2013. július 30., kedd

P2V - Physical to virtual

Gép vizsgálata forensics eszközökkel:

Első lépés a gép lementése raw diszk image-be. Ehhez a WinFE-t lehet hasznáni.
(Lehet használni a Helix 2008R1 CD-t is, de a szakemberek azt mondják, hogy a WinFE a jobb választás)

Hagyományosan Window AIK (Automated Installation kit) használatával:
http://www.forensicfocus.com/downloads/WinFE.pdf

vagy Winbuilder alkalmazásával:
http://winfe.files.wordpress.com/2011/01/users-guide-to-winfe1.pdf

A WinFE bebootolása után FTK Imagerrel lementjük a merevlemezt (merevelmezeket) raw dd image formátumba.(leírása a fenti két dokisban megtalálható)

A lementett formátumból vdi file-t készítünk:
http://files.pinguin.lu/projects/HOWTO-BootingAcquiredWindows.pdf

Készítünk egy bootolható iso file-t (OpenGates) amit a virtuális gép bebootolása előtt fogunk használni. Az ISO file-hoz kell egy JÓ!!! Windows XP telepítő CD. Először egy magyar telepítővel próbálkoztam, de azzal nem működött!!!. Szóval kell egy angol Windows XPSP2 telepítő CD (jelszómester.hu-n van ehhez pontos link, ide most nem rakom be) Az OpenGates leírása megtalálható itt: https://www.pinguin.lu/index.php

Miután bebootoltuk az iso fájlt, a legtöbb kérdésre válaszoljunk "y"-al.
Utána próbáljuk bebootolni a gépet. ha nem megy, akkor próbáljuk meg F8-at nyomni és csökkentett módban elindítani. A bootolás előtt a virtuális gépen letiltjuk a hálózati interfészt, így nem tud kimenni a netre. és így nem tud kapcsolódni semmilyen szerverhez.

Ha kék halált dob a gép, akkor valamilyen ingyenes videorecorderrel vegyük fel a dolgot és nézzük meg, hogy mi a gond :) (nekem nem sikerült megállítani a képernyőt ahol kellett volna)

Miután sikeresen bebootoltuk a virtuális gépbe a fizikai gépet, abortáljuk el a hardver telepítő folyamatokat és kezdjünk hozzá az adatok összegyűjtésének.

A nirsoft.net-en megtaláljuk a szükséges programokat (LastActivityView, WebBrowserPassView, satöbbi) A szükséges programokat Folder2iso-val írjuk ki egy iso fájlba (vagy másoljuk fel egy usb-re)

A bebootolt virtuális géphez adjuk hozzá a felmountolt iso fájlt vagy az usb meghajtót és futtassuk le a programokat. Az outputot tegyük el egy helyre és a végén mentsük ki az usb-re (vagy agyből tehetjük oda is)

Ennyi.

A lementett raw diszk image-t lehet még vizsgálni a SANS SIFT- forensics workstationjével is,
http://computer-forensics.sans.org/community/downloads ez akkor működőképes, ha nem tudjuk kiütni a jelszót vagy nem sikerül bebootolni a virtuális gépet. De a leghatékonyabb, ha bebootoljuk az eredeti gépet a virtuális gépbe és ott vizsgáljuk mindenféle toolokkal, mintha csak az eredeti gépen lennénk....

Ha jelszavas a gép, akkor az OpenGates-el azt is ki tudjuk ütni. Vagy megpróbáljuk a hash-eket kivenni és visszafejteni a jelszót. Vagy ophcrack-al feltörjük...

A gépet vmware-s eszközökkel is le lehet másolni, de azt még nem tudtam rendesen kipróbálni, így arról nem tudok nyilatkozni.

Tanulság: Ha valaki fizikailag hozzáfér a gépünkhöz (annyi időre, hogy a merevlemezt le tudja másolni) és a merevlemez nincs levédve merevlemez titkosítással, akkor gyakorlatilag bármilyen adatunkhoz hozzá tud férni.... Lementi a diszket és utána a gépet bebootolja virtuális környezetbe és ott tudja vizsgálgatni...

3 megjegyzés:

  1. Sziasztok!

    Újra él a blogunk:
    http://backtracktut.blogspot.hu
    Nem csak backtrack tutorialokkal :)

    VálaszTörlés
  2. Ma csináltam egy 320 gigás mentést a fenti módszerel. Körülbelül 4 óráig futott a másolás.

    Utána átkonvertáltam a raw file-t vdi-be (ez is elfutott egy pár óráig...)

    Ebből kalkulálható , hogy egy adott méretű lemezből kb mennyi idő múlva lehet bootolható gépet csinálni. (több óra)

    VálaszTörlés

Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.