Clonazione di un sistema per l'analisi forense

2

Come posso clonare un sistema senza lasciare impronte? Voglio acquisire RAM e altri hard disk fisici in modo che dopo la clonazione tutto il lavoro possa essere svolto in VM senza disturbare la macchina di destinazione. Se installo un software per la clonazione sul computer di destinazione, lascerò un'impronta. Se faccio qualcosa su rete come netcat, lascerà anche la connessione nella RAM. Inoltre, non voglio rimuovere il disco rigido dal sistema e utilizzare un blocco di scrittura in quanto si presuppone che una volta scollegata l'unità e ricollegata, i dati verranno eliminati.

Voglio sostanzialmente far sì che una macchina ottenga tutti i suoi dati in modo da avere qualcosa da eseguire in una VM che è esattamente la stessa della macchina originale.

Sto facendo un progetto su Windows forensics e per quanto ho progredito non riesco a catturare ram in modo da poter essere eseguito su una macchina virtuale.

Ho visto alcuni strumenti con cui posso clonare il disco rigido per creare un disco per macchina virtuale, ma per quello ho bisogno di installare quel software sul computer di destinazione e questo lascerebbe impronte

    
posta Jheel rathod 04.06.2018 - 14:15
fonte

1 risposta

4

Dovresti utilizzare JTAG , un protocollo di debug (in particolare IEEE 1149.1 ) e la sua interfaccia sulla maggior parte dei dispositivi moderni. Quando è collegata una sonda JTAG, è possibile interrompere lo stato della macchina e leggere tutta la memoria e i registri. JTAG mette il sistema in uno stato di debug di basso livello chiamato probe mode, su cui il sistema operativo non ha alcun controllo. sonde JTAG , precedente per DCI , può essere abbastanza costoso. L'unica traccia lasciata da JTAG è il fatto che l'RTC del sistema sembrerà saltare in avanti. Dopotutto, il sistema si troverà in una fase di cui non è a conoscenza da tempo, mentre l'RTC continua a ticchettare.

È anche possibile usare un attacco DMA che di solito ha un effetto molto scarso sul sistema di destinazione. Tuttavia, un attacco DMA su un sistema in esecuzione è soggetto a striscio di memoria che può complicare l'analisi e corrompe la memoria temporaneamente, piuttosto che spazialmente (cioè l'indirizzo x e l'indirizzo y potrebbero essere stati catturati in momenti diversi, portando a incongruenze). Inoltre, gli attacchi DMA richiedono che il sistema di destinazione non supporti DMAR , che filtra DMA usando il suo IOMMU.

Se in realtà vuoi prendere la memoria e rilasciarla direttamente in una VM in modo che funzioni da dove era stata interrotta, sei sfortunato, mi dispiace. C'è molto stato che non viene catturato in memoria (registri, spazio di configurazione del dispositivo PCI / MMIO, ecc.). Sarebbe un'impresa incredibile prendere il ricordo dell'hardware in esecuzione e inserirlo in una macchina virtuale, soprattutto perché è necessario scrivere gli emulatori di dispositivo per tutti i dispositivi proprietari sul sistema di destinazione. Dovresti essere in grado di analizzare in modo completo un dump di memoria senza che deve essere lasciato cadere in una macchina virtuale.

Vedi altre risposte che ho scritto su questo argomento:

risposta data 05.06.2018 - 05:10
fonte

Leggi altre domande sui tag