Korisnički alati

Site alati


image_forenzika

Razlike

Slijede razlike između dviju inačica stranice

Poveznica na ovu usporedbu

image_forenzika [2015/01/21 13:37] (trenutno)
Redak 1: Redak 1:
 +===== Uzimanje slike sustava (image) =====
 +Nakon skupljanja promjenjivih podataka, može se uzeti slika hard drive-a.\\  ​
 +
 +==== Spajanje računala ====
 +
 +Forenzičko računalo (računalo F) se pomoću crossover ili ethernet kabla spoji na istraživano računalo (računalo X) te se oba računala smjeste u istu podmrežu. Da bi mogli međusobno komunicirati,​ moraju biti na istom mrežnom segmentu. Dobra praksa je koristiti 10.0.0.1 za računalo X, a 10.0.0.2 za računalo F.\\ 
 +U komandim linijama oba računala upisati slijedeće naredbe:​\\ ​
 +{{  :​crossover.jpg?​x138|Crossover cable}}
 +{{  :​ethernet2.jpg?​x135|Ethernet CAT5 cable}}\\ ​
 +''​$ ifdown eth0 (ili koji se već adapter koristi)''​\\ ​
 +''​$ ifconfig eth0 10.0.0.''​**n** ''​netmask 255.255.255.0 (''​**n**''​ = 1 za računalo X, 2 za računalo F)''​\\ ​
 +''​$ ifup eth0''​\\ ​
 +
 +Nakon postavljanja IP adresa, treba provjeriti da se računala mogu pingati. Također, računalo X mora biti isključeno iz svoje standardne mreže (npr. tvrtkina mreža) i biti umreženo jedino s forenzičkim računalom. U slučaju kad to nije moguće, potrebno je obavijestiti klijenta da će slika sustava biti iskrivljena i da zbog toga eventualne parnice neće biti moguće.
 +
 +==== Mounting diskova ====
 +
 +U savršenom svijetu, drive čija se slika uzima bi se zvao ''/​dev/​hda1'',​ ali s obzirom da to nije slučaj, drive će se morati ručno potvrditi. Općenito se boot sektor nalazi u ''/​dev/​hda'',​ a datotečni sustav (eng. //​filesystem//​) u ''/​dev/​hda1''​. Ako je drive SCSI, umjesto ''​hda''​ će biti ''​sda''​.\\ ​
 +Zadavanjem naredbe ''​mount'',​ ispisati će se svi mountani uređaji, uključujući i novostvorenu točku za mountanje. Ovi podaci se mogu pogledati i u dnevniku poruka u ''/​etc/​mtab''​ te u ''/​proc/​partitions''​.\\ ​
 +
 +Prije uzimanja slike potrebno je proći pripremne korake:
 +  * Na računalu X stvoriti mount točku prema računalu F. 
 +  * Na računalu F stvoriti mapu u koju će se pohraniti ''​dd''​ slika računala X. To će biti ranije mountani vanjski drive, a put bi trebao izgledati slično ovome:\\ ''/​media/​disk/​IBM/​customer_host''​.
 +  * Na računalu F pokrenuti NFS (eng. //Network File System//)\\ [[image_forenzika#​Za raspravu nakon što saznam kako koristiti Sambu|UNDER CONSTRUCTION]]
 +  * Nakon što je stvorena i provjerena mount točka, provjeriti vezu:
 +    * ući (''​cd''​) u direktorij,
 +    * provjeriti vezu, npr. stvaranjem datoteke: ''​$ touch foo'',​
 +    * provjeriti da se datoteka može vidjeti s oba računala,
 +    * izbrisati datoteku: ''​$ rm -rf foo''​.
 +  * Provjeriti cjelovitost slike računanjem MD5 sažetka na računalu X: ''​$ md5sum /dev/hda > outfile''​. Nakon toga poslati sažetak na računalo F putem mount točke. ​
 +
 +
 +
 +== Za raspravu nakon što saznam kako koristiti Sambu ==
 +''​ On the forensic machine, start the Network File System (NFS) service: ​
 +Service nfs start (this may vary from each system, .e.g /​etc/​init.d/​nfs start) ​
 +
 +On the forensic system, export your share: ​
 +
 +vi /​etc/​exports ​
 +
 +
 +Shift I (for insert mode) 
 +
 +
 +Add your mount point, in this example, /​media/​disk/​IBM/​customer_host ​
 +
 +
 +ESC (exit current command selection), Shift : (exit edit mode), W (write),
 +
 +Q (quit),​!(absolute write) ​
 +
 +
 +www.syngress.com ​
 +
 +58 Chapter 3 • Live Response: Data Collection ​
 +
 +On the forensic system, validate your share is being exported: ​
 +
 +showmount -e 
 +
 +
 +On the target system, mount the forensic share point: ​
 +
 +mount –t nfs 10.0.0.1:/​media/​disk/​IBM/​customer_host (target directory) ​
 +/mnt/foo (local directory) ​
 +
 +
 +Verify your NFS mount point on the TARGET system: ​
 +
 +mount 
 +
 +
 +An entry should now be seen at the bottom of the mount list which looks 
 +something like this: 
 +
 +10.0.0.1:/​media/​disk/​IBM/​customer_host on /mnt/foo type nfs 
 +(rw,​addr=10.0.0.1) ​
 +
 +
 +This may fail for several reasons, the most common of which are desktop fire-
 +
 +walls, improper eth0 configurations,​ bad media (i.e., a bad cable), or the NFS service ​
 +
 +needs to be restarted. If that is the case, attempt to unmount your NFS share, restart ​
 +
 +the NFS service, and try mounting it again. If for any reason this second mount fails, ​
 +
 +move on to the next method of acquisition.The role of a forensic investigator is to 
 +
 +gather data, not troubleshoot OS problems. Make a note of the failure in the case 
 +
 +logbook, and follow up later in a laboratory environment. ''​
 +
 +==== Uzimanje slike ====
 +
 +  * **Naredba** \\ Na računalu X upisati naredbu: \\ ''​$ dd if=/​dev/​hda1 (u savršenom slučaju) of=/​mnt/​foo''​ \\ \\ Ova naredba će započeti ''​disk dump''​ proces, uzimajući ''/​dev/​hda1''​ i pohranjujući ga u jednu ''​dd''​ datoteku u direktoriju ''/​mnt/​foo''​ na lokalnom sustavu što je zapravo NFS mount točka za računalo F.\\ \\ 
 +  * **Provjera napretka**\\ Tijekom izvođenja naredbe, može se provjeriti napredak s naredbom ''​ls -la''​ na datoteci. Veličina bloka će kontinuirano rasti te će stati kad dosegne veličinu drivea čija se slika uzima. __''​If it does, KILL the dd image on the TARGET SYSTEM by pressing Ctrl-C.''​__ (Kad dosegne tu veličinu, potrebno je prekinuti proces naredbom ''​Ctrl-C''?​)\\ \\ 
 +  * **Provjera uspješnosti**\\ Posljednji korak je računanje MD5 sažetka slike na računalu X te njegova usporedba s MD5 sažetkom slike na računalu F. Ukoliko se ne poklapaju, nešto je pošlo po krivu tijekom postupka uzimanja slike i potrebno je ponoviti postupak s nekim drugim alatom. \\ \\ 
 +  * **Uklanjanje mount točke**\\ Ako se MD5 sažeci poklapaju, uklanja se mount točka s računala X:\\ ''​$ umount 10.0.0.1:/​media/​disk/​IBM/​customer_host''​
 +
  
image_forenzika.txt · Zadnja izmjena: 2015/01/21 13:37 (vanjsko uređivanje)