Ricerca di artefatti del software

Question

Ricerca di artefatti del software

#1 da (1 voti)
#2 da (1 voti)
#3 da (1 voti)

9

Mi chiedevo se esiste un modo consolidato per sapere cosa potrebbe lasciare un particolare programma in esecuzione su un sistema (in termini di modifiche a un filesystem, come in Linux). Sto pensando a questo in modo simile a come penso che possa svolgersi un'indagine forense.

Il modo in cui ho pensato di affrontare questo problema è simile a come credo che Tripwire funzioni. Innanzitutto creando un hash di directory, trova quali sono stati modificati, quindi per restringere i file specifici da quelle directory che sono state modificate. Quindi, utilizzando una macchina virtuale con istantanee, posso tornare allo stato precedente della macchina e confrontare le modifiche future con le modifiche registrate in precedenza.

So che le directory di logging e tmp cambieranno comunque in modo naturale. Ma oltre a questi c'è un modo per sapere cosa viene lasciato in un sistema, o c'è un processo migliore (o più intelligente) di quello che sto pensando di usare?

forensics file-system

posta user45195 17.06.2014 - 17:01

fonte

3 risposte

Leggi altre domande sui tag forensics file-system

Verifica visiva delle impronte digitali Eventhandlers che si applicano ad elementi nascosti?

score 1 · Answer 1

Una possibile soluzione sarebbe quella di prendere un'immagine forense del bersaglio (intero HDD o un'area specifica o anche la RAM) prima e dopo il programma che si desidera analizzare corre. Quindi semplicemente * confronta le due immagini.

Vorrei iniziare con il confronto degli hash solo per essere certi che qualcosa è cambiato (quindi non perdere tempo a cercare). Molte volte, gli 'artefatti' sono "lasciati indietro" nella RAM e quindi cancellati nel tempo quando non utilizzati.

Puoi utilizzare un programma come FTK Imager per farlo.

score 1 · Answer 2

Supponendo che non si tratti di un software dannoso, il modo più semplice per farlo è utilizzare un filesystem di sovrapposizione (ad esempio UnionFS, OverlayFS). I file modificati saranno fondamentalmente nella sovrapposizione.

Un'altra opzione è quella di utilizzare il filesystem che ha capacità di snapshot (ad es. btrfs) o snapshot LVM.

Se il software è un software dannoso, potrebbe essere necessario utilizzare l'istantanea della macchina virtuale, poiché potrebbe non essere più possibile affidarsi al kernel in caso di software dannoso avanzato / root kit.

score 1 · Answer 3

In Windows è possibile utilizzare il software come Process Monitor che intercetta tutte le chiamate di sistema comprese le modifiche al filesystem. In questo modo non è necessario calcolare l'hash di tutti i file.

Puoi anche utilizzare Wireshark per intercettare il traffico e Regshot per scoprire le modifiche nel registro e scoprire così utili utili dati legali.