Практичне завдання 2

Аналіз пам’яті у системі Linux

Мета: Отримання практичних навичок з пошуку та збору цифрових

артефактів в ОС Linux.

Завдання: Отримати повну інформацію про стан файлової системи у

Linux, створити образ та проаналізувати його. Створити за допомогою
утіліти LiME образ оперативної пам’яті системи. Проаналізувати стан
працюючої системи за допомогою утіліти SysScout.
Хід роботи
1. Перелік та отримання розділів

Розуміння деталей про підозрілий диск є основним кроком під час отримання зображення. Метою
має бути заздалегідь зібрати якомога більше інформації про розмір, тип формату файлу та інші
важливі деталі. Утиліта команд fdisk повідомляє та керує таблицею розділів диска. Він присутній
майже на всіх машинах Linux і macOS

1. Введіть fdisk -h для швидкого огляду аргументів, які можна передати разом з ним.
2. Введіть fdisk -l, щоб отримати список усіх доступних дисків та інформацію про розділи.

В системі є два жорстких диска: /dev/sda і /dev/sdb. Linux зберігає імена дисків в алфавітному
порядку. Тут /dev/sda — перший жорсткий диск розміром 20 ГБ і містить три розділи, а саме
/dev/sda1, /dev/sda2 і /dev/sda5. /dev/sdb — це другий жорсткий диск розміром 5 ГБ, який буде
використаний для створення зображень на наступному кроці.

3. Після того як ви отримуєте список жорстких дисків у системі, створіть dd образ диска, жорсткого
диска чи флеш-накопичувача.

dd — це утиліта командного рядка для операційних систем Unix, основна функціональність якої
— копіювання та конвертування файлів.

dd if=/dev/sdb of=image.001 bs=1M status=progress

• 'if=/dev/sdb' означає читання з розділу /dev/sdb.

• 'of=image.001' означає запис вмісту розділу /dev/sdb у файл image.001.
• «bs=2M» означає читання та запис 2048, тобто 2 МБ файлу за раз.
• 'status=progress', щоб показати статус кількості байтів, скопійованих у файл.
2. Отримання пам'яті системи Linux

LiME — інструмент з відкритим кодом для отримання пам’яті, під час виконання він мінімізує
взаємодію між користувачем і процесами простору ядра, що дозволяє створювати захоплення
пам’яті, які є більш обґрунтованими з точки зору форензіки. LiME також можна використовувати
для захоплення пам'яті Android

1. Ми клонуємо вихідний код LiME із репозиторію git https://github.com/504ensicsLabs/LiME/.

2. Команда для клонування вихідного коду -
git clone https://github.com/504ensicsLabs/LiME/

3. Тепер побудуємо бінарнік. Перейдіть до каталогу src у каталозі LiME. Введіть команду make, щоб
створити об’єкт.
4. Щоб отримати вміст RAM, введіть команду, як показано нижче. Ви можете використовувати будь-
який шлях для збереження файлу пам’яті, включаючи зовнішній диск.

sudo insmod ./lime-4.15.0-29-generic.ko "path=../Linux_Memory.mem format=raw"

5. Нижче показана пам'ять, записана у файлі Linux_Memory.mem.
3. SysScout Tool
SysScout — це фреймворк з відкритим вихідним кодом, доступний на
https://github.com/joshbrunty/SysScout. Цей інструмент допомагає знайти важливу інформацію з
операційної системи Linux, таку як інформація про час, інформація про мережу та DNS, останній
користувач системи, користувачі, які ввійшли в систему тощо. Перш ніж здійснити отримання
операційної системи в реальному часі, ми спершу повинні зробити знімок первинної та вторинної
пам’яті підозрюваного чи жертви, що працює, за допомогою інструментів створення зображень.

1. Завантажте та запустіть інструмент SysScout за допомогою команди git clone

https://github.com/joshbrunty/SysScout.

2. Перейдіть до папки SysScout за допомогою команди cd SysScout

3. Щоб запустити цей інструмент, введіть команду bash SysScout.sh. Цей інструмент надасть вам
різні варіанти судової експертизи в реальному часі

Ви можете вибрати параметри в головному меню, щоб виконати аналіз системи Linux в реальному
часі та отримати інформацію про операційну систему, часові позначки, інформацію про HOST і DNS,
інформацію про пам’ять, користувача, який увійшов у систему, та останніх користувачів, які
ввійшли в систему.
4. Аналіз необробленого зображення

Тепер проведемо аналіз файлової системи за допомогою набору інструментів «The Sleuth Kit» у
системі Ubuntu.

1. Щоб перевірити, чи належить образ до типу диска чи розділу, скористайтеся командою mmls
image.001. Зображення є жорстким диском, а не розділом на жорсткому диску; отже, результатом
буде «неможливо відобразити тип розділу».

2. Команда fsstat використовується для визначення типу розділу. Він відображає деталі, пов’язані з
файловою системою. Тут ми бачимо файлову систему EXT4.
3. Використовуйте ils –a image.001, щоб вивести інформацію про inode та знайти список записів
MFT. Записи MFT містять такі відомості, як створення файлу, модифікація, доступ тощо, файлу, що
зберігається в образі.

4. Щоб подивитися файли та каталоги - fls image.001

• d/d – каталог
• v/v – віртуальний фалй або каталог
• r/r – файл
5. Команда istat image.001 відображає часові позначки, коли файл був створений, доступний та
змінений

6. Введіть команду fls –d image.001

7. Ми можемо використовувати команду istat image.001 для відображення часових позначок

видалених записів