings\ ---

Administrator [Folder] Bestandsmap 27-1-2005 22:31
All Users [Folder] Bestandsmap 28-1-2005 21:53
Default User [Folder] Bestandsmap 28-1-2005 21:53
k.......... [Folder] Bestandsmap 27-10-2005 17:15
l.......... [Folder] Bestandsmap 25-1-2006 11:12
LocalService [Folder] Bestandsmap 19-12-2004 2:31
m.......... [Folder] Bestandsmap 27-10-2005 15:21
NetworkService [Folder] Bestandsmap 19-12-2004 2:30
o.......... [Folder] Bestandsmap 27-10-2005 17:07

Uit privacy overwegingen heb ik de namen van de gebruikersaccounts aangepast.

Radius, the rollable display

We staan aan het begin van een nieuw tijdperk wat mobiele devices betreft. De Radius is een oprolbaar display. Alhoewel het hele apparaatje niet groter is dan een mobiele telefoon, kan het schermpje uitgerold worden tot zo'n 13 cm. De ontwikkeling tot een commercieel product heeft wel enkele jaren geduurd, maar is nu eindelijk zover om op de markt te brengen. Het display is met name geschikt voor leesvoer en beschikt over 16 grijstinten. Door gebruikmaking van een speciale techniek en een hoog contrast kan zelfs bij zonlicht een tekst gewoon worden gelezen. Doordat het apparaatje beschikt over een usb poort en wifi kan men rss feeds, nieuws, e-mails, e-books, pdf bestanden of een plattegrond bekijken. Ook is het mogelijk om geluidsbestanden te downloaden en te beluisteren. De Radius heeft een opslagcapaciteit van minimaal 4 Gb. Naar verwachting zal de Radius in de loop van 2007 op de markt komen. Prijs nog onbekend.

http://www.polymervision.com/ProductsApplications/Readius/Index.html

Forensic Discovery e-Book Free!

Je kan het boek natuurlijk kopen, maar Addison-Wesley heeft in dit geval toestemming gegeven het boek ook digitaal aan te bieden, gratis! Het boek is geschreven door Wietse Venema en Dan Farmer, de makers van de The Coroner’s Toolkit (TCT) . Het boek Forensic Discovery laat zien dat je uit elke hoek van de pc informatie kan halen.

Het boek is opgedeeld in drie delen. In deel 1 wordt ingegaan op de basisprincipes en technieken van forensisch onderzoek. In deel 2 wordt het bestandssysteem, processen en het OS verder bekeken. De nadruk in dit deel ligt in het inzichtelijk maken van gevonden gegevens en het toetsen van deze gegevens op betrouwbaarheid.
Deel 3 gaat in op de blijvende aanwezigheid van weggegooide bestanden. Veel "verdwenen" informatie blijkt nog gewoon aanwezig te zijn. Informatie de encrypt is, maar in niet encrypte vorm rondzwerft in het geheugen.

Automatic TIF cleaning (Temporary Internet Files)

Elk bezoek aan internet laat zijn sporen achter. De map Temporary Internet Files bevat een aantal subdirectories met hierin gegevens van bezochte pagina's. Het voordeel hiervan is dat bij een volgend bezoek aan dezelfde pagina gegevens uit deze "cache" geladen kunnen worden. Een forensisch onderzoeker kan echter met behulp van deze gegevens het volledige internetgedrag reconstrueren.
Een registerinstelling kan ervoor zorgen dat de TIF map voortaan wordt geleegd bij het afsluiten van de Internet Explorer. Klik op Start --> uitvoeren en type Regedit.exe. Zoek de registersleutel HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache. Dubbelklik op de DWORD-waarde Persistent en type in het vak Waardegegevens een 0. Sluit nu het register. Herstart de pc. De TIF map wordt vanaf nu geleegd bij het afsluiten van IE.

Fasten your seatbells (netwerktoegang versnellen)

Windows XP heeft de gewoonte om bij andere netwekcomputers telkens op zoek te gaan naar het onderdeel Geplande Taken. Door dit zoeken duurt het aanzienlijk langer voordat de inhoud van een netwerkcomputer tevoorschijn komt. Je kunt dit onnodige zoekwerk uitschakelen.
Druk op start --> uitvoeren en type regedit.exe. Ga nu naar de registersleutel HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}. Selecteer deze sleutel en kies vervolgens verwijderen. Sluit het register en herstart je pc. Als je nu met de verkenner een netwerk pc bezoekt zul je merken dat de gegevens een stuk sneller verschijnen.

Drive away

Het kan interessant zijn te weten of er exta harddisken aangesloten zijn geweest op een pc. Als systeemherstel geactiveerd is kan dit je vraag beantwoorden. In de map System Volume Information die in de root staat bevinden zich de aangemaakte herstelpunten. In de root van deze map staat een bestand met de naam drivetable.txt. Dit bestand bevat een overzicht van de op dat moment aangesloten harddisken. Per herstelpunt wordt er echter ook zo'n zelfde bestand aangemaakt. Dit kan informatie zijn die bij het samenstellen van een tijdslijn belangrijk kan zijn. De informatie wordt ook opgeslagen als er een externe harde schijf is aangesloten.

De map System Volume Information is niet zonder meer te openen. Als je de eigenschappen opvraagt van deze map zul je zien dat het tabblad beveiliging niet aanwezig is. Bij de XP Home editie moet je de computer opstarten in veilige modus en inloggen als administrator om toegang te krijgen. Bij XP Professional doe je het volgende: start de verkenner, klik op extra, mapopties, weergave en haal het vinkje weg bij "eenvoudig delen van bestanden gebruiken (aanbevolen)."
Hierna is het tabblad wel zichtbaar en kunnen de toegangrechten aangepast worden.

Er zijn natuurlijk nog meer manieren om er achter te komen welke apparaten aangesloten zijn geweest. Een zeer handig hulpmiddel is USBDeview van Nirsoft http://www.nirsoft.net Dit is een kleine tool die een overzicht genereert van alle usb apparaten die ooit aangesloten zijn gweest. Van elk usb apparaat wordt uitgebreide informatie weergegeven zoals de naam, type, serienummer, de datum en tijd waarop het apparaat aangesloten is geweest en meer.
USBDeview kan ook remote gebruikt worden, als je maar als admin bent ingelogd.

Peer 2 Peer Forensics

Internet heeft onze maatschappij veranderd. Heeft de wereld veranderd. Met internet deel je informatie. Om deze informatie nog toegankelijker te maken heeft men een aantal manieren bedacht die daarbij helpen. Niet alle informatie die wordt gedeeld is legaal. In sommige gevallen moet de digitaal onderzoeker achterhalen of bestanden via P2P zijn gedownload, wanneer, en waar vandaan. Een moeilijke klus, aangezien er tegenwoordig honderden P2P programma's zijn waar de gebruiker uit kan kiezen. Natuurlijk gebruikt het grootste percentage de meer bekende programma's zoals eMule, Kazaa, Limewire, BitTorrent of Shareaza, en kan hiermee al een goede forensische knowledge base aangelegd worden. Indien je zelf onderzoek moet verrichten naar een P2P programma is het verstandig eerst een zelfstandige installatie te doen in een VMware omgeving. Na enkele gebruikers handelingen, zoals zoeken met specifieke trefwoorden, downloaden en uploaden, kan je vervolgens met Filemon en Regmon nagaan welke registersleutels zijn aangepast en waar meer informatie te vinden is.

Om je alvast in te lezen is het stuk in deze link een goed begin: http://www.ctin.org/Presentations/P2P%20Presentation.pdf

Aan de andere kant is het al langer bekend dat veel gebruikers van P2P programma's de risico's niet goed inschatten. Een standaard installatie van een P2P programma heeft vaak als resultaat dat privegegevens van gebruikers gedeeld worden met de rest van de wereld. Limewire vraagt tijdens de installatie of het mag zoeken naar "gewilde" bestanden. Deze vraag staat standaard op ja. Als je dus doorklikt gaat het progamma vervolgens zoeken naar alle jpg, mp3 en doc files en zal die dan ook gaan delen. Het programma nestelt zich ook in de startup van de pc. Zonder het in de gaten te hebben staat de pc open zodra die wordt aan gezet. Een handleiding lezen zou dan ook niet onverstandig zijn. http://www.limewire-info.nl/nieuws.php

Nadat er in het nieuws een aantal van deze lekken zijn gepubliceerd http://www.geenstijl.nl/mt/archieven/013407.html , heeft half Nederland een poging gewaagd vertrouwelijke informatie te vinden. Niet altijd zonder resultaat. De trefwoorden "vertrouwelijk, geheim, prive of wachtwoorden" hebben de meeste bestanden met die teksten wel boven water gehaald.

LN-013 USB to fast ethernet adapter

De LN-013 is een klein apparaatje van Sitecom ter grootte van een USB stick. Het leuke in dit geval is dat het een converter is van USB naar fast ethernet. Tijdens mijn bezoek aan de rommelmarkt in Maassluis zag ik dit apparaatje liggen, en besloot dat ik voor € 2,50 mij hier geen buil aan kon vallen. Het is een gadget, ik weet het, maar het zou bij een forensisch onderzoek van pas kunnen komen. Ook vraag ik me af wat mijn softwarematige USB writeblocker doet. Dit gaan we dus nog uitproberen. Dit artikel is in ieder geval verzonden via mijn USB poort...
http://www.sitecom.com/product.php?productname=Network+USB+adapter+10%2F100&productcode=LN-013&productid=84&subgroupid=35#

Crime Scene Evidence Files

http://www.crimescene.com/index.html

Alhoewel het geen digitale onderzoeken betreft toch wel aardig om te noemen.
De site bevat misdaden die onderzocht dienen te worden door je zelf aan te melden als onderzoeker. Je kunt gratis inschrijven. Elke week krijg je informatie van de Yoknapatawpha County detectives. Je wordt uitgenodigd mee te helpen het bewijsmateriaal te onderzoeken en je theorieen en vragen met de andere onderzoekers te delen.