Professional Documents
Culture Documents
tyrimų metodikos
(T120M152)
Š. Grigaliūnas
2020
1
ATSISAITYMAS
3 LABORATORINIAI DARBAI
1 TARPINIS (TESTAS)
1 EGZAMINAS (TESTAS)
2
BENDRAUSIME
MS TEAMS
#kanalas
Moodle – T120M152 modulis
El. paštas
3
MODULIS
Kaip vyks?
• Legenda
• 2 (4) grupės – skirstomės pagal porinius ir neporinius
skaičius sąraše – giname įkalčių surinkimo [ne]tvarkingimą
• Įkalčiai:
• Darbo vietos kompiuterio kietasis diskas
• Telefono atvaizdas
• Darbo priemonės (angl.k. tools)
• Laboratoriniai darbai – praktika iš paskaitų medžiagos –
įkalčių ieškojimas
• Gynimas
4
LEGENDA
UŽDAVINYS:
• Išsiaiškinti ar teisingai atliktas poėmis, vadovaujantis turimu disko ir
operacinės atminties atvaizdais.
• Sekti dėstytojo nurodymais, dėl papildomu įkalčių įtraukimo į bylos
nagrinėjimą
• Parengti ir apginti ataskaitą (autopsy)
5
KAS TAI?
6
COMBODOCK
7
Klausimai?
8
Nusikaltimai elektroninėje erdvėje ir jų
tyrimų metodikos
(T120M152)
Š. Grigaliūnas
2020
1
Kriminalistiniai tyrimai Microsoft
aplinkose
2
In situ (vietoje)
3
Operatyviosios atminties analizė
4
Disko prijungimas
5
Disk Management valdymo
langas
6
Disko prijungimas
7
Disko prijungimas
8
Konvertavimas į RAW
9
Konvertavimas į RAW – pavyzdys
(1)
C:\Program Files\qemu>qemu-img.exe info "C:\Users\user\Documents\Debian 7.x\Debian 7.x.vmdk
image: C:\Users\user\Documents\Debian 7.x\Debian 7.x.vmdk
file format: vmdk
virtual size: 20G (21474836480 bytes)
disk size: 19G
cluster_size: 65536
Format specific information:
cid: 2465942210
parent cid: 4294967295
create type: twoGbMaxExtentSparse
extents:
[0]:
virtual size: 4251975680
filename: C:\Users\user\Documents\Debian 7.x\Debian 7.x-s001.vmdk
cluster size: 65536
format: SPARSE
[1]:
virtual size: 4251975680
filename: C:\Users\user\Documents\Debian 7.x\Debian 7.x-s002.vmdk
10
Konvertavimas į RAW – pavyzdys
(2)
11
Paleistų procesų analizė
12
Įvykių̨ žurnalas
13
Įvykių žurnalas
14
Nuorodų failai (.lnk)
Tai yra nuorodos į kitą failą̨ ar katalogą̨, todėl nuorodų failai gali būti
naudingi ir tyrėjui nurodant įkalčių paieškos vietą
Nuorodų faile taip pat išsaugomos laiko žymės (data ir laikas), tikrojo
failo sukūrimo laikas, paskutinio atidarymo ar modifikavimo laikas:
15
Thmbnail buferiniai failai
16
Thmbnail buferiniai failai
17
OS pasikartojančių darbų
užduočių failai
18
OS pasikartojančių darbų
užduočių failai
Norint peržiūrėti, importuoti ar eksportuoti pasikartojančių darbų užduočių
failus, reikia paleisti Start All Programs Accessories System
Tools ir spragtelti Task Scheduler (arba panaudoti Run
taskschd.msc :
19
Windows Prefetch
20
Windows Prefetch
21
Windows Prefetch
22
Laiko ir datos žymės
Windows 8.1 operacinių sistemų failai turi tris laiko ir datos žymes: sukūrimo,
paskutinio modifikavimo (perrašymo) ir paskutinio atidarymo (naudojimo)
NTFS ir FAT failų sistemose esančių̨ failų laiko ir datos žymės skiriasi:
– Failo metaduomenyse minėtos žymės yra išsaugomos skirtingose vietose, NTFS
laiko ir datos žymės saugomos universalaus laiko (UTC ) pavidalu, o FAT – lokalios
laiko juostos pavidalu
– NTFS laikas matuojamas 100 nanosekundžių ̨ periodu nuo 1601-01-01, o FAT failų
sistemoje laiko periodas yra 10 milisekundžių,̨ ir laikas skaičiuojamas nuo 1980-01-
01
– Failo įrašymo laikas FAT sistemoje skaičiuojamas kas 2 sekundes, o failo paskutinio
atidarymo laikas skaičiuojamas dienomis
– Be to, reikia žinoti, kad pakeitus registro įrašo
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\NtfsDisa
blelastAccessUptime reikšmę į 1, Windows 8.1 nebekeis paskutinio prieigos laiko ir
datos reikšmių
23
Įdiegtų programų sąrašas
24
Įdiegtų programų sąrašas
25
Windows shadow failai
26
Windows shadow failai
27
Windows shadow failai
29
Klausimai?
30
Smart patterned surfaces with
programmable thermal emissivity
1
Norint supaprastinti prieigą
prie analizuojamų įkalčių ir
jų valdymą, turėtų būti
sukurta tam tikra aplankų
struktūra, kurioje būtų
galima rasti norimą
informaciją. Tokios aplankų
struktūros pradžia galėtų
būti
vienas iš tyrimams skirto
kompiuterio kietasis diskas
ar skirsnio šakinis aplankas
(angl. root folder).
2
Klausimai?
3
Nusikaltimai elektroninėje erdvėje ir jų
tyrimų metodikos
(T120M152)
Š. Grigaliūnas
2020
1
Apie
Vartotojo atliktų veiksmų analizė yra labai svarbi nustatant vartotojo autorystę.
Ši veikla pagrinde yra laikoma NTUSER.DAT faile, esančiame vartotojų profilių
aplanke.
Windows sistemose (priklauso nuo versijos) pasiekti vartotojo failus buvo
galima per x:\Documents and settings\Name_user”
3
Vartotojo atliekamos veiklos
sistemoje identifikavimas
Jeigu yra įjungti audito nustatymai, efektyviausias būdas nustatyti, kada
vartotojas buvo prisijungęs, yra
analizuojant "security log" faile esančius "logon records".
Windows šis prisijungimo įvykis priskirtas ID=???. Parametras "Logon Type"
nurodo, kaip vartotojas prisijungė pagal atitinkamas reikšmes:
2 Interactive Vartotojas buvo prisijungęs prieš šio kompiuterio.
3 Tinklas Vartotojas buvo prisijungęs prie šio kompiuterio iš tinklo.
4 Batch Šis prisijungimo būdas naudojamas "batch" procesų serverio,
kuriame procesai gali būti atliekami be tiesioginio vartotojo įsikišimo.
10 RemoteInteractive Vartotojas prisijungė nuotoliu būdu naudodamasis
Terminal Server arba Remote Desktop
Nuo Windows 7 versijos įrašų žurnalo formatas pasikeitė į XML, o įvykio ID yra
registruojami 4 skaitmenimis (pvz. ID=4648)
4
Audito funkcija
Papildomai (komandos):
1. gpedit.msc arba secpol.msc
2. auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
3. psexec -s -i regedit
5
Audito funkcija (reikšmės)
6
Event Log Explorer
7
Event Log Explorer (filtras)
8
UserAssist
UserAssist registro rakte įrašo kiekvieno sistemoje registruoto vartotojo programų paleidimo
užklausas.
Šiame rakte yra bent du Globaliai unikalūs identifikatoriai (GUID):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
Informacija "count" žemesnės kategorijos rakte yra užkoduota ROT-13 formatu (kiekvienas
simbolis yra pasuktas per 13 pozicijų nuo pradinės reikšmės), Todėl informaciją reikia
atkoduoti prieš ją analizuojant.
Duomenys yra 16 baitų binarinio tipo, iš kurių, 8 paskutiniai nurodo datą FILETIME formatu
(Windows 64-little Endian).
Kita 4 baitų grupė nurodo, kiek kartų kuri programa buvo paleista. Šie duomenys auga
kiekvieną kartą paleidžiant programą, tačiau pradinė reikšmė prasideda skaičiumi "5".
9
UserAssist programa
11
RunMRU
12
ComDlg32/LastVisited MRU
HKEY_CURRENT_USERS\Software\Microsoft\Windows\CurrentVersion\Explore
r\RecentDocs
14
Programų paskutinio
naudojimo data
15
Shell Bags
Windows registras renka informaciją apie kiekvieno aplanko, kurį vartotojas atidaro,
poziciją, rodinį ir lango dydį.
Nors gali atrodyti, kad ši informacija nėra svarbi, tačiau turint šiuos įrašus galime
artimiau susipažinti su vartotojo veikla, atsižvelgiant į aplankus, dokumentus ir
įdiegtas programas.
Tai pat Windows sukuria seriją papildomų artefaktų jau po ypatybių išsaugojimo
registre. Tai suteikia tyrėjui platesnį supratimą apie aplanką, įtariamojo naršymo
istoriją bei detales apie sistemoje ištrintus, nebeegzistuojančius arba išorinėje
laikmenoje talpinamus aplankus.
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\Bags
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
16
Shell Bags peržiūra
Informacija įrašoma dviejuose pagrindiniuose registro raktuose: BagMRU ir Bags. ShellBags Viewer
BagMRU: talpina aplankų pavadinimus bei nurodo kelią iki jų.
Bags: saugo pagrindinius prieigos pasirinkimus, tokius kaip lango dydis, vieta bei peržiūros režimas.
BagMRU rakte saugomos informacijos struktūra yra panaši į tą, kuri pasiekiama per Windows Explorer - pridėtu
skaičiumi, kuris atvaizduoja "parent" arba "child" aplanką.
BagMRU raktas atvaizduoja darbalaukį (angl. desktop). "BagMRU\0" raktas nurodo pirmąjį aplanką, “BagMRU/1”
sekantį, ir t.t.
17
Atliktos paieškos informacijos
paieška
18
Naršyklių paieškos analizė
Visos naršyklės naudoja atskirus registro įrašus (gali skirtis priklausomai nuo operacinės
sistemos versijos) bei skirtingai valdo ir saugo informaciją.
19
Naršyklių paieškos analizė: IE
Nuo Windows 7:
%userprofile%\AppData\Local\Microsoft\Windows\History\
Nuo Windows 7:
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache
20
Naršyklių paieškos analizė: IE
Nuo Windows 7:
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\ profile.default\places.sqlite
Nuo Windows 7:
%userprofile%\ appdata\local\Mozilla\Firefox\Profiles\profile.default\Cache
22
Naršyklių paieškos analizė:
Chrome
Nuo Windows 7:
Nuo Windows 7:
%userprofile%\appdata\local\Google\Chrome\User Data\Default\Cache
23
Naršyklių paieškos analizė: Safari
Nuo Windows 7:
%userprofile%\AppData\Roaming\Apple Computer\Safari\History.plist
Windows 7:
%userprofile%\AppData\Local\Apple Computer\Safari\Cache.db
24
Naršyklių paieškos analizės
įrankiai
Vienas iš įrankių – Chrome Cache viewer, kurį galima naudoti Internet Explorer
tyrimui, yra Nirsoft paketas:
(http://www.nirsoft.net/web_browser_tools.html).
25
Naršyklių paieškos analizės
įrankiai (2)
Vienas iš įrankių – Chrome Forensics, kurį galima naudoti Internet Explorer tyrimui, yra Nirsoft paketas:
(http://www.nirsoft.net/web_browser_tools.html).
26
Naršyklių paieškos analizės
įrankiai (3)
Vienas iš įrankių – Chrome Forensics, kurį galima naudoti Internet Explorer tyrimui, yra Nirsoft paketas:
(http://www.nirsoft.net/web_browser_tools.html).
C:\Users\<user>\AppData\Local\Google\Chrome\User Data\Default
27
Klausimai?
28
Nusikaltimai elektroninėje erdvėje ir jų
tyrimų metodikos
(T120M152)
Š. Grigaliūnas
2020
Debesų technologijos ir
elektroninis paštas
Kalbėsime apie:
• Debesų paslaugas
• Debesų kriminalistiką
• Elektroninio pašto kriminalistiką
2
Debesų paslaugos
3
Internetinė saugykla
• Internetinė saugykla – informacijos saugojimo internete
modelis, kur daugelio paskirstytų serverių, priklausančių
trečiosioms šalims, tinkle yra saugomi klientų duomenys
• Vietoj to, kad įsigytų savo specialų serverį arba nuomotų
jį savo duomenims, vartotojai nuomuoja vietą
internetinės saugyklos serveriuose
• Fiziškai šie serveriai gali būti išdėstyti geografiškai
nuotolusiose vietose, netgi keliuose žemynuose
• Duomenys yra saugomi ir gali būti tvarkomi
vadinamajame debesyje, kuris kliento požiūriu gali būti
laikomas vienu dideliu virtualiu serveriu, kurio vidinė
struktūra vartotojui nėra matoma
4
Internetinė saugykla
Internetinė saugykla gali būti traktuojama kaip:
• Terpė duomenų ar jų atsarginių kopijų laikymui internete;
trečiųjų šalių saugojimo paslaugos teikėjai leidžia
vartotojams įkelti ir saugoti bet kokio tipo duomenų failus.
Kai kurie iš jų siūlo ribotą talpą saugyklos diskuose
nemokant mėnesinių mokesčių, kiti paslaugų teikėjai siūlo
naudotis saugykla už mėnesinį mokestį (už gigabaitą).
• Naršyklės pagrindu veikianti programa, kuri leidžia
vartotojui įkelti savo svarbius duomenų failus saugiam ir
patikimam saugojimui ir juos bet kada pasiekti. Vartotojas
turi prieigą prie failų 24/7 (24 valandas 7 dienas per
savaitę), gali dalytis savo failais su kitais ir netgi užšifruoti
savo failus didesniam apsaugos lygiui pasiekti.
5
Internetinės saugyklos privalumai
Duomenų laikymo internetinėje saugykloje
privalumai:
• klientas moka tik už tą vietą, kurią iš tikrųjų naudoja
duomenų saugojimui - jam nereikia mokėti už visų
serverio išteklių nuomą;
• klientui nereikia rūpintis duomenų saugojimo
infrastruktūros įsigijimu, palaikymu ir priežiūra, o tai
sumažina bendras gamybos sąnaudas;
• visas atsarginių kopijų darymo ir duomenų
vientisumo užtikrinimo procedūras atlieka
internetinės saugyklos paslaugų teikėjas, kuris į šį
procesą klientų neįtraukia
6
Internetinės saugyklos
infrastruktūra
Internetinės saugyklos infrastruktūrą sudaro du
komponentai:
• saugyklos techninė įranga – serveriai ir atminties
įtaisai;
• saugyklos programinė įranga – operacinės
sistemos ir virtualizacijos programinė įranga,
reikalinga norint pasiekti internetinėje saugykloje
laikomus failus ir tenkinanti skaičiavimams keliamus
reikalavimus.
7
Populiarios internetinės saugyklos
Nemokamai Tarifai
Saugykla Programinė įranga Pastabos
suteikiama talpa (metams)
8
Google Drive (Google Docs)
• Google Drive (Google diskas) yra Google internetinė
failų saugykla ir sinchronizavimo paslauga, kuri buvo
paleista 2012 metų balandžio 24 d.
• Ji pakeitė Google Docs, taikomųjų programų
komplektą, skirtą bendradarbiaujant redaguoti
dokumentus, skaičiuokles, pateiktis ir t.t.
• Google diskas kiekvienam vartotojui pradžioje skiria
5 GB jo duomenims laikyti. Be to, vartotojas gali
gauti nuo 25 GB iki 16 TB papildomos vietos
saugykloje, kurią dalijasi Picasa ir Google diskas, už
ją mokėdamas mėnesinį abonentinį mokestį (2,49$
per mėnesį už 25 GB)
9
Google Drive (Google Docs)
• Naudojant naršyklę galima redaguoti tiek MS
Word dokumentus, tiek ir skaičiuoklės
dokumentus ir pateiktis. Be to, visi vartotojo
failai gali būti laikomi jo sukurtuose aplankuose.
• Redaguojant dokumentą, galima naudoti
daugumą įprastų operacijų – teksto fragmentų
iškirpimą ir įterpimą, šrifto keitimą, įvairias
formatavimo operacijas. Dirbant su skaičiuoklės
lentelėmis, galima naudoti formules, tvarkyti
darbo lapus ir t.t.
10
Google Drive (Google Docs)
• Google diskas leidžia bendradarbiauti: kolegai galite
nusiųsti nuorodą, suteikti jam teisę matyti ir redaguoti
jūsų dokumentus. Tam nebūtina įdigti atitinkamą
programinę įrangą, nes redaguoti galite per interneto
naršyklę.
• Laikant failus internetinėje saugykloje Google diskas,
verta naudotis dar viena galimybe – redaguoti savo
dokumentus Google Docs priemonėmis. Google Docs –
tai Google programinė įranga, teikiama kaip paslauga. Į
šios paslaugos biuro programų rinkinį įeina dokumentų
redagavimo, skaičiuoklių ir pateikčių kūrimo programos
11
Google Drive (Google Docs)
• Dokumentais gali būti dalijamasi, jie gali būti kelių
vartotojų atverti ir redaguojami tuo pačiu metu.
Vartotojas nemato kitų vartotojų daromų pakeitimų, bet
bendradarbiavimui palengvinti programa gali įspėti
vartotojus apie pridėtą komentarą
• Vartotojas paprastai gali matyti, kuris redaktorius tuo
metu tvarko dokumentą arba failą, nes daugumoje
produktų redaktoriaus dabartinė padėtis yra indikuojama
tam tikra spalva/žymekliu. Vartotojas taip pat gali matyti
ir pakeitimų istoriją, kitų vartotojų atliktus pakeitimus
išskiriant konkrečia spalva
12
Google Drive (Google Docs)
• Sukurti dokumentai gali būti saugomi tiek Google diske,
tiek ir vartotojo vietiname kompiuteryje įvairiais
formatais (ODF, HTML, PDF, RTF, teksto, Microsoft Office)
• Dokumentai automatiškai išsaugomi Google serveriuose,
siekiant išvengti duomenų praradimo. Taip pat
automatiškai išsaugoma ir peržiūros bei redagavimo
istorija, kad galima būtų matyti anksčiau atliktus
keitimus. Dokumentai gali būti pažymėti ir glaudinami
(archyvuojami)
• Paslaugą oficialiai palaiko naujausių versijų Firefox,
Internet Explorer, Chrome naršyklės, veikiančios
Microsoft Windows, Apple Mac OS X ir Linux operacinių
sistemų aplinkoje
13
Google Picasa
• Google Picasa – automatinė skaitmeninės fotografijos
tvarkyklė, sukurta Lifescape 2002 m.
• Nuotraukų tvarkymui Picasa turi failų importavimo ir
peržiūros funkcijas, taip pat žymeles, veido atpažinimą,
pasižymi paprastu ir nesudėtingu valdymu ir siūlo nemaža
efektų: spalvos ryškinimą, raudonų akių efekto šalinimą ir
iškarpų darymą, komentaro pridėjimą prie nuotraukos.
• Paveikslėliai gali būti sudėlioti į albumus, o šie savo
ruožtu į kolekcijas. Vaizdai gali būti parengti išoriniam
naudojimui, pavyzdžiui, siuntimui elektroniniu paštu ar
spausdinimui, mažinant failo dydį ir nustatant puslapio
dydį. Yra integracija su internetine nuotraukų
spausdinimo paslauga.
14
Gmail
Gmail – nuo 2004 m. „Google“ korporacijos teikiama nemokama
web ir POP3 elektroninio pašto dėžutė.
• Kiekvienam vartotojui suteikiama daugiau nei 7 GB dydžio
elektroninio pašto dėžutė
• Leidžia naudotis elektroninių laiškų paieška pagal laiško turinį
• Galima prie siunčiamo laiško prisegti iki 20 MB dydžio failą
• Laiškus galima rūšiuoti ir pagal temą
• Kitas unikalus dalykas – galimybės laiškams priskirti etiketes
• Mėgstantiems pokalbius internete turėtų patikti integruota
skubiųjų žinučių sistema Jabber/XMPP interneto standarto
pagrindu.
15
Gmail
• Prie Gmail pašto dėžutės galima prisijungti per
dauguma mobiliųjų telefonų, palaikančių GPRS
funkciją. Yra galimybė prijungti keletą kitų pašto
dėžučių naudojant POP3 protokolą.
• Google paslaugų paketas yra prieinamas
naudojant vieną Google prieigą – paprastai tai
GMail adresas ir pasirinktas slaptažodis.
16
Dropbox
• Dropbox sukurta 2007, o plačiam naudojimui
perduota 2008 metais. Dabartiniu metu ji siūlo
keletą planų, tinkamų tiek individualiems
vartotojams, tiek ir verslo vartotojams
• Dropbox suteikia vartotojams galimybes
sinchronizuoti bet kurios apimties ir bet kurio tipo
failus, tam naudojant internetinės saugyklos
paslaugą
• Dropbox suderinama su daugeliu šiuolaikinių
operacinių sistemų, įskaitant Windows, Mac ir
Linux.
17
Dropbox
• Netyčia pašalinus failą ar į jo vietą įrašius kitą,
Dropbox gali užtikrinti, kad svarbi informacija
nebūtų prarasta: čia 30 dienų saugoma vartotojo
kiekvieno failo sugrąžinimo (undo) istorija, todėl
galima atkurti tiek pašalintus failus, tiek ir
ankstesnes jų versijas.
• Naudojant Dropbox, iš bet kurios darbo vietos gan
paprastai galima pasiekti ir bendrai naudoti failus.
Apie bet kokius pakeitimus tuojau pat informuojami
kiti Dropbox vartotojai. Galima kurti bendrus
aplankus ir nustatyti reikiamas prieigos teises
18
Dropbox
• Dropbox dabar turi programėles mobiliesiems
įtaisams (iPhone, iPad, BlackBerry ir Android
įtaisams). Naudodami šias programėles, vartotojai
gali tvarkyti visus savo failus ir aplankus, nusiųsti
naujus failus, peržiūrėti saugykloje saugomus failus.
• Vienas iš svarbių Dropbox privalumų – paprasta
vartotojo sąsaja ir galimybė vartotojams kurti foto
galerijas.
• Saugumui užtikrinti Dropbox naudoja SSL šifravimą
19
iCloud Drive
• iCloud – virtuali informacijos saugykla internete,
kurią sukūrė ir 2011 m. pristatė kompanijos Apple
Inc. specialistai; nuo 2014 m. vadinama iCloud
Drive
• Jos paskirtis – saugoti debesyje vartotojo muziką,
nuotraukas, programas, kalendoriaus įrašus,
dokumentus ir kitą informaciją
• Kiekvienam vartotojui saugykloje suteikiama
nemokamai 5 GB saugoti elektroninį paštą,
dokumentus ir atsarginių kopijų failus. Tiesa, reikia
mokėti už muzikinių įrašų, kurie įsigyti ne iTunes
parduotuvėje, laikymą
20
iCloud Drive
Pagrindinės iCloud Drive vykdomos funkcijos:
• visų kontaktų sinchronizacija;
• nusipirkta programa ar knyga pasiekiama visuose
kliento įtaisuose;
• klientui naudojant iPhone, iPad, iPod Touch įtaisus,
per Wi-Fi automatiškai kaupiama pirkta muzika,
programėlės, knygos, nuotraukos, vaizdo įrašai;
• automatiškai atnaujinami dokumentai;
• informacija automatiškai persiunčiama tarp
skirtingų įtaisų.
21
iCloud Drive
• iCloud Drive dirba Microsoft Azure ir Amazon Web Services
serveriuose
• Norint prisijungti prie iCloud, reikalingas iPhone 3Gs arba
naujesnis, iPod touch (3 kartos arba naujesnis), iPad arba iPad
mini, kuriuose įdiegta iOS 5 arba vėlesnė versija, Mac kompiuteris,
kuriame įdiegta OS X Lion v10.7.5 ar vėlesnė versija, arba PC,
kuriame įdiegta Windows 7 arba Windows 8 (Outlook 2007 ar
vėlesnė versija arba reikalinga naujausia naršyklė, kad būtų galima
pasiekti elektroninį paštą, kontaktus ir kalendorius). Kai kurioms
funkcijoms reikalingas Wi Fi ryšys.
22
iCloud Drive
• Įkeliant failus į iCloud Drive, jie ir toliau užima
vietą Apple įtaise. iCloud saugo failus
lygiagrečiai su išmaniuoju telefonu ar planšete
(t.y., jie saugomi ir debesyje, ir jūsų įtaise)
• Kalendoriai, kontaktai, žymelės, nuotraukos,
dokumentai, iCloud Drive yra užžifruotos 128
bitų AES sistema tiek saugant jas serveriuose,
tiek ir persiuntimo metu, paštas IMAP pašto
serveriuose nėra šifruojamas, tačiau
persiuntimas tarp galinių įtaisų ir iCloud Mail
yra šifruojamas SSL 23
Debesų kriminalistika
24
Debesų kriminalistika
• Pastaruoju metu auga skaičius nusikaltimų, kurie susiję su
kompiuteriais ir internetu, todėl tai skatina kūrimą naujų
produktų, kuriais siekiama padėti teisėsaugai renkant ir
panaudojant skaitmeninius įrodymus, padedančius
nustatyti nusikaltėlius, nusikaltimų metodus, laiką ir aukas
• Vystomi skaitmeniniai ekspertizės metodai siekiant
užtikrinti tinkamą kompiuterinių ir elektroninių
nusikaltimų įrodomųjų duomenų pateikimą teisme
• Pagal 2008 metų FTB statistinius duomenis JAV
skaitmeninės kriminalistikos duomenų apimtis vidutiniškai
augo 35% per metus – nuo 83 GB 2003 m. iki 277 GB 2007
m.
25
Debesų kriminalistika
• Debesų kompiuterijos plitimas ne tik paaštrino
skaitmeninės kriminalistinės veiklos problemą, bet
taip pat sudarė prielaidas naujiems elektroninių
nusikaltimų tyrimams vystyti
• Teismo praktikai turi plėsti savo žinias skaitmeninės
ekspertizės srityje ir sugebėti naudoti atitinkamus
įrankius debesų kompiuterijos aplinkoje. Kartu jie
turėtų padėti debesų paslaugų teikėjams ir
klientams, vystant įkalčių paieškos galimybes, kas
mažintų saugumo riziką debesyse
26
Debesų kriminalistika
Nusikaltimai debesyse yra bet kokie nusikaltimai, susiję su debesų
kompiuterija. Debesis gali būti nusikaltimų objektas, subjektas arba
įrankis:
• debesis yra nusikaltimo objektas, kai debesų paslaugų teikėjas yra
nusikaltimo tikslas ir į jį tiesiogiai nukreipiama nusikalstama veika;
pavyzdžiui, DDoS (Distributed Denial of Service) ataka, nukreipta į
debesies dalį ar net visą debesį;
• debesis yra nusikaltimo objektas, kai jis yra aplinka, kurioje
nusikaltimas vykdomas; pavyzdžiui, neteisėtas debesyje saugomų
duomenų modifikavimas ar sunaikinimas, debesies vartotojų tapatybės
vagystė;
• debesis taip pat gali būti priemonė, naudojama nusikaltimui atlikti arba
planuoti; pavyzdžiui, debesyje gali būti saugomi ir bendrinami
nusikaltimo įkalčiai, debesis gali būti naudojamas pulti kitus debesis
27
Debesų kriminalistika
• Debesų kriminalistika gali būti apibrėžta kaip
skaitmeninės ekspertizės taikymas debesų
kompiuterijoje
• Debesų kompiuterijos nauda yra priežastis, kuri
kelia kriminalistinės bendruomenės susirūpinimą
• Debesies išplečiamumas (scalability) reiškia, kad
toje pačioje laikmenoje gali būti laikomi
duomenys iš skirtingų šaltinių, o tyrėjas gali
netyčia paimti kito vartotojo duomenis
28
Debesų kriminalistikos naudojimas
tyrimams
• nusikalstamumo debesyse ir pažeidimų kelių
jurisdikcijų ar kelių debesies naudotojų aplinkoje
tyrimai;
• įtartinų sandorių ir operacijų debesyje tyrimas,
siekiant reaguoti į incidentus;
• įvykio debesyje rekonstrukcija;
• priimtinų įrodymų teikimas teismui;
• bendradarbiavimas su teisėsauga konfiskuojant
išteklius
29
Debesų kriminalistikos naudojimas
• duomenų failų ir jų savininkų vietos nustatymas
virtualiai ir fiziškai debesų aplinkoje;
• pavienių įvykių ar tendencijų, kurios laikui bėgant
iššaukia didelį incidentų skaičių, priežasčių
nustatymas ir naujų strategijų, kurios padėtų išvengti
panašių incidentų pasikartojimo, parengimas;
• įvykio debesyje sekimas ir jo būsenos įvertinimas;
• įvairių debesų programų ir debesų paslaugų
problemų sprendimas;
• saugumo incidentų sprendimas debesyje
30
Debesų kriminalistikos naudojimas
• stebėsenai - kelių debesų sistemų žurnalų įrašų
surinkimas, analizavimas ir sąryšių analizė;
• duomenų debesyje, kurie buvo atsitiktinai ar
tyčia ištrinti arba modifikuoti, atkūrimas;
• užkoduotų duomenų debesyje, atkūrimas, kai
prarastas šifravimo raktas;
• atsitiktinai sugadintų ar išpuoliais pažeistų
sistemų atkūrimas;
• duomenų debesyje, kurie yra perkelti į kitą vietą
ar nurašyti, išgavimas.
31
Debesų kriminalistika - problemos
• Techniniu požiūriu - turime gan ribotas priemones
• Teisiniu aspektu - šiuo metu nėra susitarimo tarp
debesų organizacijų dėl bendradarbiavimo atliekant
tyrimus. Nėra sutarta ir dėl pareigų atskyrimo tarp
debesų paslaugų teikėjų ir debesų klientų
• Debesų klientai susiduria su sumažėjusia prieiga
prie įrodymų. Prieiga prie jų priklauso nuo debesies
modelio: IaaS klientai turi gana lengvą prieigą prie
visų duomenų, reikalingų kriminalistiniam tyrimui,
tuo tarpu SaaS vartotojai gali turėti labai mažą
prieigą prie reikalingų duomenų ar jos išvis neturėti.
32
Debesų kriminalistika - problemos
• Sumažėjusi prieiga prie tyrimui reikalingų duomenų
reiškia, kad debesų klientai paprastai negali kontroliuoti ar
net žinoti savo duomenų fizinės vietos; vieta gali būti
nurodoma aukštesnio lygio abstrakcija, tokia kaip objektas
ar konteineris
• Debesų paslaugų teikėjai nuo klientų tyčia slepia duomenų
laikymo vietą, kad palengvintų duomenų judėjimą ir
replikavimą
• Daugelis paslaugų teikėjų nesudaro sąlygų klientams rinkti
kriminalistinius duomenis. Pavyzdžiui, SaaS paslaugų
teikėjai gali nesuteikti prieigos prie kreipinių žurnalo įrašų;
IaaS teikėjai gali neteikti tokios informacijos, kaip VM ir
disko atvaizdai
33
Debesų kriminalistika - problemos
• Įkalčiams paprastai būdingas trapumas ir
nepastovumas. Renkant įrodymus reikia būti
atsargiems, kad jų nesuklastotume ar net
nesunaikintume. Ši problema yra aktuali ne tik
skaitmeniniame pasaulyje. Renkant skaitmeninius
įrodymus, tyrėjas gali sukurti tapačią jų kopiją
laikmenoje, prieš pradėdamas įrodymų analizę. Šis
metodas yra veiksminga priemonė užkertant kelią
galimam įrodymų sunaikinimui analizės metu, tačiau
debesų aplinkoje paprastai yra nelengva tai padaryti
34
Debesų kriminalistika - problemos
• Kita problema yra kontekstas, kuriame egzistuoja
įrodymai. Išorės ekspertai gali iš pirmo žvilgsnio
nepastebėti, kaip tarpusavyje koreliuoja įvairiuose
debesų sistemos komponentuose esantys įrodymų
fragmentai. Tai tinka ir tradicinėms IT sistemoms, bet
debesyse, įvertinant jų tarptautinę ir tarpnacionalinę
struktūrą, analizuoti ir vertinti viską yra sunkiau
• Nemaža problema kriminalistams yra debesų
saugyklų talpos augimas. Jie susiduria su reikalingų
įrodymų paieška milžiniškose saugyklose ir didelėmis
laiko, reikalingo jų analizei, sąnaudomis
35
Debesų kriminalistika - problemos
• Užtikrinti saugumą įrodymų globos grandinėje
taip pat sunku. Debesų paslaugų teikėjai turi
galimus įrodymus, tačiau kaip vartotojas gali būti
tikras, kad įrodymai yra tikri ir nebuvo specialiai
įdėti trečiąja šalimi? Šiame kontekste terminas
„duomenų kilmė“ tampa labai prasmingas: tai
apima duomenų fragmento ištakas ir kaip jis
galėjo būti modifikuotas, tai yra, kas peržiūrėjo ar
modifikavo duomenų fragmentą tam tikru laiko
momentu.
• Šiandienos debesų aplinkoje yra sunku ar net
neįmanoma naudoti automatinius
kriminalistikos įrankius. Tenka atskirai peržiūrėti
ir apdoroti kiekvieną atvejį atskirai
36
Elektroninio pašto kriminalistika
37
Elektroninio pašto kriminalistika
• Spartus elektroninio pašto duomenų srauto apimties augimas
(kasmet išsiunčiama daugiau kaip 100 trilijonų tarnybinių ir
privačių elektroninių laiškų) atvėrė duris piktnaudžiauti
nusikaltėliams ir teroristams, nes tokiu būdu jie gali išlikti
anonimiški
• Šis elektroninio pašto anonimiškumo faktorius sudaro sunkumus
teismo tyrėjams identifikuojant elektroninių laiškų autorystę
• Visgi šiandien beveik kiekvienu teisminio nagrinėjimo atveju
elektroniniai laiškai gali būti panaudoti kaip svarbus įrodomosios
medžiagos komponentas
• Ištrinti laiškai dažnai gali būti atkurti, net jei jie buvo sąmoningai
ištrinti. Atkurti gali būti ir metaduomenys, pavyzdžiui,
elektroninio pašto adresai, laiko žymos ir t.t., o tai taip pat gali
būti labai naudinga atliekant kriminalistinį tyrimą
38
Elektroninio pašto kriminalistika
• Elektroninio pašto klientai ir serveriai dažnai yra tikros duomenų bazės,
kartu su dokumentų saugyklomis, kontaktų tvarkyklėmis, kalendoriais ir
daugeliu kitų funkcijų, kurios visos gali būti prieinamos teismo
ekspertams
• Tam palanku ir tai, kad tokios organizacijos, kaip bankai ar finansų
maklerio įmonės, naudoja laiškų saugojimo vietoje politiką arba juos
archyvuoja ir saugo daugelį metų, kad esant reikalui atrastų juos,
panaudodami paieškos priemones
• Elektroniniai laiškai gali būti laikomi vartotojui nežinomuose serveriuose
arba atsarginėse kopijose, kurios daromos įprasta tvarka
• Teismo ekspertai sugeba ištraukti pašto įkalčius iš kompiuterių, pašto
serverių ir elektroninio pašto serverių, taip pat iš išmaniųjų telefonų,
mobiliųjų telefonų, planšečių ir kitų mobiliųjų įtaisų
39
Elektroninio pašto kriminalistų
problemos
• Nuolat augantis kompiuterių vartotojų skaičius ir vis
platesnis informacinių ir ryšių technologijų naudojimas
lėmė elektroninio nusikalstamumo padidėjimą
• Nusikaltėliai tapo išradingais ir sugeba pavogti asmeninę
vartotojų informaciją, sukčiauja (phishing) ir nukreipia
internetinį srautą į fiktyvias svetaines (pharming)
• Techninių žinių ir įgūdžių trūkumas. Paprastai elektroninio
pašto tyrimus vykdo teisėsaugos institucijos, o teismo
ekspertams dažnai trūksta įgūdžių, todėl reikalingas ir
skaitmeninių kriminalistinių ekspertų ugdymas
40
Elektroninio pašto kriminalistų
problemos
• Pastebima, kad daugelis organizacijų nuvertina
reikalavimus, kuriuos teisinė sistema kelia skaitmeniniams
įrodymams, kad jie būtų teisiškai priimtini teisme. Todėl
teismo ekspertams reikalingos metodikos, kurios užtikrintų
atitikimą įstatymo reikalavimams
• Kitas svarbus iššūkis, su kuriuo susiduria teismo ekspertai,
yra jų žinioje turimų priemonių (įrankių) trūkumai:
– Šios priemonės turi trumpą gyvenimo trukmę ir todėl dažnai jos
nespėja žengti į koją su šiuolaikiniais kriminalistiniais tyrimais
– Kai kurie įrankiai buvo sukurti maždaug prieš dešimtmetį, todėl
turi trūkumų, pavyzdžiui, nepakankamą informacijos
apdorojimo greitį ir klaidų programinėje įrangoje
41
Elektroninio pašto kriminalistų
problemos
• Sparčiai auga adorotinos informacijos apimtis.
Pavyzdžiui, dar 2009 finansiniais metais JAV
Regioninėje kompiuterinių nusikaltimų tyrimo
laboratorijoje (Regional Computer Forensics Labs)
buvo apdorota 2334 terabaitai informacijos. Tam
reikalingi ir nauji techniniai pajėgumai, ir nauji
įrankiai
42
Elektroninio pašto kriminalistika
• Specialistai surinktus laiškus ir kitus ryšio dokumentus
gali susieti pagal datą, temą, gavėją ar siuntėją ir
pateikti labai suprantamą ir lengvai atsekamą įvykių,
veiksmų ir objektų vaizdą
• Tam naudojami specialūs įrankiai, užtikrinantys
aukštus standartus atitinkančią teisminės
informacijos vientisumą
• Per praktinį užsiėmimą panagrinėsime pėdsakų
paiešką trijose elektroninio pašto sistemose:
– Windows Essentials
– Microsoft Outlook
– Mozilla Thunderbird
43
Windows Essentials
• Windows Essentials (anksčiau vadinta Windows
Live Essentials ir Windows Live Installer) yra
nemokamas Microsoft programų rinkinys, kuris
apima integruotą elektroninį paštą, momentinių
pranešimų tarnybą, keitimąsi nuotraukomis,
internetinį dienoraštį ir saugos paslaugas
• Windows Essentials programos yra gerai
integruotos tarpusavyje, taip pat su Microsoft
Windows ir su tokiomis Microsoft žiniatinklio
paslaugomis, kaip SkyDrive ir Outlook.com
44
Windows Essentials 2012 paketas
Windows Essentials 2012 paketą sudaro:
• Windows Live Messenger – realaus laiko pokalbių
programa (dabar jau Skype);
• Windows Photo Gallery – visas reikalingas nuotraukų
tvarkymo, redagavimo ir publikavimo funkcijas
vykdanti programa;
• Windows Movie Maker – programa, įgalinanti lengvai
sukurti filmą iš nuotraukų ir vaizdo įrašų;
• Windows Live Mail – el. pašto programa, palaikanti
keletą abonentų, kalendorių ir savo kontaktus;
45
Windows Essentials 2012 paketas
• Windows Live Writer – programa, įgalinanti kurti interneto
dienoraščio įrašus, įtraukiant į juos nuotraukas, vaizdo įrašus,
žemėlapius ir kt.;
• SkyDrive for Windows – failų saugykla;
• Outlook Connector Pack – ryšio su Microsoft Outlook
programa, įgalinanti naudoti Microsoft Office Outlook 2003,
Microsoft Office Outlook 2007 arba Microsoft Office Outlook
2010 tam, kad pasiektume ir valdytume savo Microsoft
Windows Live Hotmail arba Microsoft Office Live Mail
paskyras, įskaitant elektroninio pašto pranešimus, kontaktus ir
kalendorius;
• Windows Live Family Safety (tik Windows 7) – šeimos
paslaugų paketų kontrolės įrankis.
46
Microsoft Outlook
Microsoft Outlook pašto klientas naudoja Personal Folder File
(PFF) – asmeninių failų katalogą užduočių informacijai,
kontaktams, susitikimų planavimui, pastaboms ir kitai
informacijai laikyti. Yra trys skirtingi PFF tipai:
• Personal Address Book (PAB) – asmeninė adresų knygutė,
kurioje saugoma kontaktų informacija. Šie failai turi .pab plėtinį.
• Personal Storage Table (PST) – čia laikoma visa informacija apie
susitikimus, laiškus, užduotis, pastabas. Ši informacija yra dviejų
tipų: einamoji ir archyvas. Šie failai saugomi .pst plėtiniu.
• Offline Storage Table (OST) – čia laikoma visa informacija apie
susitikimus, laiškus, užduotis, pastabas režimu, kuriam
nereikalingas internetinis ryšys (offline) Offline Folder File (OFF)
– nereikalaujantis ryšio failų katalogas, kuriame saugoma
informacija .ost failų plėtiniu.
47
Mozilla Thunderbird savybės
• Dirba įvairiose operacinėse sistemose, palaiko
XHTML, JavaScript, CSS
• Turi įvairių priedų, temų, įdiegiamų į programą
• Yra galimybė dirbti su keletu pašto dėžučių arba
naujienų abonentų vienu metu
• Veikia laiškų paieška, filtravimas
• Galima importuoti nustatymus, laiškus ar adresų
knygas iš kitų el. pašto programų
• Naudojama adresų knyga, darbo su LDAP katalogais ir
adresų automatinio užbaigimo priemonės.
• Palaikomos įvairios kalbos (lietuviškos, rusiškos, UTF-
8 ir kitos koduotės)
48
Mozilla Thunderbird savybės
• Standartiškai nustatyta nevykdyti JavaScript ar VBScript,
todėl nėra galimybės „užsikrėsti“ virusais peržiūrint laišką.
• Šlamšto (spam) valdymas. Į programą integruotas efektyvus
šlamšto valdymo mechanizmas analizuoja gaunamus
laiškus, aptinka įtartinus laiškus ir žymi juos kaip šlamštą.
• Galima keisti priemonių juostų struktūrą, rūšiuoti laiškus,
rodyti tik tam tikros kategorijos laiškus, sudaryti rodomų
laiškų kategorijas.
• Naujienos RSS formatu. Programoje galima užregistruoti
svetainių RSS kanalus ir skaityti RSS kanalų pavidalu
pateikiamą turinį.
• Turi svarbias saugumą užtikrinančias savybes (S/MIME,
skaitmeninis parašas, liudijimai, darbas su saugumo
moduliais).
49
Klausimai?
Nusikaltimai elektroninėje erdvėje ir jų
tyrimų metodikos
(T120M152)
Š. Grigaliūnas
2020
Debesų technologijų ir elektroninio
pašto naudojimas
Šiame užsiėmime:
• Įdiegsime Windows Essentials
• Atliksime informacijos paiešką registruose
• Įdiegsime Microsoft Outlook pašto klientą
• Atliksime pašto analizę
• Įdiegsime Mozilla Thunderbird pašto klientą
• Atliksime in-situ analizę
2
Windows Essentials –
diegimas ir pėdsakai
3
Windows Essentials diegimas
Diegimui naudosime Windows Essentials paketą
(http://windows.microsoft.com/en-us/windows-live/essentials ): 2011
m. jis buvo pritaikytas Windows XP/Vista7, o 2012 m. – Windows 7/8.
Visos programos valdomos vienu vartotojo profiliu:
4
Windows Essentials diegimas
Programa yra diegiama į:
• C:\Program Files (x86)\Windows Live,
• C:\Program Files (x86)\Windows Live\Contacts,
• C:\Program Files (x86)\Windows Live\Family Safety,
• C:\Program Files (x86)\Windows Live\Installer,
• C:\Program Files (x86)\Windows Live\Mail,
• C:\Program Files (x86)\Windows Live\Messenger,
• C:\Program Files (x86)\Windows Live\Photo Gallery,
• C:\Program Files (x86)\Windows Live\Shared,
• C:\Program Files (x86)\Windows Live\SOXE,
• C:\Program Files (x86)\Windows Live\Writer
5
Windows Essentials diegimas
Vartotojo profilis ir kriminalistiniam tyrimui aktualūs
failai:
• C:\Users\<vartotojas>\AppData\Local\Windows Live Writer,
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Feeds,
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Messenger,
• C:\Users\<vartotojas>\AppData\Local\Microsoft\SkyDrive,
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Windows Live,
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Windows Live Mail,
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Windows,
Live\Contacts\alarvelis@outlook.com\15.5\DBStore\contacts.edb (kontaktų
failas),
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Windows
Live\Contacts\alarvelis@outlook.com\15.5\DBStore\dbstore.ini (programos
paskutinio paleidimo ir paskutinio užgesinimo laikas),
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Windows
Live\Contacts\alarvelis@outlook.com\15.5\DBStore\LogFiles. 6
Windows Essentials diegimas
Messenger Log (žurnalai):
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Messenger\
contactslog.txt
SkyDrive Log (žurnalai):
• C:\Users\<vartotojas>\AppData\Local\Microsoft\SkyDrive\se
tup\logs\yyyy-mm-dd_sukūrimolaikas_xxx-xxx.log (vartotojo
SkyDrive usersid ir kita naudinga informacija).
Messenger vartotojo paskyra (sujungtas su
Outlook.com/Hotmail.com paveikslėliu):
• C:\Users\<vartotojas>\AppData\Local\Microsoft\Messenger\
user@outlook.com\ObjectStore\UserTile\g
ADSFafsdgsf3shs4fdgSFD25sd=.dt2
7
Windows Essentials vartotojo profilis
Prisijungus naudojant naršyklę galima rasti
kokiomis paslaugomis vartotojas naudojasi:
8
Informacijos paieška registruose
Diegimo metu OS registre sukuriami skirtingi raktai
(nustatymai) ir reikšmės:
• HKEY_USERS\S-1-5-21-2717992307-2921726419-3291764464-
1000\Software\Microsoft\IdentityCRL\OfflineCreds,
• HKEY_USERS\S-1-5-21-2717992307-2921726419-3291764464-
1000\Software\Microsoft\Windows Live
Mail\PerPassportSettings,
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curre
ntVersion\Installer\UserData\S-1-5-
18\Products\032440EF5AC97F34B985A55C2AA8F133\InstallPro
perties,
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft
\Windows\CurrentVersion\Uninstall\WinLiveSuite
9
Registrų informacijos pavyzdys
"URLInfoAbout"="http://explore.live.com/windows-live-essentials"
"WLWave"="4"
"DisplayName"="Windows Live Essentials"
"DisplayName_Localized"="@C:\\Program Files (x86)\\Windows
Live\\Installer\\wlsres.dll, -3002"
"DisplayIcon"="C:\\Program Files (x86)\\Windows Live\\Installer\\wlarp.exe"
"UninstallString"="C:\\Program Files (x86)\\Windows Live\\Installer\\wlarp.exe"
"InstallLocation"="C:\\Program Files (x86)\\Windows Live\\"
"Publisher"="Microsoft Corporation"
"DisplayVersion"="15.4.3555.0308"
"Language"=dword:00000009
"URLUpdateInfo"="http://explore.live.com/windows-live-essentials"
10
Informacijos paieška registruose
11
Windows Live Mail poėmis
In situ arba vėlesnei analizei galima naudoti nemokamą elektroninio
pašto peržiūros programinę įrangą MiTeC Mail Viewer, kurią galima
parsisiųsti iš http://www.mitec.cz/mailview.html tinklapio
12
Elektroninio pašto naršymas
13
Elektroninio pašto naršymas
Galima peržiūrėti pasirinktą elektroninį laišką, jei jis
pasirodys aktualus tyrimo eigai
14
Elektroninio pašto naršymas
Jeigu elektroninio pašto paslauga ir toliau yra įjungta, galime pasinaudoti
nemokama programa Mail Password Decryptor
(http://securityxploded.com/mail-password-decryptor.php):
15
Elektroninio pašto naršymas
Dešifruoti elektroninio pašto vartotojo vardas ir slaptažodis:
Internet Explorer version : 11.0.9600.16428
Username : user
Password List
**************************************************
Application: Firefox
Username : Čia Vartotojo Vardas
Password : Slaptažodis
16
Microsoft Outlook –
diegimas ir pėdsakai
17
Microsoft Outlook diegimas
• Microsoft Outlook pagal nutylėjimą įdiegiama į
C:\Program Files\Microsoft Office\Office15\
katalogą.
• Vartotojo konfigūraciniai failai yra saugomi pagal
sistemos vartotoją, todėl kiekvienas OS vartotojas
turi savo Microsoft Outlook konfigūraciją
(C:\Users\<vartotojas>\AppData\Local\Microsoft\Outlook\).
18
Microsoft Outlook diegimas
Taip pat gali pasitaikyti toks atvejis, kad vartotojas
turės ne vieną, o kelis pašto profilius skirtingiems
tikslams. Todėl aktualius failus iš vartotojo katalogo
reikia paimti visus jo sukurtus profilius.
Diegimo metu OS registre sukuriami skirtingi raktai
(nustatymai) ir reikšmės:
• HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook
• HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Ou
tlook
• HKEY_CLASSES_ROOT\Installer\Assemblies\Global
• HKEY_CLASSES_ROOT\feed\DefaultIcon
19
Microsoft Outlook diegimas
20
Elektroninio pašto naršymas
• Elektroninio pašto skaitymui ir analizei naudosime
nemokamą programinę įrangą Kernel OST Viewer , kurią
galima parsisiųsti iš http://soft.udm4.com/Email-
Tools/OST_Viewer.html svetainės
• Ši programa atveria .OST failą, kai nėra užmegztas ryšys
su MS Exchange Server
• Ji skenuoja .OST failą ir parodo visą jo turinį – elektroninį
paštą, kontaktų sąrašą, užrašus (Notes), kalendoriaus
įrašus ir t. t. – atitinkamuose aplankuose
21
OST failų peržiūros programa
22
Elektroninio pašto naršymas
• Taip pat galima naudoti (jei bus .PST failas – senesnė
Microsoft Outlook versija) kitą programinę įrangą – Free
Inbox Viewer, kurią galima parsisiųsti iš
http://www.osforensics.com/email-viewer.html
svetainės
• Ši programa gali ištraukti bet kurį elektroninį laišką tiesiai
iš archyvo, tam nenaudojant elektroninio pašto
programos (jos nereikia įdiegti)
• Tinka daugeliui populiarių elektroninio pašto programų,
pavyzdžiui, Outlook, Thunderbird
23
Elektroninio pašto naršymas
Su šia programine įranga, įvertinant Offline Storage Table
(.OST) failo formato informacijos laikymo ypatybes, galima
išgauti visą naudingą tyrimui informaciją:
• elektroninius laiškus ir susirašinėjimą – išsiųsti ir gauti laiškai,
laiškų juodraščiai;
• elektroninio pašto archyvą;
• kalendorius;
• kontaktus;
• dienyną (Journal);
• RSS (naujienų) užsakymą;
• švenčių sąrašus (tik išsaugotus arba prisirašytus);
• užduotis.
24
OST faile esantis kalendorius
25
OST faile esantys kontaktai
26
Elektroninio pašto analizė
Be elektroninio laiško antraščių (header) peržiūrėjimo, galima
papildomai rasti ir daug svarbios informacijos naudojantis
OST failų skaitymo programos Advanced Properties View
funkcija. Antraštėje randame informaciją apie:
• X-Received / Received - siuntėją (POP atveju – IP adresas);
• Message-ID: <BAY182-
DS117829534F163F530EBA2BB4E40@phx.gbl> – unikalus pašto
žinutės ID;
• X-Mailer – elektroninio pašto klientas;
• X-OriginalArrivalTime – tikslus pašto gavimo laikas;
• Date – data ir laikas, rodomi elektroniniame laiške
27
Elektroninio pašto analizė
28
Elektroninio pašto antraštės analizė
Pačių pašto antraščių gilesnę analizę galima atlikti
naudojantis Kernel OST Viewer programine įranga:
29
Elektroninio pašto naršymas
In situ atveju, jei vartotojas vykdo susirašinėjimą iš savo kompiuterio,
dažniausiai informacija apie prisijungimą yra išsaugoma įdiegtoje
programinės įrangos konfigūraciniuose failuose (senesnėse Microsoft
Outlook versijose – iki Outlook 2013). Naudojant nemokamą
programinę įrangą Outlook Password Decryptor, galima dešifruoti
vartotojo prisijungimo vardą ir slaptažodį
30
Elektroninio pašto naršymas
Čia gauname papildomos informacijos apie Outlook
paskyros vardą ir slaptažodį:
• Email Address – elektroninio pašto adresas;
• Username – sistemos vartotojas;
• Password – Outlook paskyros slaptažodis;
• Account Type – prieigos prie pašto tarnybinės stoties
tipas;
• Server Name – pašto tarnybinė stotis (adresas).
31
Elektroninio pašto naršymas
33
Mozilla Thunderbird diegimas
Thunderbird programinė įranga pagal nutylėjimą įdiegiama į
C:\Program Files (x86)\Mozilla Thunderbird katalogą.
Vartotojo konfigūraciniai failai yra saugomi pagal sistemos
vartotoją, todėl kiekvienas OS vartotojas turi savo
Thunderbird konfigūraciją:
34
Mozilla Thunderbird diegimas
Elektroninio pašto duomenų sinchronizavimui pagal
nutylėjimą naudojami profilio <*.default> kataloge
\ImapMail\imap.googlemail.com\ esantys failai. Visas e.
paštas yra INBOX faile. Diegimo metu OS registre sukuriami
skirtingi raktai (nustatymai) ir reikšmės:
• HKEY_CLASSES_ROOT\Applications\thunderbird.exe\shell\open\com
mand\
• HKEY_CLASSES_ROOT\Local
Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Program
Files (x86)\Mozilla Thunderbird\thunderbird.exe
• HKEY_CLASSES_ROOT\Thunderbird.Url.mailto\DefaultIcon\
• HKEY_CLASSES_ROOT\Thunderbird.Url.mailto\shell\open\command\
• HKEY_CLASSES_ROOT\mailto (papildomai)
• HKEY_CLASSES_ROOT\.eml (papildomai).
35
Mozilla Thunderbird diegimas
Kiti failai sukuriami kliento diegimo metu (greito paleidimo
failai). Juos galima rasti C:\Windows\Prefetch kataloge:
36
Thunderbird Prefetch analizė
37
Thunderbird pašto analizė
• Kiti failai, kurie gali būti naudingi atliekant in situ tyrimą,
taip pat yra <vartotojas> profilio kataloge
• Čia rasime naudingus failus – SQLite duomenų bazes,
kuriose saugoma informacija apie vartotojo elektroninio
pašto kontaktus
• Duomenų bazių informacijos peržiūrai naudosime BD
Browser for SQLite, kurį galima parsisiųsti iš
http://sqlitebrowser.org/. Tai atviro kodo programinė
įranga, skirta su SQLite suderinamiems duomenų bazių
failams kurti ir redaguoti
38
Thunderbird kontaktų duomenų bazė
BD Browser for SQLite pateikiamos informacijos
pavyzdys:
39
Thunderbird susirašinėjimo duomenų
bazė
Ši peržiūros programa padės rasti informaciją apie
vartotojo susirašinėjimą:
40
Thunderbird IMAP pašto duomenų
bazė
Ši peržiūros programa padės peržiūrėti vartotojo
IMAP pašto sinchronizavimo katalogus:
41
Elektroninio pašto analizė
Analizuodami paštą, pasitelksime pašto failo INBOX
antraščių analizę:
From - Tue Jun 30 03:31:07 2015
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Delivered-To: alarvelis@gmail.com
Received: by 10.28.214.18 with SMTP id n18csp3264305wmg;
Thu, 16 Apr 2015 04:38:47 -0700 (PDT)
X-Received: by 10.68.68.176 with SMTP id x16mr55359682pbt.95.1429184326567;
Thu, 16 Apr 2015 04:38:46 -0700 (PDT)
Return-Path: <alarvelis@hotmail.com>
Received: from BAY004-OMC2S25.hotmail.com (bay004-omc2s25.hotmail.com.
[65.54.190.100])
by mx.google.com with ESMTPS id fc4si11744920pbc.28.2015.04.16.04.38.45
for <ALarvelis@gmail.com>
.......
42
Elektroninio pašto naršymas
Čia randame tokią informaciją:
• X-Received / Received – siuntėjo informacija; POP atveju
– IP adresas;
• Message-ID: <BAY182-
DS117829534F163F530EBA2BB4E40@phx.gbl> –
unikalus pašto žinutės ID;
• X-Mailer – elektroninio pašto klientas;
• X-OriginalArrivalTime – tikslus laiško gavimo laikas;
• Date – data ir laikas, rodomi elektroniniam pašte.
43
Thunderbird pašto paskyros
dešifravimas
Thunderbird vartotojo prisijungimo vardui ir slaptažodžiui
dešifruoti galima naudoti nemokamą programinę įrangą
Thunderbird Password Decryptor:
44
Thunderbird pašto paskyros
dešifravimas
Čia gauname papildomos informacijos apie
Thunderbird (IMAP) paskyros vardą ir slaptažodį:
• Username – sistemos vartotojas;
• Email Server – pašto tarnybinė stotis (adresas);
• Password – Thunderbird paskyros slaptažodis.
45
Thunderbird pašto turinio in-situ
analizė
Pašto turinio analizei naudosime Free Inbox Viewer:
46
Thunderbird pašto turinio in-situ
analizė
Free Inbox Viewer palaiko tokius formatus:
• .pst (Outlook),
• .mbox (Thunderbird, Eudora, Unix mail ir kt.),
• .msg (Outlook),
• .eml (Outlook Express),
• .dbx (Outlook Express).
47
Pašalinus Thunderbird
Pašalinus Thunderbird, kliento konfigūracinis katalogas yra
pašalinamas, tačiau galime ieškoti ne tiesioginių failų, o
informacijos apie jų buvimą:
• prefetch failai nėra pašalinami,
• jei vartotojas ištrynė failus, galime bandyti juos atkurti.
Galima atkurti informaciją iš:
• Registry keys – programinės įrangos registrų,
• LNK failų,
• Naršyklės istorijos ir išsaugotų (cached) failų,
• Thumbnails,
• Restore points/ Volume Shadow Copies,
• Pagefile.sys,
• Hiberfil.sys.
48
Pašalinus Thunderbird
Windows registrai, kurie išlieka po programos pašalinimo:
• HKEY_CLASSES_ROOT\.xpi
• HKEY_CURRENT_USER\Software\Mozilla\Mozilla Thunderbird\
XX.X.X
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Uninstall\Mozilla Thunderbird XX.X.X
• HKEY_LOCAL_MACHINE\Software\Mozilla\Mozilla
Thunderbird\ XX.X.X
49
Bendraukime
50
Nusikaltimai elektroninėje erdvėje ir jų
tyrimų metodikos
(T120M152)
Š. Grigaliūnas
2020
Debesų technologijų ir elektroninio
pašto naudojimas
Šiame užsiėmime įdiegsime įvairias internetines
saugyklas ir ieškosime nusikaltimų pėdsakų jose:
• Google Drive
• OneDrive
• Dropbox
• Box Sync
2
Google Drive –
diegimas ir pėdsakai
3
Google Drive diegimas
• Diegimui naudosime Windows 8.1 skirtą versiją (yra versijos ir Apple
OS operacinei sistemai). Google Drive galima parsisiųsti iš
https://www.google.com/drive/download/ tinklapio. Skelbiama,
kad bus versija ir Linux operacinei sistemai (kol kas tai veikia tik
naudojantis trečių šalių programine įranga).
• Visas diegimas yra atliekamas per nuotolinę tarnybinę stotį
4
Google Drive diegimas
• Programa pagal nutylėjimą bus įdiegta į C:\Program Files
(x86)\Google\Drive (Windows 8.1) katalogą.
• Vartotojo konfigūraciniai failai yra saugomi sistemos vartotojo
srityje, todėl kiekvienas OS vartotojas turi savo Google Drive
konfigūraciją C:\Users\<vartotojas>\AppData\Local\Google\Drive\
5
Google Drive pėdsakai
Diegimo metu OS registre sukuriami tokie įrašai :
• SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\
• SOFTWARE\Google\Drive
• NTUSER\Software\Microsoft\Windows\CurrentVersion\Run\Googl
eDriveSync
• NTUSER\Software\Classes
PASTABA: registrų medis gali skirtis; čia pateikti
pavyzdžiai Windows OS 8.1 atvejui
6
Google Drive pėdsakai
• Duomenų sinchronizavimui pagal nutylėjimą
naudojamas C:\Users\<vartotojas>\Google Drive\
katalogas
• Jame būna sinchronizavimo failas sync_config.db –
SQL duomenų bazės failas, kuriame rasime Google
Drive atnaujinimo numerį, programos versijos
numerį, lokalios sinchronizacijos pagrindinio
katalogo kelią ir kitus parametrus
• Norėdami pamatyti šio failo turinį, galite panaudoti
SQL peržiūros programą, pavyzdžiui, nemokamą
SQLite Database Browser, kurią rasite adresu
https://github.com/sqlitebrowser/sqlitebrowser/rel
eases
7
Google Drive pėdsakai
Registre galime sužinoti <vartotojo> Google Drive
katalogą bei programinės įrangos versiją:
[HKEY_CURRENT_USER\Software\Google\Drive]
"Installed"="True"
"Path"="C:\\Users\\<vartotojas>\\AppData\\Local\\Google\\Drive\\"
"FileManagerRestartedVersion"="1.22.9403.0223"
"thankyoushown"=dword:00000001
8
Google Drive pėdsakai
Ten rasime ir informaciją apie įdiegtą programinę
įrangą:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\\Program Files (x86)\\Google\\Drive\\Microsoft.VC90.ATL\\"=""
"C:\\Program Files (x86)\\Google\\Drive\\"=""
"C:\\Program Files (x86)\\Google\\Drive\\Languages\\"=""
"C:\\Program Files (x86)\\Google\\Drive\\Languages\\am\\"=""
"C:\\Program Files (x86)\\Google\\Drive\\Languages\\en\\"=""
..
"C:\\Program Files (x86)\\Google\\Drive\\Languages\\lt\\"=""
"C:\\Program Files (x86)\\Google\\Drive\\Microsoft.VC90.MFC\\"=""
"C:\\Program Files (x86)\\Google\\Drive\\Microsoft.VC90.CRT\\"=""
"C:\\Windows\\Installer\\{CBC9F5FD-5CFA-4A33-81CD-369EAB77E3A6}\\"=""
"C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Google Drive\\"=""
9
Google Drive pėdsakai
Google diskas turi keletą labai naudingų dalykų, kurie
padeda nustatyti ne tik tai, ką vartotojas išsaugo
debesyje, bet ir tai, ką jis parsisiuntė iš debesies ir
išsaugojo savo sistemoje. Čia yra svarbūs trys
pagrindiniai failai:
• C:/Users/<vartotojas>/AppData/Local/Google/Drive/snapshot.db
• C:/Users/<vartotojas>/AppData/Local/Google/Drive/sync_config.db
• C:/Users/<vartotojas>/AppData/Local/Google/Drive/sync_log.txt
10
Google Drive pėdsakai
• Momentinės kopijos failas snapshot.db yra SQL
duomenų bazės failas, kuriame rasime informaciją apie
kiekvieną failą, į kurį buvo kreiptasi: kelio URL,
sukūrimo ir modifikavimo datą ir laiką (UNIX
timestamp formatu; tai laikas, skaičiuojamas
sekundėmis nuo 1970 m. sausio 1 d.; pavyzdžiui,
1436172703 atitinka 2015-07-06 08:51:43), failo MD5
reikšmę ir dydį
• Šio failo turinį galite pamatyti naudodami minėtą SQL
peržiūros programą
11
Google Drive pėdsakai
snapshot.db faile yra 6 lentelės:
12
Google Drive pėdsakai
Kitoje skaidrėje pateiktas snapshot.db failo
cloud_entry lentelės turinio pavyzdys. Šioje lentelėje
galime rasti tokią naudingą informaciją:
• doc_id – failo identifikatorius, nurodantis debesies saugykloje
laikomą failą; pirmoji jo dalis identifikuoja autoriaus paskyrą, antroji
– failą,
• filename – failo pavadinimas,
• created – failo sukurimo laikas (UNIX Timestamp formatu),
• modified – failo modifikavimo laikas (UNIX Timestamp formatu),
• checksum (MD5 hash) – failo kontrolinė suma,
• size – failo dydis,
• shared – failo bendrinimas,
• *_type – failo tipas,
• *_role – rolės prieigai,
• removed – ar failas ištrintas.
13
cloud_entry lentelė
14
Google Drive pėdsakai
• sync_config.db yra maža duomenų bazė, kurioje
laikoma informacija apie šio Google Drive diegimą
ir vartotojo abonementą.
• sync_log.log yra vietinis žurnalas, kurį tvarko
Google Drive. Jis teksto forma rodo visą neseniai
vykdytą veiklą. Skirtingai nuo anksčiau minėtų
SQLite duomenų bazių, tai tiesiogiai atveriamas
naudojamoje platformoje. Jis gali būti naudingas
nedaug, tačiau jame yra nuorodos į failus, kurie
buvo įkeliami į ir parsisiunčiami iš debesies
15
Google Drive pėdsakai
• Žurnalo faile rasite:
– informaciją apie sinchronizavimo sesijas;
– failo sukūrimo laiką;
– failo išsaugojimo laiką;
– failo ištrynimo laiką.
• Mes galime naudoti reikalingos informacijos
paiešką pagal tokius raktažodžius:
– RawEvent (CREATE
– RawEvent (UPLOAD
– RawEvent (DELETE
– RawEvent (MODIFY
16
Paieškos žurnalo faile pavyzdys
2015-06-26 22:30:23,566 -0700 INFO pid=3232 3760:Worker-0
common.change_buffer:276 Removing entry from change buffer:
ChangeBufferEntry(state=IN_PROGRESS,
fschange=ImmutableChange(Direction.UPLOAD, Action.CREATE,
ino=3096224743920207, path=u'\\\\?\\C:\\Users\\user\\Google Drive',
name=u'111412_1755_Investigati151.png', parent_ino=2251799813766032,
is_folder=False, modified=1431680022, size=114796,
backup=Backup.NO_BACKUP_CONTENT, is_cancelled=False, is_priority=False,
hash=1204185018, _constructor_called=True),
raw_event=ImmutableRawEvent(op=CREATE, path=\\?\C:\Users\user\Google
Drive\111412_1755_Investigati151.png, time=1435383015.09, is_dir=False,
ino=3096224743920207, size=114796, old_path=None, new_ino=None,
mtime=1431680022, parent_ino=2251799813766032, affects_gdoc=None,
is_cancelled=RawEventIsCancelledFlag.FALSE, old_parent_ino=None,
backup=Backup.NO_BACKUP_CONTENT, _hash_code=-631082692),
sequence_number=0)
....
17
Paieškos žurnalo faile pavyzdys
....
2015-06-26 22:30:33,786 -0700 INFO pid=3232 3304:XmppClient
common.push.xmpp.xmpplib:384 StanzaConnection read s where length=444 and
ssl=<ssl.SSLSocket object at 0x06074830>, s='<message
from="tango@bot.talk.google.com"
to="ALarvelis@gmail.com/driveDD15FD2C"><push:push channel="tango_raw"
xmlns:push="google:push"><push:recipient
to="ALarvelis@gmail.com"></push:recipient><push:data>CAAiXApACgYKBAgDEAISJQoG
CgQIAxABEhIJchZF5Ioi44ERrkazJry+xkoaBwiCMhADGAEgvsKV9uIpKgg0MTE1MDI4NhoY
ChYKDgj2BxIJQ0hBTkdFTE9HEAEYTjABKgYKBAgDEAIwAjgBQioIbxImEAQYAiITYWxhcnZlb
GlzQGdtYWlsLmNvbUIJdGFuZ29fcmF3SAE=</push:data></push:push></message>'
18
Google Drive pėdsakai
Prisijungdamas iš naršyklės prie profilio, vartotojas
gali gauti visą informaciją apie ištrintus, pakeistus,
pridėtus failus:
19
Google Drive pėdsakai
Galima peržiūrėti kiekvieno failo ankstesnių versijų
istoriją, taip pat atkurti ankstesnę failo versiją:
20
Google Drive pėdsakai
21
Google Drive pėdsakai
Įvairios naršyklės dažniausiai išsaugo informaciją apie
vartotojo prisijungimą (funkcionalumas Remember
passwords), todėl rekomenduotina patikrinti, ar
nebuvo jungtasi į Google Drive naudojant naršyklę. In
situ atveju tam galime naudoti nemokamą programą
Google Password Decryptor:
22
Google Drive pėdsakai
Ši programa suteikia informaciją apie Google
paskyros vardą ir slaptažodį:
• Username – sistemos vartotojo vardas;
• Operating System – naudojama operacinė sistema;
• Application – programinė įranga, kurioje yra
išsaugoti vartotojo prieigos duomenys;
• Google Account Name – Google paskyros
prisijungimo vardas;
• IE naršyklės versiją
23
Informacija apie Google paskyrą
Programinė įranga leidžia visą informaciją išsaugoti
HTML/TXT duomenų formatu:
24
OneDrive –
diegimas ir pėdsakai
25
OneDrive kliento įdiegimas
• OneDrive klientas yra įdiegiamas vartotojo profilio
viduje, todėl kiekvienas vartotojas turi skirtingą
profilį. Jį rasime kompiuterio sisteminiame diske
C:\Users\<vartotojas>\AppData\Local\Microsoft\On
eDrive:
26
OneDrive kliento įdiegimas
Pagal nutylėjimą yra sukuriamas katalogas
C:\Users\<vartotojas>\OneDrive:
27
OneDrive kliento įdiegimas
• Diegimo metu pagal nutylėjimą sukuriami 2 katalogai, į kuriuos
darbo metu bus talpinami dokumentai ir paveikslai:
– Documents,
– Pictures.
• Diegimo metu programa pakeičia informaciją registrų failuose. OS
registre sukuriami skirtingi raktai (nustatymai) ir reikšmės:
– SYSTEM\ControlSet001\Services\Parameters\FirewallPolicy\FirewallRules
– SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\
OneDrive1
– SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\
OneDrive2
– SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\
OneDrive3
– NTUSER\Software\Microsoft\Windows\CurrentVersion\Uninstall
– NTUSER\Software\Microsoft\Windows\CurrentVersion\Run
– NTUSER\Software\Microsoft\OneDrive
– NTUSER\Software\Classes\OneDrive.SyncFileInformationProvider
28
OneDrive - pėdsakai
• Microsoft Windows registro redaktorius RegEdit gali suteikti
naudingos informacijos in situ tyrimo metu. Pavyzdžiui, čia galime
sužinoti programinės įrangos versiją, diegimo kelią ir pan.:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\OneDrive]
"Version"="17.3.5860.0512"
"CurrentVersionPath"="C:\\Users\\user\\AppData\\Local\\Microsoft\\OneDrive\\
17.3.5860.0512"
...
"UserFolder"="C:\\Users\\user\\OneDrive"
"FirstRun"=dword:00000001
"ClientEverSignedIn"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\OneDrive\17.3.5860.0512]
"InstallPath"="C:\\Users\\user\\AppData\\Local\\Microsoft\\OneDrive\\17.3.586
0.0512"
"InstallPaths"="C:\\Users\\user\\AppData\\Local\\Microsoft\\OneDrive\\17.3.58
60.0512;"
....
29
OneDrive sukuriami failai
• Jeigu naudojama Microsoft Office arba OneDrive komercinė
versija, registrai ir juose randama informacija gali būti matoma
pavadinimu SkyDrive:
Windows Registry Editor Version 5.00
...
"Description"="Free online storage. Store, access and share thousands of
documents on OneDrive."
"Name"="OneDrive"
"ServiceId"="WLINBOX_SKYDRIVE"
"ServiceUrl"="https://g.live.com/8seskydrive/HomePageUrl"
[HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Common\ServicesManag
erCache\ServicesCatalog\WLINBOX_SKYDRIVE\Metadata]
"DefaultCreateRelativePath"="/^.Documents"
"DefaultFolderRelativePath"="/^.Documents"
"KeyTip"="K"
"Type"="Skydrive"
...
30
OneDrive sukuriami failai
31
OneDrive sukuriami failai
32
OneDrive Prefetch analizė
Jei yra sukurtas greitojo startavimo Prefetch failas (ONEDRIVE.EXE-
...pf), reiškia, kad ši programa bent vieną kartą buvo paleista. Šį failą
rasime Windows Prefetch kataloge:
33
OneDrive Prefetch analizė
Darbui palengvinti galima pasinaudoti nemokamu Windows failų analizatoriumi
(WFA), kurį galima parsisiųsti iš http://www.mitec.cz/wfa.html. Čia papildomai suži-
nosime, kada programa buvo paleista, kiek kartų buvo paleista, failo kontrolinę sumą:
34
OneDrive pėdsakai (Settings)
35
OneDrive pėdsakai (Settings)
36
Laiko žymos skaičiavimas
• Galime pasinaudoti skaičiuoklės programa.
Pavyzdžiui, langelyje B2 įvedę laiko reikšmę
sekundėmis, pagal žemiau pateiktą formulę
gausime datą ir laiką (žr. lentelę; mūsų laiko
juosta yra GMT+2, tai formulė yra tokia:
=(((B2/60)/60)/24)+DATE(1970;1;1)+(2/24)
Parametras Reikšmė Apskaičiuota Apskaičiuotas
Data laikas
LastRefresh 1435738667 2015-07-01 10:17:47
LastUpdate 1435662701 2015-06-30 13:11:41
37
OneDrive failų analizė
• Toliau nagrinėjant kataloge Settings esančius failus, tekstų
peržiūrai ir redagavimui rekomenduojame naudoti nemokamą
teksto redaktorių Notepad++
• Šiame redaktoriuje failas ApplicationSettings.xml atrodo taip:
38
OneDrive failų analizė
• Tame pačiame kataloge yra sukuriamas unifikuotas vartotojo
konfigūracinis failas *.ini. Nagrinėjamu atveju tai
60ab0cca314ce2e0.ini, kur failo pavadinimas sutampa su
UserCid:
nickname =
installID = 1
installName = user-PC
maxNumRequests = 10
originatorID = 60e7de69-7e49-425e-b852-8b9f227678e3
lastRefreshTime = 1435662744
requestsSent = 19
bytesTransferred = 664400
Subscription = 2 60AB0CCA314CE2E0!105 WLS_SubscriptionId_0CD15564-DF89-4C1F-9A74-
9B729190022D
Subscription = 1 60AB0CCA314CE2E0!105 WLS_SubscriptionId_EF2A8119-BF07-4964-8D2D-
AB7DB8B20646
library = 1 4 60AB0CCA314CE2E0!105 1435662651 "SkyDrive" Me personal "C:\Users\user\OneDrive"
39
OneDrive failų analizė
• USERCID.DAT faile saugoma informacija apie failų
trynimą. Prieš ištrinant failą iš OneDrive talpyklos, jį *.dat
aptinkame; po ištrynimo tokios informacijos nėra (yra tik
pažymėjimas, kad failas yra ištrintas):
40
OneDrive failų analizė
• Naudojant naršyklę ir prisijungus prie vartotojo paskyros,
galima rasti išsaugotą informaciją apie šiukšliadėžės
turinį:
41
OneDrive failų analizė
• Taip pat galima rasti informaciją apie konkretų failą ir ar
tas failas bendinamas (shared) su kitais vartotojais:
42
OneDrive: Logs katalogas
• Jame galima rasti žurnalo failą su informacija apie
kliento programinės įrangos veiklą. Faile
SyncDiagnostics.log – pateikiama informacija apie
paskutinį sinchronizavimą.
• ../OneDrive/setup/logs/ kataloge pateikiamas
detalus sinchronizavimo žurnalas konkrečiai dienai
formatu YYYY-MM-DD_HHMMSS_hex-hex.log (pvz.,
2015-06-30_041041_12a8-10f0.log).
43
OneDrive: Logs katalogas
06/30/2015 04:10:41.757 WatsonReport: Registering setup log files with watson
06/30/2015 04:10:41.757 ResourceManager: Found lang id: 0409
06/30/2015 04:10:41.757 ResourceManager: Using lang id: 0409
06/30/2015 04:10:41.757 ResourceManager: Using langId 0x0409
06/30/2015 04:10:41.757 SetupEngine: Entered Initialize
06/30/2015 04:10:41.757 SetupEngine: Image: C:\Users\user\Downloads\OneDriveSetup.exe
06/30/2015 04:10:41.757 SetupEngine: X-LogID: 5BB548D9-5702-4201-881C-7794233018F9
06/30/2015 04:10:41.757 SetupEngine: X-AppName: SkyDriveSetup
06/30/2015 04:10:41.757 SetupEngine: X-AppVersion: 17.3.5860.0512
06/30/2015 04:10:41.757 SetupEngine: X-User: user
06/30/2015 04:10:41.757 SetupEngine: X-Computer: USER-PC
06/30/2015 04:10:41.773 SetupEngine: X-UMID: BC763EB2-EA79-42A5-83FB-75235B8096E2
06/30/2015 04:10:41.773 SetupEngine: X-UUID: B7D9F27E-C7C9-49B2-A824-78FFF1E7C177
06/30/2015 04:10:41.773 SetupEngine: Flavor: SHIP
06/30/2015 04:10:41.773 SetupEngine: CommandLine: "C:\Users\user\Downloads\OneDriveSetup.exe"
06/30/2015 04:10:41.773 SetupEngine: Windows: 6.1 (7601) [100]
06/30/2015 04:10:41.773 SetupEngine: Windows ServicePack: Service Pack 1
06/30/2015 04:10:41.773 SetupEngine: Processor: 4 processor(s), architecture=amd64
06/30/2015 04:10:41.773 SetupEngine: Memory: 8334924 KB, 5008312 KB available
06/30/2015 04:10:41.773 SetupEngine: Locale: System=1033, UI=1033
06/30/2015 04:10:41.773 SetupEngine: Locale: en-US
06/30/2015 04:10:41.773 SetupEngine: OS String: 6.1.7601sp1.0x64-Wrk-1(1033;1033;en-US)Win7
44
OneDrive: Log failas
Šiame faile galime rasti informaciją apie visus failus, įskaitant
tuos, kurie buvo ištrinti. Atliekame paiešką pagal raktines
reikšmes:
• CreateNewFileRealizerWorkItem – ši funkcija naudojama, kai
kiekvieną kartą yra sukuriamas failas;
• FILE_ACTION_ADDED – ši funkcija naudojama, kai kiekvieną
kartą sukuriamas failas lokaliai (standžiajame diske);
• FILE_ACTION_REMOVED – ši funkcija naudojama, kai kiekvieną
kartą yra ištrinamas failas lokaliai (standžiajame diske);
• FILE_ACTION_RENAMED – ši funkcija naudojama, kai kiekvieną
kartą yra lokaliai (standžiajame diske) pakeičiamas failo
pavadinimas.
45
Operatyviosios atminties analizė
Jei OneDrive klientas yra įdiegtas kompiuteryje,
mes galime rasti informacijos operatyvioje
atmintyje. Atminties turinio išklotinėje (memory
dump) yra informacija apie sesijas; joje reikėtų
atlikti paiešką pagal reikšmes:
• login.live.com,
• skydrive,
• onedrive.
46
Operatyviosios atminties analizė
Galime rasti tokią informaciją:
• User email – vartotojo elektroninio pašto adresas (taip pat prisijungimo
adresas);
• Version number – programos versija;
• Config Path – konfigūracinio katalogo vieta;
• Local sync folder path – sinchronizavimo katalogo vieta standžiajame diske;
• File names – failų pavadinimai;
• Hiberfil.sys – failas, kuriame išsaugoma sistemos būsena miego (hybernation)
metu;
• apie programine įrangą;
• nuorodų failų .LNK;
• naršyklės istorijos ir išsaugotų (cached) failų;
• Thumbnails – sugeneruotos paveikslėlių miniatiūros;
• Restore points / Volume Shadow Copies – sistemos atkūrimui reikalingų
duomenų fiksavimo priemonės;
• Pagefile.sys;
• Hiberfil.sys.
47
Dropbox –
diegimas ir pėdsakai
48
Dropbox
Debesų prieiga ir programa Dropbox
(http://www.dropbox.com ) yra taip pat labai
populiari paslauga, pradėta teikti 2007 m.:
• ji turi daugiau nei 400 milijonų vartotojų
(https://www.dropbox.com/news/company-info);
• kas 24 valandas yra išsaugoma 1,2 milijardo failų;
• Dropbox palaiko 20 kalbų; ja naudojasi vartotojai iš
200 pasaulio šalių;
• šia paslauga naudojasi 97 procentai Fortune 500
sąrašo įmonių
49
Dorpbox diegimas
Programa pagal nutylėjimą yra įdiegiama į C:\Program Files
(x86)\Dropbox (Windows 8.1) katalogą. Vartotojo konfigūraciniai
failai yra saugomi pagal sistemos vartotoją, todėl kiekvienas OS
vartotojas turi savą Dropbox konfigūraciją
C:\Users\<vartotojas>\AppData\Roaming\Dropbox
50
Dorpbox diegimas
• Pagal nutylėjimą sinchronizavimui bus
naudojamas katalogas
C:\Users\<vartotojas>\Dropbox. Šiame
kataloge rasime:
51
Dorpbox diegimas
• PDF failas (Getting Started.pdf) yra
atnaujinamas su kiekviena Dropbox versija. Nuo
Dropbox versijos 2.025 pagal nutylėjimą jokie
JPG failai įdiegimo metu nėra sukuriami.
Anksčiau būdavo sukuriami 3 JPG pavyzdžio
failai (svarbu žinoti, nes tokie failai nėra įkalčių
objektas) Photos\Sample Album‘e:
– Boston City Flow.jpg,
– Costa Rican Frog.jpg,
– Pensive Parakeet.jpg.
52
Informacijos paieška registruose
Diegimo metu OS registre sukuriami skirtingi raktai
(nustatymai) ir reikšmės:
• SYSTEM\CurrentControlSet\Services\SharedAccess\Paramet
ers\FirewallPolicy\FirewallRules
• SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOv
erlayIdentifiers\DropBoxExt1
• SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOv
erlayIdentifiers\DropBoxExt1
• SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOv
erlayIdentifiers\DropBoxExt1
• NTUSER\Software\Microsoft\Windows\CurrentVersion\Uni
nstall\Dropbox
• NTUSER\Software\Dropbox\InstallPath
53
Informacijos paieška registruose
Registro redaktorius RegEdit gali sutikti naudingos
informacijos in situ tyrimo metu. Pavyzdžiui, čia galime
sužinoti diegimo katalogą, įdiegtą Dropbox versiją ir pan.:
...
"InstallLocation"=hex(2):43,00,3a,00,5c,00,55,00,73,00,65,00,72,00,73,00,5c,00,\
75,00,73,00,65,00,72,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,\
00,52,00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,44,00,72,00,6f,00,70,00,\
62,00,6f,00,78,00,5c,00,62,00,69,00,6e,00,00,00
"DisplayName"="Dropbox"
"Publisher"="Dropbox, Inc."
"DisplayIcon"="C:\\Users\\user\\AppData\\Roaming\\Dropbox\\bin\\Dropbox.exe,0"
"DisplayVersion"="3.6.7"
"URLInfoAbout"="https://www.dropbox.com"
"HelpLink"="https://www.dropbox.com"
"NoModify"=dword:00000001
"NoRepair"=dword:00000001
54
Dorpbox diegimas
• Dropbox diegimo metu sukuria tokius failus, kurie
gali būti naudojami in situ kriminalistinei analizei
atlikti. Konfigūracijos failai saugomi viduje diegimo
aplanko, atskirai pagal kiekvieną vartotoją.
Paleidžiamieji failai ir bibliotekos saugomos
subkataloge bin. Taip pat yra sukuriami failai:
– C:\Users\<username>\Desktop\Dropbox.lnk
– C:\Users\<username>\Links\Dropbox.lnk
– C:\Windows\Prefetch\DROPBOX N.N.NN.EXE-
NNNNNNNN.pf
– C:\Windows\Prefetch\DROPBOX.EXE-NNNNNNNN.pf
55
Dorpbox: Windows Prefetch
• katalogas
Windows Prefetch kataloge (C:\Windows\Prefetch)
sukuriami greitojo paleidimo failai, kurios patogiau yra
peržiūrėti naudojant Windows failų analizatorių WFA, kurį
galima parsisiųsti iš http://www.mitec.cz/wfa.html
56
Dropbox failai Prefetch kataloge
Čia papildomai sužinosime, kada programa buvo
paleista, kiek kartų buvo paleista, failo kontrolinę
sumą:
57
Dropbox failų analizė
Dešiniuoju pelės klavišu išsirenkame išankstinio greitojo
paleidimo užduotį ir galime nagrinėti informaciją apie Dropbox
paslaugos (kliento) paleidimą: kada paleistas, kada paskutinį
kartą paleistas, kada sukurta ir t.t.
Application: DROPBOX.EXE
Created: 7/1/2015 4:56:41 AM
Written: 7/1/2015 4:56:41 AM
Last Accessed: 7/1/2015 4:56:41 AM
Embedded Date: 7/1/2015 4:56:39 AM
Runs: 1
File Path Hash: B495C8D
MD5: E047D66CDA5E8B61BA1B2C44102A63DE
58
Dropbox konfigūracinių failų
katalogo analizė
• Nuo 2011 m. konfigūraciniai failai yra užšifruojami. Galime
nagrinėti tik Host.dbx ir Host.db failus, kuriuose yra
sinchronizavimui skirto lokalaus katalogo pavadinimas.
• .db failas yra Base64 algoritmą (jis skirtas pranešimo
transformacijai į 8 bitų simbolių seką; naudojamas perduoti
duomenis tam tikrais kanalais vien paprastų simbolių
pagalba). Šių failų peržiūrai naudosime tekstinį redaktorių
Notepad++
• Užšifruotas Dropbox host.db failas tekstiniam režime atrodo
taip:
59
Dropbox konfigūracinių failų
katalogo analizė
Base64 Encode (http://sourceforge.net/projects/gbm64/)
dešifruotas Dropbox host.db failas atrodo taip:
60
Dropbox .dbx failų iššifravimas
Taip pat įdomus ir naudingas failas yra filecache.dbx. Šio failo
peržiūrai yra naudojama nemokama programinė įranga Dropbox
Decryptor:
61
Dropbox .dbx failų iššifravimas
Ši nemokama programinė įranga veikia tik su Microsoft Windows
XP ar Windows Vista (iki 2017.04.11 d.) operacinėmis sistemomis.
Čia išvardyti tokie failai, turintys specialią paskirtį:
• Filecache.dbx – C:\Documents and Settings\<vartotojas>\Application
Data\Dropbox (Windows XP)
• Filecache.dbx – C:\Documents and
Settings\<vartotojas>\AppData\Roaming\Dropbox\instance1
(Windows 7/8)
• Windows Protection folder – C:\Documents and
Settings\<vartotojas>\AppData\Roamin\Microsoft\Protect (Windows
7/8)
• NTUSER.DAT\Software\Dropbox\ks\Client – Windows registrų failas,
kuriame saugoma informacija apie sistemos vartotoją. Jį galima rasti,
naudojant Windows RegEdit programinę įrangą, kataloge
HKEY_LOCAL_MACHINE.
62
Dropbox .dbx failų iššifravimas
Dešifravę failą, jį rasime nurodytame kataloge (Output
Folder) – filecache.db.
Šioje duomenų bazėje yra tokie kriminalistiniam tyrimui
svarbūs laukai:
• Server path – informacija apie debesyje esančius failus;
• Local file name – failai, esantys lokaliam (standžiajame)
diske; jie gali būti nesinchronizuoti su debesiu;
• Local creation time – (standžiajame) diske esančio failo
sukūrimo laikas,
• Local modified time – (standžiajame) diske failo esančio
modifikavimo laikas,
• Local size – (standžiajame) diske esančio failo dydis
63
Dropbox prieiga per naršyklę
• Naudojant vartotojo prisijungimo vardą ir
slaptažodį, per naršyklę galima prieiti prie visos
informacijos apie ištrintus failus:
64
Dropbox prieiga per naršyklę
• Nemokamoje Dropbox versijoje yra numatyta
galimybė 30 dienų atkurti ištrintus failus
• Todėl atliekant in situ tyrimą labai svarbu
nepraleisti šio termino, nes tokie failai gali būti
ypač svarbūs
• Jeigu Dropbox yra komercinio naudojimo
(business), tokiu atveju failus galima atkurti be
laiko apribojimo
65
Dropbox prieiga per naršyklę
Prisijungus galima rasti ir sąrašą įrangos (kompiuteriai su vardais,
mobilūs telefonai, planšetiniai kompiuteriai), su kuriais buvo
atliekama sinchronizacija arba į kuriuos buvo įdiegtas konkretus
vartotojas:
66
Dropbox prieiga per naršyklę
Prisijungus taip pat galima peržiūrėti, kurie failai buvo
modifikuoti. Dropbox palaiko ir failo versijas (t.y. yra
numatyta galimybė atkurti prieš tai sukurtą, o vėliau
modifikuotą, failą):
67
Dropbox failų analizė
In situ analizės ryšiams nustatyti gali būti naudinga ir
galimybė peržiūrėti, ar buvo bendrintas failas ir, jei
buvo, tai su kuo konkrečiai:
68
Dropbox: Operatyviosios atminties
analizė
Jei Dropbox klientas yra įdiegtas kompiuteryje,
mes galime rasti informacijos operatyvioje
atmintyje
Atminties turinio išklotinėje (memory dump) yra
informacija apie sesijas; joje reikėtų atlikti paiešką
pagal reikšmes:
– AUTHENTICATE – autentifikavimas,
– filecache.dbx – failų sąrašas,
– server_time – debesies laikas,
– updated/deleted – atnaujinti / ištrinti failai.
69
Dropbox: Operatyviosios atminties
analizė
Galime rasti tokią informaciją:
• User email – vartotojo elektroninis paštas
(prisijungimo vardas),
• Display name – vardas,
• Filecache.dbx – kelias iki nurodyto archyvo,
• Server time (Unix timestamp) – laiko žymė,
• File list – failų sąrašas,
• Deleted file – ištrinti failai.
Panašią informaciją galime rasti nagrinėjant
Hiberfil.sys ir Pagefile.sys failus.
70
Dropbox failų analizė
Programinės įrangos pašalinimo metu jos
konfigūracinis katalogas yra pašalinamas, tačiau
galime ieškoti ne tiesioginių failų, o informacijos apie
jų buvimą:
• prefetch failai nėra pašalinami,
• failai, įrašyti lokaliai, nėra ištrinami,
• NTUSER\Software\Dropbox – registruose informacija palikta, bet be
reikšmių.
Galime atstatyti informaciją iš standžiajame diske
esančių failų fragmentų su nutrūkusiais ryšiais (carved
files). Naudojant paiešką pagal paveikslėlių failų
kontrolines (hash) sumas, galima taip pat surasti JPG
failus.
71
BOX Sync –
diegimas ir pėdsakai
72
BOX Sync diegimas
• BOX Sync naudojama saugiam savo failų saugojimui, tvarkymui ir
dalinimuisi jais debesyje
• Prisijunti galima iš bet kur naudojant naršyklę, mobilų telefoną ar
planšetę
• Galima dalintis bet kur esančiais dideliais failais, pateikiant jų
paprastas nuorodas
• Didesnė paslaugų dalis yra galima naudojant
Starter/Business/Enterprise versiją
• Programa pagal nutylėjimą bus įdiegta į C:\Program Files\Box
(Windows 8.1) katalogą
73
BOX Sync diegimas
Pagal nutylėjimą diegimo metu sukuriamas katalogas
C:\Users\<vartotojas>\Box Sync
74
BOX Sync konfigūraciniai failai
Vartotojo konfigūraciniai failai yra saugomi pagal sistemos vartotoją,
todėl kiekvienas OS vartotojas turi savo Box Sync konfigūraciją:
77
BOX Sync diegimas
78
BOX Sync - Prefetch katalogas
C:\Windows\Prefetch galime peržiūrėti greitojo startavimo failus:
79
BOX Sync - Prefetch katalogas
Dešiniuoju pelės klavišu spragtelėję greitojo startavimo užduotį
(prefetch), galime nagrinėti informaciją apie Box Sync paslaugos
(kliento) paleidimą: kada paleistas, kada paskutinį kartą paleistas,
kada sukurtas ir t.t.:
Application: BOXSYNCSETUP.EXE
Created: 7/1/2015 4:50:53 AM
Written: 7/1/2015 4:59:29 AM
Last Accessed: 7/1/2015 4:50:53 AM
Embedded Date: 7/1/2015 4:59:19 AM
Runs: 3
File Path Hash: 49E322E3
MD5: 7D03EEAB468052B09CA9AAD49F335780
80
Box Sync sync.db failas box_item
81
Box Sync sync.db failas preferences
82
BOX Sync sync.db analizė
84
BOX Sync žurnalas
86
Bendraukime
87
Nusikaltimai elektroninėje erdvėje ir jų
tyrimų metodikos
(T120M152)
Š. Grigaliūnas
2020
1
Įkalčių paieška: menas ar mokslas?
Holmsas
Vatsonas
Inspektorius
Lestreidas
2
Fundamental Computer Investigation Guide
for Windows
Yes:
- reiks sertifikato tyrėjui
- reiks sertifikuotų tyrimo priemonių
-reiks dokumentuoti nustatyta tvarka
3
Tyrimo priemonių patikimumas
4
Įkalčių analizės etapo užduotis
Ko ieškoti?
Kur ieškoti?
5
Įkalčių rinkimo ir įkalčių analizės etapų skirtumai
Įkalčių rinkimo etapas
Trumpalaikis
Gerai automatizuojamas
Nebūtinai reikalauja aukštos kvalifikacijos
6
Kompiuteris kaip nusikaltimo objektas
7
Papildomi šaltiniai analizei
Įvykių žurnalai
Registras
Sisteminiai slaptažodžiai
Atminties turinys
8
Unix ypatumai
9
Kompiuteris kaip nusikaltimo įrankis
Susirašinėjimo stebėjimas,
Tinklo srautų registracija
Veiksmų kompiuteryje stebėjimas
10
Kokia informacija surenkama
11
Išsaugotų įkalčių tyrimo įrankiai
12
Operacijų kategorijos
13
Operacijų kategorijos
Kontaktų analizė
- e-laiškai,
- žinučių ir pokalbių programų žurnalai
gali reikti papildomos informacijos iš kitų šaltinių
14
Operacijų kategorijos
15
Operacijų kategorijos
Chronologija (Timeline)
tiriamų objektų poaibio atžvilgiu meta duomenyse ir
žurnaluose užfiksuotus veiksmus sudėlioti
chronologine tvarka
16
“Known Good” ir “Known Bad” failai
Kad sutikrinti ar operacinės sistemos ir įdiegtų programų failai yra
originalūs, nepakeisti ar nesuklastoti, egzistuoja specialios gerai žinomų
failų maišos lentelių duomenų bazės
Kartu palaikomi ir žinomai pažeistų virusais ar kitu užkratu failu hash’ai
Trečia vertinga savybė: jei randame nepažįstamą failą, galima pasitikrinti
jo hash kad sužinoti kas tai yra (Hash Matching)
Tyrimui naudinga, kad leidžia atfiltruoti didžiąją dalį diske esančių failų
.
(NSRL) RDS 2.42 , September 2013
signatures of the four ISO
images and DVD image
disc 1
OWASP File Hash Repository
disc 2
Team Cymru Malware Hash Registry National
disc 3
Software Reference Library
disc 4
description of the RDS
contents
17
Sleuth Kit
Sleuth Kit (TSK) tai Unix ir Windows (Cygwin) įrankių ir sisteminių
priemonių rinkinys skirtas kompiuterinių sistemų įkalčių analizei
Atviro kodo
Disko atvaizdo analizei
Automatiškai detektuoja atvaizdo formatą, failų sistemos tipą,
išrenka skirsnius ir sektorius nepriskirtus skirsniams
18
Autopsy- Sleuth Kit
Originalus grafiniėTSK sąsaja, HTML tipo:
- paleidžia TSK komandinės eilutės įrankius
- analizuoja išvedamus duomenis
- prideda HTML tag’us ir atvaizduoja
19
autopsy.org
http://www.sleuthkit.org/autopsy/ - programinė įranga
skirta analizuoti failų sistemas (NTFS, FAT, UFS1/2,
Ext2/3). Skirta: Linux, Mac OS X, Open & FreeBSD,
Solaris, Cygwin.
Harmonizuotas skaitmeninės informacijos tyrimo modelis (HDFI - modelis)
20
autopsy.org
http://www.sleuthkit.org/autopsy/ - programinė įranga
skirta analizuoti failų sistemas (NTFS, FAT, UFS1/2,
Ext2/3). Skirta: Linux, Mac OS X, Open & FreeBSD,
Solaris, Cygwin. V 4.16
21
autopsy.org
http://www.sleuthkit.org/autopsy/ - programinė įranga
skirta analizuoti failų sistemas (NTFS, FAT, UFS1/2,
Ext2/3). Skirta: Linux, Mac OS X, Open & FreeBSD,
Solaris, Cygwin.
22
23
Autopsy - Sleuth Kit
24
PTK Forensics
25
SANS SIFT Workstation
SANS SIFT Workstation - VMware virtualioje mašinoje pilnai
sukonfigūruota su tyrimo įrankiais
27
Encase
28
Encase
29
Forensic Toolkit
30
Encase vs Forensic Toolkit
http://data-recovery-software.findthebest.com/compare/4-13/Forensic-Toolkit-vs-
EnCase-Forensic
31
32
33 33
34
Windows Sysinternals Tools
35
OSForensics
Feature Windows file systems Mac/Linux file systems
Mismatched files
searching
File information
Raw disk viewer
unavailable
Find passwords
PassMark Software
Free edition/PRO edition
36
Foremost
Foremost sukurta US AirForce
Dirba su atvaizdais ar tiesiog su gyvais diskais jai failų sistema
sugriauta
Atkuria failo turinį pagal jo meta duomenis
Paprastas atkūrimas jei neatitinka tik plėtinys: failo pradžia
sveika, failas nefragmentuotas ir nesuspaustas (pakanka
header ir footer)
Tą patį daro ir Scalpel
Foremost sugeba atkurti jei failas fragmentuotas ir
dalis fragmentų neatstatomi
37
Foremost
38
Tinklo tyrimo įrankiai
E-detective -Decision Group Inc. komerciniai produktai
Kompleksiniai sprendimai:HW+SW
Srovė (flow) – tai nenutrūkstama srauto dalis su tais pačiais siuntėjo ir gavėjo IP
numeriais ir portais. Sukaupti duomenys apie sroves per maršrutizatorių
akumuliuojami ir raportai periodiškai siunčiami į informacijos surinkimo įrenginį
Netflow surenka informaciją apie buvusias komunikacijas: kas su kuo, kokie
portai/protokolas, kiek baitų paketų, tačiau skirtingai nuo sniferių nerenka
perduodamo turinio.
Žurnalai saugomi 0,5-2 metus
NetFlow naudojama apskaitai, mokėjimams už perduotų duomenų kiekį, tinklo
planavimui, srautų valdymui, vartotojų darbo tinkle fiksavimui
Interneto paslaugų teikėjai tokia pat tvarka saugo ir NAT maršrutizatorių log’us
Nusikaltimų tyrime esant teismo nutarčiai privalu pateikti informaciją apie nurodyto IP
komunikacijas nurodytu laiku
40
Mobilūs įrenginiai
XRY and XACT from msab Very good but very expensive!
Mobile Edit from mobiledit.com Low budget solution
Device Seizure form Parabem nice for PDA examination
http://www.forensics-research.com/index.php/computer-
forensics/tools/#index
http://www.elsevierdirect.com/companions/9780123742681/
Chapter_20_Final.pdf
41
Klausimai?
42
Nusikaltimai elektroninėje erdvėje ir jų
tyrimų metodikos
(T120M152)
Š. Grigaliūnas
2020
1
Turinys
Darbinė atmintis
2
Disko atvaizdo poėmiui
naudojami įrankiai
3
AutoPSY
4
Įkalčių poėmis
5
Vartotojo veiksmų istorija
6
Failų ir failų sistemų analizė.
Laikas
Atliekant tyrimus su „Unix“ failų sistema reikia atkreipti dėmesį į failų laiko ir
datos žymes.
„Unix“ operacinės sistemos naudojama iki 4 laiko žymių, t. y. modifikavimo,
pakeitimo, prieigos ir ištrynimo žymės. Laiko ir datos žymė saugoma failo
metaduomenyse.
Laikas saugomas UTC laiko juostoje, todėl norint sužinoti tikrąjį laiką reikia
žinoti, kokia laiko juosta nustatyta kompiuteryje.
7
Failų ir failų sistemų analizė.
Prijungimas
Atliekant failų analizę reikia atkreipti dėmesį ir į failų teises, nes pagal teisių
priskyrimą vartotojui galima nustatyti, ar jis galėjo atlikti tam tikrus veiksmus:
8
Failų ir failų sistemų analizė.
Atstatymas
9
Failų ir failų sistemų analizė. ils
10
Failų ir failų sistemų analizė. lsof
Norint sužinoti, kokie failai ar tinklo prievadai sistemoje yra atidaryti, verta
naudoti įrankį lsof, kuris padeda identifikuoti ryšį tarp proceso ir prievado. lsof
įrankis yra įtrauktas į daugelį „Linux“ distribucijų, todėl jo nereikia atskirai
instaliuoti.
Komandos naudojimo pavyzdys, kurią įvykdžius sužinomi visi atvirieji interneto
lizdai:
lsof −i +M
lsof –i –n –P
11
„Unix“ įvykių registracijos
žurnalas
12
syslog.local
Pastaba: kai kurie procesai, pvz., „Apache“, gali turėti ir savo atskirus žurnalo
katalogus, pvz.,
/var/log/httpd.
13
syslog.remote
Žurnalas gali būti saugomas ne tik lokaliajame diske, bet ir siunčiamas į nutolusį
kompiuterį, pvz., duomenų centro konsoliduotą įvykių žurnalų serverį.
/etc/syslog.conf
Žurnalo failas yra tekstinis, todėl failo analizę galima atlikti grep, tail, more ir
kitomis „Unix“ komandomis:
14
NEE įkalčių paieškai kompiuterių
tinkle. Wireshark
„Wireshark“ – tai vienas iš žinomiausių, atvirojo kodo paketų, skirtų tinklo protokolų analizei
(www.wireshark.org). „Wireshark“ paketo savybės:
1. Įvairių tinklo tipų palaikymas, įskaitant Ethernet, IEEE 802.11, PPP, „loopback“. USB
srauto skaitymas.
2. Įvairių protokolų palaikymas, todėl galima analizuoti inkapsuliuotus duomenis skirtingų
protokolų atžvilgiu.
3. „VoIP“ palaikymas. Jei garsas koduojamas vienu iš paketo palaikomų kodavimo
technologijų, galimas pokalbio klausymas.
4. Skaitymas ir (arba) rašymas skirtingais failų formatais: „tcpdump“ („libpcap“), „Pcap NG“,
„Catapult DCT2000“, „Cisco Secure IDS iplog“, „Microsoft Network Monitor“, „Network
General Sniffer“, „Sniffer Pro“, „NetXray“, „Network Instruments Observer“, „NetScreen
snoop“, „Novell LANalyzer“, „RADCOM WAN/LAN Analyzer“, „Shomiti/Finisar
Surveyor“, „Tektronix K12xx“, „Visual Networks Visual UpTime“, „WildPackets
EtherPeek/TokenPeek/AiroPeek“ ir kitais.
5. Įvairių protokolų dešifravimas, įskaitant „Ipsec“, ISAKMP, „Kerberos“, SNMPv3,
SSL/TLS, WEP, WPA/WPA2.
6. Rezultatų eksportas XML, „PostScript“, CSV formatais.
NEE įkalčių paieškai kompiuterių
tinkle. Wireshark
„Tcpdump“ – tai atvirojo kodo paketų analizatorius, sukurtas panaudojant libpcap biblioteką.
Programa viekia komandinėje eilutėje. „Tcpdump“ leidžia vartotojui perimti ir ekrane
pavaizduoti TCP/IP ir kitų tinklo paketų (ICMP ir UDP) turinį. Šis paketas gali būti
naudojamas ir kaip tinklo infrastruktūros analizatorius, kuris nustato, ar visi reikalingi
maršrutai veikia teisingai, ir esant reikalui leidžia izoliuoti problemą.
Komandos pavyzdys, kai surenkami ir išvedami visi IP paketai, siunčiami tarp kompiuterių:
tcpdump –n –r traffic.cap
NEE įkalčių paieškai kompiuterių
tinkle. nmap
„Netcat“ – tai dar vienas atvirojo kodo įrankis (nc110.sourceforge.net), skirtas sukurti TCP arba UDP
sujungimą tarp dviejų įrenginių, siekiant skaityti ir (arba) rašyti duomenis. Sujungimai gali būti
padaromi tarp bet kurių prievadų lokalioje ir nutolusioje mašinoje. Šis įrankis gali būti naudojamas
kaip priemonė sudaryti patikimą sujungimą tarp dviejų kompiuterių, kuriuo gali naudotis kitos
programos ar servisai. Šiuo įrankiu galima atlikti ir prievadų skenavimą, suformuoti siunčiamos
informacijos atvaizdą (angl. hex dump).
NEE įkalčių paieškai kompiuterių
tinkle. NetFlow
21
RAM.dcfldd
22
RAM.strings
strings /home/forensics/mem.bin
23
/proc
24
hexdump
25
Klausimai?
26
Nusikaltimai elektroninėje erdvėje ir jų
tyrimų metodikos
(T120M152)
Š. Grigaliūnas
2020 1
Turinys
2
Linux: /boot
3
Linux: /etc
4
Linux: /etc/passwd
5
Linux: /var/spool/cron
/etc/crontab
6
Linux: lastlog
/var/run/utmp
7
Linux: /etc/syslog.conf
/var/log
/etc/syslog.conf
Įvykių ̨ registracijos įrašų nustatymai, taip pat
/var/log
įvairūs įvykių registracijos įrašai.
8
Linux: .bash_history
.history
.sh_history
.bash_history
.history Vartotojo vykdytos komandos.
.sh_history
9
Linux: .recently-used.xbel
.recently-
used.xbel
(Gnome)
Įvairių programų paskutiniai atidaryti
.recently-
failai.
used.xbel (GIMP)
.wireshark/recent
(Wireshark) …
10
Linux: /var/spool/cups
/etc/printcap
11
Linux: known_hosts
12
Linux: *.sqlite
.mozilla/firefox
Cookies.sqlite
Downloads.sqlite
Formhistory.sqlite
Places.sqlite Interneto naršyklės „Mozilla Firefox“ (šiuo
sessionstore.js metu populiariausia „Linux“ OS) naršymo
_CACHE_MAP_;_CACH istorija.
E_001_;
_CACHE_002_;
_CACHE_003_
13
Linux: mbox
mbox
Maildir
.mozilla/thunderbird
Susirašinėjimo el. paštu analizė.
14
Linux: swap space
15
Windows:boot.ini
16
Windows:NTFS failai
17
Windows:Registrai
18
Windows:NTUSER.DAT
19
Windows: *.evt
Katalogas c:\windows\system32
\config Failai:AppEvent.evt,
SecEvent.evt, SysEvent. evt, Įvairių tipų įvykių
Osession.evt, Internet.evt Arba registracijos įrašai.
katalogas: c:\windows\system32\
winevt\logs
20
Windows: *.lnk
21
Windows: „Thumbnails“ režimas
22
Windows: *.SHD *.SPL
c:\windows\system32\s
Spausdintuvo eilės failo
pool\printers *.SHD
informacija.
*.SPL
23
Windows: *.SHD *.SPL
24
Windows: Pagefile.sys Hiberfil.sys
25
Windows: „šešėlinės“ kopijos
26
Windows: naršymo istorija
C:\Documents and
Settings\<username>\ Cookies
C:\Users\<username>\AppData\
Roaming\Microsoft\
Windows\Cookies Vartotojo naršymo istorija, atsisiųsti
C:\Documents and laikini failai, lankytų interneto svetainių
Settings\<username>\ Local „saldainiukai“. Pastaba: tinka, jei
Settings\History \History.IE vartotojas naudojasi integruota
C:\Documents and „Internet Explorer“ naršykle, priešingu
Settings\<username>\ Local atveju reikia nagrinėti konkrečios
Settings\ naršyklės realizaciją.
Temporary Internet
Files\Content.IE5
27
Windows: *.PST ir *.OST
28
Klausimai?
29
Kriminalistiniai nusikaltimai
elektroninėje erdvėje ir jų
tyrimų metodikos
(T120M152)
Š. Grigaliūnas, N. Jusas
2016
1
Paskaitos tema
2
Kas yra RAM analizė?
Tiriamas prietaisas
RAM atvaizdas
Tyrėjas ir jo darbo
priemodenės
3
RAM analizės privalumai
• Geriausia vieta identifikuoti žalingos programinės
įrangos veikimą:
• Analizuoti veikiančios sistemos konfigūraciją;
• Identifikuoti sistemos nenuoseklumas;
• Rookits ir kitą paslėptą informaciją;
• Analizuoti ir sekti sistemoje vykusius veiksmus:
• Profiliuoti veiklas pagal tai kas jas atliko: vartotojas,
atakuotojas;
• Identifikuoti visą neseniai vykusią veiklą, reikšmingą tyrimui;
• Įkalčių surinkimui, kurie negali būti surinkti niekur kitur:
• Interneto veiklas;
• Memory-only žalinga programinė įranga;
4
RAM atvaizde randama
informacija
• Procesai;
• Atidaryti failai ir registrų informacija;
• Tinklo informacija;
• Slaptažodžiai ir kriptografiniai raktai;
• Iššifruotas turinys;
• Paslėpti duomenys;
• Žalingas kodas.
5
Pradiniai veiksmai
6
Galimos problemos
• RAM nepastovumas;
• Prietaiso atmintis;
• Nevientisi duomenys;
7
Kada atlikti RAM poėmį
8
Priemonės RAM poėmiui
• Per nuotolį;
• Veikimo „apklausa“;
9
Programiniai įrankiai
10
Įrankių pasirinkimo problema
11
Windows RAM poėmis
• Dump-IT;
• F-Response;
• Mandiant Memoryze;
• HBGary FastDump;
• Winpmem;
• ............
12
Linux RAM poėmis
• /dev/mem;
• Linux Memory Extrator (LiME);
• Fmem;
13
Mac RAM poėmis
• Mac Memoryze;
• OSXPmem;
14
RAM atvaizdų formatai
15
Volatility programinis paketas
17
Volatility nėra
19
Nusikaltimai elektroninėje erdvėje ir jų
tyrimų metodikos
(T120M152)
Š. Grigaliūnas
2020
1
Turinys
2
Įžanga
5
Principai, leidžiantis padidinti
bylos sėkmę
7
Elektroninių įkalčių tipai
8
Elektroninių įkalčių vėlesnio
pritaikymo tipai
9
Elektroninių įkalčių sąvybės.
Abstrakcijos
10
Elektroninių įkalčių sąvybės.
Dinamika
Įkalčių dinamika – tai bet koks veiksnys, kuris keičia įkalčio turinį, dislokaciją
arba jį sunaikina, nepriklausomai nuo to, ar poveikis yra tyčinis ar netyčinis.
Žemiau įvardyti keli iš galimų įkalčių dinamikos pavyzdžių:
12
Elektroninių įkalčių sąvybės. Kitų
žodžiai..
13
Įkalčių kategorijos ir šaltiniai
Gamybinis ryšys. Šaltinis pagamino įkaltį, t. y. galima vienareikšmiškai atsekti, kad konkretus
įrenginys buvo panaudotas vienokio ar kitokio įkalčio gamybai. Tai gali būti svarbu, jei, pvz.,
žinoma, kad įrenginys tikrai priklauso įtariamajam. Tokį ryšį užtikrinančiais įkalčiais gali būti į
duomenis įrašomi įrangos serijiniai numeriai (pagrindinės plokštės, CPU ir kt.).
Segmentavimo ryšys. Šaltinis padalintas į dalis, o dalys yra išsklaidytos. Jei tyrimo metu
įvykio vietoje yra randama viena dalis, pagal ją galima nustatyti galimus šaltinio ir įkalčio
ryšius.
Keitimo ryšys. Šaltinis keičia arba modifikuoja įkaltį, pvz., įsilaužėlio naudojamas įsilaužimo
įrankis (angl. exploit) palieka žymes laužomoje programoje.
Vietos ryšys. Nustatymas, iš kurios vietos atkeliavo duomenys, galintys tapti įkalčiais, gali
turėti didžiulės reikšmės NEE tyrimui. Tai ypač svarbus uždavinys, kai tiriama ne izoliuota, o
tinklinė kompiuterių sistema. Tokio uždavinio sprendimo pavyzdžiu gali tapti atakuojančiojo
IP adreso nustatymas, įsitikinant, kad IP adresas nebuvo modifikuotas ir kad nustatytas IP
adresas nepriklauso tarpinei stočiai, kuri yra naudojama nusikaltėlio pėdsakams paslėpti.
15
Elektroniniai įkalčių šaltiniai ir
juose aptinkami įkalčiai
Įkalčių šaltinis Galimi įkalčiai
Procesorius (CPU) Fizinis įkaltis (minimas atskirai tik jei įrenginiui nėra būdingi kiti įkalčiai). Greičiausiai turi unikalų
identifikacijos numerį. Gali būti atliekama CPU registrų analizė.
Operatyvioji atmintis Fizinis įkaltis. Gali būti aptikta informacija, kuri nėra rašoma į išorines laikmenas (vartotojo vedami,
bet neišsaugomi, duomenys (tokie kaip paieškos raktažodžiai), procesų aktyvumas, maršrutizavimo
lentelės ir kt.). Esant galimybei – atlikti atminties kopiją (angl. dump). Operatyviosios atminties liekanų
galima rasti kietojo disko išklojos kopijos (angl. disc dump) failuose, net jei atminties kopija specialiai
nėra daroma.
Praėjimo žetonai ir kortelės (angl. smart- Identifikacinė informacija apie prieigos lygį. Dažniausiai turi sunkiai modifikuojamą identifikacinį
cards) numerį. Kartu su įvykių registracijos įrašais iš prieigos kontrolės sistemų gali būti naudojami prieigos
prie sistemos / patalpos faktui nustatyti.
Autoatsakikliai / fakso aparatai Paskutiniai rinkti numeriai, palikti pranešimai (jei naudojamos magnetinės kasetės, tai galima atstatyti
ir ankstesnius įrašus, kurie jau buvo ištrinti arba perrašyti), vidinė atmintis.
Skaitmeninės kameros Įvykio vietos nuotraukos. Įvykio laiko informacija.
Portatyvieji įrenginiai (išmanieji telefonai, Adresai, failai, elektroniniai laiškai, susirašinėjimo informacija, nuotraukos, naršymo istorija.
grotuvai, planšetiniai įrenginiai, portatyvieji
asistentai)
Kietieji diskai Bet kokia įrašyta informacija. Įkalčių galima ieškoti ir tarp operacinės sistemos priemonėmis matomų
failų, ir tarp pašalintų failų, sugadintuose bei perrašytuose sektoriuose.
Atmintinės kortelės Bet kokia įrašyta informacija.
Modemai Fizinis įkaltis. Gali būti rasta informacijos apie prisijungimus, rinktus numerius.
Tinklo kortos Fizinis įkaltis. Unikalus identifikatorius – MAC (angl. media access control) adresas.
Tinklo įrenginiai Fizinis įkaltis. Konfigūraciniai nustatymai. Administracinių bei kitų veiksmų įvykių registracijos įrašai.
Maršrutizavimo lentelės.
Spausdintuvai Vidinė atmintis. Naudojimo istorija.
Išorinės duomenų laikmenos (diskeliai, CD, Bet kokia įrašyta informacija. Įkalčių galima ieškoti ir tarp operacinės sistemos priemonėmis matomų
DVD diskai, USB raktai). failų, ir tarp pašalintų failų, sugadintuose bei perrašytuose sektoriuose.
Skeneriai, kopijavimo aparatai Vidinė atmintis. Naudojimo istorija.
Telefonai Adresai, rinkti numeriai.
16
Įkalčių išėmimo procesas
17
Alternatyvūs įkalčių išėmimo
metodai
18
Klausimai?
19
Nusikaltimai elektroninėje
ervėje ir jų tyrimo metodikos
Informavimas apie
incidentą
Įkalčių išsaugojimas
Analizės fazė
Pristatymas
Peržiūra pabaigus
incidentą
3.4. Reagavimo į incidentus etapai
Preliminarų tyrimą sudaro tokie etapai:
1. Skundo ir (ar) informacijos peržiūra. Patikrinama, ar tikrai buvo
sutrikimas ar neleidžiamas veiksmas, kad tai nėra klaidingas pranešimas
(„false-positive“ tipo).
2. Žalos įvertinimas. Siekiama įvertinti, kiek kritiškas incidentas buvo arba
gali būti organizacijai. Vertinime turėtų dalyvauti ir technikos specialistai,
ir verslo atstovai.
3. Liudininkų apklausa. Siekiama surinkti kuo daugiau informacijos iš
skirtingų šaltinių.
4. Įvykių registracijos įrašų analizė. Siekiama surasti dokumentinių
incidento patvirtinimų.
5. Tyrimo reikalavimų nustatymas. Nustatomas tyrimo tipas, terminai.
Ačiū už dėmesį.
Naudingos internetinės svetainės
1. https://www.nksc.lt/
2. https://www.ada.lt/
3. https://cert.litnet.lt/category/dokumentai/
4. https://esaugumas.lt/lt
5. https://www.lrs.lt/
6. https://cert.europa.eu/cert/filteredition/en/CERT-LatestNews.html
Elektroninių įkalčių rūšys
Išorinės duomenų laikmenos, telefonai Bet kokia įrašyta informacija, rinkti numeriai
(diskeliai, CD, DVD diskai, USB raktai).
Internetinės svetainės Naujienš svetainėsd, socialiniai tinklai,
kontroliuojami tinklraščiai, draudžiamo
turinio svetainės, DNS įrašai.
4.3. Įkalčių analizės būdai