Poglavlje 1
4
Sprovođenje Windows istrage
GDE SE NALAZE DOKAZI NA WINDOWS SISTEMIMA
Lokacija dokaza na Windows sistemima
Pre nego što uđete u forenzičku analizu, važno je da znate gde planirate da tražite dokaze.
Lokacija
će zavisiti od konkretnog slučaja, ali generalno, dokazi se mogu naći u sledećim
oblastima:
• Neisparljivi ( Volatile ) podaci u strukturi kernela
• Malo prostora, gde možete dobiti informacije iz prethodno izbrisanih datoteka koje se
ne mogu oporaviti
• Slobodan ili neraspoređen prostor, gde možete dobiti prethodno izbrisane datoteke,
uključujući oštećene ili nedostupne klastere
• Logički sistem datoteka
• Logovi događaja
• Registar, za koji biste trebali misliti kao o ogromnom log fajlu
• Logovi aplikacija kojima ne upravlja usluga Windows Event Log Service
• Swap datoteke, koje sadrže informacije koje su nedavno bile locirane u sistemskoj
memoriji – RAM-u (pod nazivom pagefile.sys na aktivnoj particiji)
• Posebne datoteke na nivou aplikacije, kao što su Internet Ekplorer datoteke istorije
Interneta (indek.dat), Netscape's fat.db, datoteka history.hst i keš memorija
pretraživača.
• Privremene datoteke kreirane od strane mnogih aplikacija
• Kanta za smeće ( Recycle bin ) - (skrivena, logička struktura datoteka u kojoj se mogu
naći nedavno izbrisane stavke)
• Printer spool
• Poslata ili primljena e-pošta, kao što su .pst datoteke za Outlook poštu
Tokom istrage možda ćete morati da tražite dokaze u svakoj od ovih oblasti, što može biti
komplikovan proces. U ovoj vežbi ćemo opisati istraživački okvir.
SPROVOĐENJE ISTRAGE
Za formalno ispitivanje ciljnog sistema potrebno je slediti osnovne
korake u istraživanju
Nakon što ste postavili forenzičku radnu stanicu sa odgovarajućim alatima i snimili podatke o
low-level particije sa ciljane slike,
spremni ste da sprovedete istragu.
Poglavlje
1
Sprovođenje
Windows
istrage
5
Za formalno ispitivanje ciljnog sistema potrebno je slediti osnovne korake u istraživanju:
• Pregledajte sve relevantne logove.
• Izvršite pretraživanje po ključnim rečima.
• Pregledajte relevantne datoteke.
• Identifikovati neovlašćene korisničke naloge ili grupe.
• Identifikovati nepoželjne procese i usluge.
• Potražite neobične ili skrivene datoteke / direktorijume.
• Proverite neovlašćene pristupne tačke.
• Pregledajte poslove koje vodi Scheduler servis.
• Analizirati odnose poverenja.
• Pregledajte sigurnosne identifikatore.
Ovi koraci nisu poređani hronološki ili po redosledu važnosti. Možda ćete morati da izvršite
svaki od ovih koraka ili samo neke od njih. Vaš pristup zavisi od plana odgovora i okolnosti
incidenta.
PREGLED ZNAČAJNIH LOGOVA
Operativni sistemi Windows NT, 2000 i XP održavaju tri odvojene
datoteke loga: sistemski log, log aplikacija i sigurnosni log
Operativni sistemi Windows NT, 2000 i XP održavaju tri odvojene datoteke loga:
sistemski
log
,
log
aplikacija
i
sigurnosni
log
. Pregledom ovih log fajlova možete dobiti sledeće
informacije:
• Odredite koji korisnici imaju pristup određenim datotekama
• Odredite ko se uspešno prijavljuje na sistem
• Odredite ko je bezuspešno pokušavao da se prijavi na sistem
• Pratiti korištenje specifičnih aplikacija
• Pratiti promene u politici revizije
• Pratite promene korisničkih dozvola (kao što je povećani pristup)
Sistemski procesi i aktivnosti upravljačkih programa uređaja se snimaju u sistemski log.
Sistemski događaji koje je Windows testirao uključuju upravljačke programe uređaja koji
se ne pokreću ispravno; hardverski kvarovi; duplikati IP adrese; i pokretanje, pauziranje i
zaustavljanje usluga.
Aktivnosti povezane sa korisničkim programima i komercijalnim off-the-shelf aplikacijama
popunjavaju log aplikacije. Događaji aplikacija koje je proverio Windows uključuju sve
greške ili informacije o kojima aplikacija želi da izveštava. Log aplikacije može da sadrži broj
neuspelih prijava, količinu korišćenja diska i druge važne podatke.
Sistemska revizija i sigurnosni procesi koje koristi Windows nalaze se u sigurnosnom
dnevniku. Sigurnosni događaji koje je proverio Windows uključuju promene u korisničkim
privilegijama, promene u politici revizije, pristup datotekama i direktorijumima, aktivnosti
štampača i sistemske prijave i odjave.
Poglavlje
1
Sprovođenje
Windows
istrage
7
Slika 1.1.2 ID-evi nekih događaja sigurnosnih logova
U Event Viewer-u kliknite na log entry da biste videli njegove detalje. Slika 2 prikazuje
primer detalja o uspešnoj prijavi u sistem koji se zove WEBTARGET iz udaljenog sistema koji
se zove THUNDAR. Kako budete više navikli da pregledate dnevnike događaja, počećete da
prepoznajete indikatore neovlašćenih ili nezakonitih aktivnosti.
GDE TRAŽITI DOKAZE?
Windows može da zabeleži kreiranje i okonc0anje svakog procesa u
sistemu
Windows može da zabeleži kreiranje i okončanje svakog procesa u sistemu. Da biste
omogućili ovu funkciju, postavite politiku revizije da prati uspeh i neuspeh detaljnog
praćenja ( detailed tracking ).
Kada je proces kreiran, dobija se ID procesa (PID) koji je jedinstven za proces. Uz
uključeno detaljno praćenje, možete odrediti svaki proces koji korisnik izvršava na sistemu
tako što će pregledati sljedeće ID-ove događaja:
Slika 12-1. Bezbednosni log prikazan u Event Viewer-u
▪ 592 Kreiran je novi proces
▪ 593 Proces je izašao
Možete koristiti ovu vrstu praćenja procesa da biste logovali gotovo svaku aplikaciju koju
je korisnik pokrenuo ili otvorio, uredio i zatvorio. U stvari, čak i otvaranje WordPad-a se
evidentira kada se koristi detaljno praćenje. Prema tome, Windows logovanje, iako
nezgrapno, može da napravi detaljno praćenje događaja.
EVENT LOG DUMPS
Tokom inicijalnog odgovora na incident, korisno je dobiti evidenciju
doga aja
đ
iz sistema žrtve i izvršiti offline pregled preko TCP / IP
mreže.
