De afgelopen weken heb ik voor enkele euro's wat harddisken opgekocht. Omdat werkelijk forensisch onderzoek van harddisken niet elke dag voorbij komt (althans in mijn branche), en het goed is om wat ervaring op te doen, leek het mij een goed idee om dat te doen op deze harddisken. Om de harddisken op een juiste wijze te kunnen onderzoeken hebben we natuurlijk bepaalde tools nodig. Om een harddisk aan te kunnen sluiten op de pc of laptop waar het forensisch onderzoek zal plaatsvinden kun je gebruik maken van een externe harddisk case. Deze kunnen meestal alleen maar 1 type harddisk aan, IDE of SATA. Je zult dus 2 verschillende cases moeten hebben. Een goed alternatief is een Kama Connect kabel. De kabel kan aangesloten worden op een USB poort, beschikt over zowel IDE als SATA aansluitingen EN de nodige stroomvoorziening, en omdat er niet gebruik wordt gemaakt van een kastje om de harddisk in te plaatsen is de kabel ook nog eens makkelijk mee te nemen. De prijs van het kabeltje is ongeveer 25 euro. Bij onderzoek van servers wordt het natuurlijk een heel ander verhaal, en zullen we een andere keer onder de loep nemen.
Elk onderzoek dat wordt uitgevoerd moet bij voorkeur plaatsvinden op een forensische kopie. Als je op de originele harddisk zelf gaat snuffelen loop je het risico bewijs te "beschadigen". Om een kopie te maken dien je te beschikken over een programma dat een bitstream kopie kan maken. Hiervoor zijn diverse programma's geschikt. Ik gebruik in dit geval FTK imager van Accessdata. FTK imager is te dowloaden van de site. Ze adviseren bij het imagen gebruik te maken van een hardwarematige writeblocker. Hiermee wordt ook weer voorkomen dat er bestanden worden aangepast op de originele schijf. Omdat ik op dit moment nog niet beschik over een hardwarematige writeblocker maak ik gebruik van een softwarematige writeblocker van Innovision. Een volledige versie is kosteloos te downloaden. Deze zorgt ervoor dat de USB poort alleen nog maar geschikt is om data te lezen en niets meer weg kan schrijven.
Schrijven
Voordat de schijf gekopieerd wordt beginnen we met een onderzoek van de uiterlijke kenmerken. Alle informatie dienen we op te schrijven, dus beginnen we met de buitenkant. Om alles gestructureerd te doen heb ik een formulier ontworpen. Dit formulier zorgt ervoor dat we in ieder geval elke keer weer dezelfde stappen ondernemen in ons onderzoek.
Sluit eerst de harddisk aan op de Kama Connect kabel.
NOG NIET AANSLUITEN OP DE USB POORT VAN DE PC/LAPTOP
Zet de stroom op de harddisk
Let op of de harddisk normaal spint of afwijkende geluiden maakt
Start op de pc/laptop eerst computerbeheer op. Zet het scherm op schijfbeheer. Hiermee kun je bij het aansluiten van de harddisk een goede indicatie krijgen over de status.
Nu kan de harddisk aangesloten worden op de USB poort.
De FTK Imager is makkelijk te bedienen.
File --> Create disk image
Selecteer "Physical Drive" --> volgende
Selecteer "\\.\PHYSICALDRIVE1 - ?????? USB Device(0 USB) --> voltooien (?=naam hd)
Add --> Raw(dd)--> volgende
Geef nu een plek op voor het image
Geef ook een naam op voor het image (geef het image een herkenbare naam)
Maak het vakje met 650 leeg (dit is voor als je naar cd wilt imagen)
Voltooien
Als je tijd genoeg hebt kun je de optie "Verify images after they are created" aan zetten. Hou er rekening mee dat dit het imageproces in tijd verdubbeld. Bij een oefenschijf niet nodig, maar bij een echt onderzoek wel!
Start
Afhankelijk van de status, de aanwezige hoeveelheid data en de grootte van de harddisk kan het imageproces enkele uren duren. Als de status "in orde" is zal het proces redelijk snel verlopen.
Na een succesvolle image gemaakt te hebben zie je drie bestanden:
- xxxxxxxxxx.001.csv filelist
- xxxxxxxxxx.001 image
- xxxxxxxxxx.001.txt summery oftewel informatiebestand
De originele harddisk kan nu worden verzegeld en opgeborgen.
De filelist kan ingelezen worden in excel en geeft een eerste goede indruk van de gevonden bestanden.
De summery kan worden uitgeprint en bij het onderzoeksrapport worden bewaard.
Information for C:\test:
Physical Evidentiary Item (Source) Information:
[Drive Geometry]
Cylinders: 524
Tracks per Cylinder: 255
Sectors per Track: 63
Bytes per Sector: 512
Sector Count: 8.421.840
[Physical Drive Information]
Drive Model: ST34313A USB Device
Drive Interface Type: USB
Source data size: 4112 MB
Sector count: 8421840
[Computed Hashes]
MD5 checksum: a59adc7befe74a5c2280b481e4503ee3
SHA1 checksum: 8ef93d21bf0c03734124b39540585b1345f13b7b
Image Information:
Segment list:
C:\test.001
De volgende stap is ook weer afhankelijk van de aanwezige tools. Het is gebruikelijk een extra kopie van de image te maken. Hiermee voorkom je dat je een nieuwe image moet maken van het origineel als de kopie tijdens het onderzoek corrupt zou raken.
De image die ik nu heb gemaakt met FTK imager kan ingelezen worden in verschillende programma's. Het zou echter prettig zijn om door het bestand te kunnen browsen. Door het bestand te mounten, en op die manier aan te koppelen als nieuwe driveletter, kan dat. We doen dat met het programma P2 eXplorer van Paraben.
De tijdens het imagen gemaakte cvs file bevat 48820 records. Deze bevatten de volgende informatie:
Filename, Full Path, Size, Created, Modified, Accessed, Is deleted
Hiermee kunnen we een goede indicatie krijgen van de aanwezige bestanden.
Vervolgens kijken we naar de gemounte schijf. Een eerste blik kan ons al veel vertellen.
Door de eigenschappen op te vragen zien we in dit geval:
capaciteit : 4.311.949.312 bytes (4.01 Gb)
gebruikt : 4.105.465.856 bytes (3.82 Gb)
beschikbaar : 206.483.456 bytes (196 Mb)
Een volle schijf dus...
De root:
--- Folder: E:\ ---
Name Size Type Changed
compaq [Folder] Bestandsmap 11-1-2006 8:09
Documents and Settings [Folder] Bestandsmap 23-11-2005 12:13
My Download Files [Folder] Bestandsmap 11-1-2006 8:09
My Downloads [Folder] Bestandsmap 2-3-2006 12:22
My Games [Folder] Bestandsmap 11-1-2006 8:05
Program Files [Folder] Bestandsmap 23-11-2005 9:30
Setup [Folder] Bestandsmap 11-1-2006 8:10
temp [Folder] Bestandsmap 23-1-2006 20:53
ustat [Folder] Bestandsmap 29-6-2005 14:58
WINDOWS [Folder] Bestandsmap 23-5-2006 9:51
AUTOEXEC.BAT 0 bytes MS-DOS-batchbestand 19-12-2004 2:18
Bc520rtl.dll 224,50 kB Toepassingsuitbreiding 25-3-1997 5:02
bds52.dll 90,51 kB Toepassingsuitbreiding 25-3-1997 5:02
Bivbx30.dll 103,50 kB Toepassingsuitbreiding 28-6-1996 15:25
CONFIG.SYS 0 bytes Systeembestand 19-12-2004 2:18
MsnHandWriting.dll 44,00 kB Toepassingsuitbreiding 1-2-2005 19:45
owl52.dll 1,06 MB Toepassingsuitbreiding 25-3-1997 5:02
PCM_rtl.dll 76,41 kB Toepassingsuitbreiding 10-4-1999 15:14
PCM_Time.dll 3,01 kB Toepassingsuitbreiding 9-4-1999 20:37
StubInstaller.exe 680,00 kB Toepassing 15-9-2005 18:54
UNWISE.EXE 239,77 kB Toepassing 24-9-1998 11:33
--- 10 folders, 11 files (2,48 MB). ---
Totally 10 folders and 11 files (2,48 MB).
De Pagefile.sys en de hiberfile.sys geven het tijdstip aan waarop de disk voor het laatst als normaal besturingssysteem aan is geweest.
De boot.ini inhoud laat zien dat de disk als enkelvoudig besturingssysteem aanwezig is geweest.
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
De map "Documents and Settings" laat 6 accounts zien:
--- Folder: E:\Documents and Settings\ ---
Administrator [Folder] Bestandsmap 27-1-2005 22:31
All Users [Folder] Bestandsmap 28-1-2005 21:53
Default User [Folder] Bestandsmap 28-1-2005 21:53
k.......... [Folder] Bestandsmap 27-10-2005 17:15
l.......... [Folder] Bestandsmap 25-1-2006 11:12
LocalService [Folder] Bestandsmap 19-12-2004 2:31
m.......... [Folder] Bestandsmap 27-10-2005 15:21
NetworkService [Folder] Bestandsmap 19-12-2004 2:30
o.......... [Folder] Bestandsmap 27-10-2005 17:07
Uit privacy overwegingen heb ik de namen van de gebruikersaccounts aangepast.
Geen opmerkingen:
Een reactie posten