Qual è un esempio pratico di come le informazioni volatili possono essere preservate in un'indagine scientifica forense?

3

Sto seguendo un corso di studi su CCSP e sto esaminando una sezione sul processo di investigazione forense digitale. In particolare, l'istruttore ha discusso quanto segue:

Sono curioso su due punti elenco qui:

  • Cattura un'immagine accurata del sistema.
  • Lavora dalle prove persistenti a quelle persistenti.

Entrambi hanno senso da soli, ma mi chiedo se / come sia possibile catturare un'immagine di un sistema che include prove volatili.

Non dovrei chiudere il sistema (o riavviarlo) per raccogliere un'immagine? In tal caso, non perderei una grande porzione di informazioni volatili (ad esempio processi in esecuzione, memoria, ecc.)?

Da una prospettiva pratica, come possono essere preservate le prove volatili?

    
posta Mike B 07.03.2018 - 16:36
fonte

2 risposte

5

Wouldn't I have to shut the system down (or reboot) in order to collect an image?

No, puoi utilizzare uno strumento di acquisizione della memoria convalidato per raccogliere le prove volatili nella RAM.

If so, wouldn't I lose a large chunk of volatile information (e.g. running processes, memory, etc)?

Forse, è davvero difficile da dire. Ricerca presso la Princeton University ha dimostrato che RAM si dissolve piuttosto che scompare. Il raffreddamento consente agli esaminatori di avere più tempo per raccogliere i dati volatili. Ci sono alcuni altri problemi con la rimozione della spina:

  1. Crittografia. La disattivazione della macchina potrebbe crittografare i file non crittografati mentre la macchina è in esecuzione, il che significa una perdita di prove.
  2. Dati danneggiati. La disattivazione della macchina potrebbe rendere i dati illeggibili.
  3. Prove non registrate. È possibile che le prove non vengano registrate a meno che la macchina non sia spenta correttamente.

From a practical perspective, how can volatile evidence be preserved?

Devi eseguire una serie di passaggi:

  1. Una volta iniziato, assicurati di lavorare ininterrottamente, altrimenti inviti errori.
  2. Raccogli i tuoi materiali: moduli di rapporto, penne, strumenti per l'acquisizione della memoria, ecc.
  3. Se è necessario premere un tasto per riattivare la macchina, documentarla.
  4. Annota la data e l'ora così come appaiono sul computer.
  5. Registra icone visibili e applicazioni in esecuzione e documenta i processi in esecuzione. Questo potrebbe aiutare a identificare il malware. È possibile accedere a queste informazioni tramite il task manager.
  6. Utilizzare uno strumento di acquisizione della memoria convalidato per raccogliere le prove volatili nella RAM.
  7. Chiudi correttamente la macchina per consentire a qualsiasi applicazione in esecuzione di scrivere qualsiasi artefatto sulla scrivania, che ti consentirà di recuperarli in seguito.

Puoi leggere ulteriori informazioni su questo processo in Nozioni di base su Digital Forensics: The Primer for Getting Started in Digital Forensics di John Sammons.

    
risposta data 07.03.2018 - 21:02
fonte
2

L'arresto del sistema è più vicino alla fine del processo di raccolta.

Acquisire volatile di dati implica catturare i seguenti elementi: Memory dump/core dump, Network connections & traffic, Process list

Una volta che hai i dati puoi passare ad un'immersione più profonda sulla causa principale e su cosa è stato manomesso. Questo spesso comporta il cambiamento dei livelli di esecuzione, il dumping / clonazione dei dischi, quindi il passaggio sistematico dei segmenti di memoria da un core dump e una memoria di processo per trovare i binari modificati o anche solo un processo modificato eseguito in memoria.

Un altro obiettivo avanzato è quello del compromesso del firmware che porta a una minaccia persistente avanzata. Anche se meno probabile, l'uso di un editor jtag per estrarre un firmware corrente dei sistemi è uno dei soli metodi per garantire una buona prova che produca un'istantanea di un compromesso hardware.

    
risposta data 07.03.2018 - 16:58
fonte

Leggi altre domande sui tag