2013. július 30., kedd

P2V - Physical to virtual

Gép vizsgálata forensics eszközökkel:

Első lépés a gép lementése raw diszk image-be. Ehhez a WinFE-t lehet hasznáni.
(Lehet használni a Helix 2008R1 CD-t is, de a szakemberek azt mondják, hogy a WinFE a jobb választás)

Hagyományosan Window AIK (Automated Installation kit) használatával:
http://www.forensicfocus.com/downloads/WinFE.pdf

vagy Winbuilder alkalmazásával:
http://winfe.files.wordpress.com/2011/01/users-guide-to-winfe1.pdf

A WinFE bebootolása után FTK Imagerrel lementjük a merevlemezt (merevelmezeket) raw dd image formátumba.(leírása a fenti két dokisban megtalálható)

A lementett formátumból vdi file-t készítünk:
http://files.pinguin.lu/projects/HOWTO-BootingAcquiredWindows.pdf

Készítünk egy bootolható iso file-t (OpenGates) amit a virtuális gép bebootolása előtt fogunk használni. Az ISO file-hoz kell egy JÓ!!! Windows XP telepítő CD. Először egy magyar telepítővel próbálkoztam, de azzal nem működött!!!. Szóval kell egy angol Windows XPSP2 telepítő CD (jelszómester.hu-n van ehhez pontos link, ide most nem rakom be) Az OpenGates leírása megtalálható itt: https://www.pinguin.lu/index.php

Miután bebootoltuk az iso fájlt, a legtöbb kérdésre válaszoljunk "y"-al.
Utána próbáljuk bebootolni a gépet. ha nem megy, akkor próbáljuk meg F8-at nyomni és csökkentett módban elindítani. A bootolás előtt a virtuális gépen letiltjuk a hálózati interfészt, így nem tud kimenni a netre. és így nem tud kapcsolódni semmilyen szerverhez.

Ha kék halált dob a gép, akkor valamilyen ingyenes videorecorderrel vegyük fel a dolgot és nézzük meg, hogy mi a gond :) (nekem nem sikerült megállítani a képernyőt ahol kellett volna)

Miután sikeresen bebootoltuk a virtuális gépbe a fizikai gépet, abortáljuk el a hardver telepítő folyamatokat és kezdjünk hozzá az adatok összegyűjtésének.

A nirsoft.net-en megtaláljuk a szükséges programokat (LastActivityView, WebBrowserPassView, satöbbi) A szükséges programokat Folder2iso-val írjuk ki egy iso fájlba (vagy másoljuk fel egy usb-re)

A bebootolt virtuális géphez adjuk hozzá a felmountolt iso fájlt vagy az usb meghajtót és futtassuk le a programokat. Az outputot tegyük el egy helyre és a végén mentsük ki az usb-re (vagy agyből tehetjük oda is)

Ennyi.

A lementett raw diszk image-t lehet még vizsgálni a SANS SIFT- forensics workstationjével is,
http://computer-forensics.sans.org/community/downloads ez akkor működőképes, ha nem tudjuk kiütni a jelszót vagy nem sikerül bebootolni a virtuális gépet. De a leghatékonyabb, ha bebootoljuk az eredeti gépet a virtuális gépbe és ott vizsgáljuk mindenféle toolokkal, mintha csak az eredeti gépen lennénk....

Ha jelszavas a gép, akkor az OpenGates-el azt is ki tudjuk ütni. Vagy megpróbáljuk a hash-eket kivenni és visszafejteni a jelszót. Vagy ophcrack-al feltörjük...

A gépet vmware-s eszközökkel is le lehet másolni, de azt még nem tudtam rendesen kipróbálni, így arról nem tudok nyilatkozni.

Tanulság: Ha valaki fizikailag hozzáfér a gépünkhöz (annyi időre, hogy a merevlemezt le tudja másolni) és a merevlemez nincs levédve merevlemez titkosítással, akkor gyakorlatilag bármilyen adatunkhoz hozzá tud férni.... Lementi a diszket és utána a gépet bebootolja virtuális környezetbe és ott tudja vizsgálgatni...

4 megjegyzés:

  1. Sziasztok!

    Újra él a blogunk:
    http://backtracktut.blogspot.hu
    Nem csak backtrack tutorialokkal :)

    VálaszTörlés
  2. Ma csináltam egy 320 gigás mentést a fenti módszerel. Körülbelül 4 óráig futott a másolás.

    Utána átkonvertáltam a raw file-t vdi-be (ez is elfutott egy pár óráig...)

    Ebből kalkulálható , hogy egy adott méretű lemezből kb mennyi idő múlva lehet bootolható gépet csinálni. (több óra)

    VálaszTörlés
  3. If you want your ex-girlfriend or ex-boyfriend to come crawling back to you on their knees (even if they're dating somebody else now) you have to watch this video
    right away...

    (VIDEO) Why your ex will NEVER get back...

    VálaszTörlés