2009. június 12., péntek

Forensic vizsgálatok 5.- Időpecsétek és fájlszignatúrák

A betörési tesztelés mellett a nyomelemző munkák területe az a témakör, amelyről sok szakmabeli is csak homályos képpel rendelkezik, holott meglehetősen szerteágazó és szövevényes világról van szó. Több posztból álló sorozatunkban igyekszünk felvillantani néhány érdekesebb momentumot nyomelemzős munkáinkról.

Az időpecsétekről bővebben
Az időpecsétekről már írtunk korábbi bejegyzésekben - rövid ismétlés: NTFS alatt négyféle időbélyeg tartozik egy-egy fájlhoz: ACME (Accessed, Created, Modified, Entry modified), ezeknek kritikus szerep jut a timeline összeállítása során. A népszerű profi forensic eszközök, mint pl. az EnCase, az Autopsy az időbélyegek alapján automatikusan kigyűjtik a fájlrendszer metaadataiból a törlések, létrehozások stb. idősorrendjét.

Az NTFS időpecsétek azonban nem csak egy helyen tárolódnak: az $MFT fájlban az egyes fájlokhoz tartozó leíróban nem csak a Standard Information mezőben, hanem a File Attribute mezőben is találhatóak ACME időpecsétek: a legtöbb fájlkezelő és forensic eszköz csak a Standard Information mező tartalmát veszi figyelembe, a másikat békén hagyja. A két mező közül az SI időpecsétek minden alkalommal frissülnek, az FA csak a fájl másolásakor/áthelyezésekor - ebből annyi jön, hogy az SI pecsétek elvileg nem lehetnek korábbiak, mint az FA pecsétjei: ha mégis, akkor valószínűleg valaki játszott a pecsétekkel.

Egy példa technet blogjáról (az ntfs.txt fájl a "sima" időpecsétek szerint 1601-ben keletkezett, 1801-ben nyúltak hozzá és 2008-ban nyitották meg utoljára, viszont az NTFS $MFT-ben láthatóak az érvényes, igazi időpecsétek.)

A fájlszignatúrákról még egyszer
A fájlszignatúrákat módosító posztban mondtuk, hogy nagyon egyszerűen lehet maszkírozni a fájlunkat különféle típusok között - jöttek visszajelzések arról, hogy mutassunk példát. Lássunk egyet!

zsombor@jester:~$ cat bela
Nem vagyok vegrehajthato!
zsombor@jester:~$ file bela
bela: ASCII text
Egyértelmű a kép: a bela fájl szöveget tartalmaz, a file parancs egyértelműen észre is veszi. De mi van, ha...?
zsombor@jester:~$ cat bela
MZ Nem vagyok vegrehajthato!
zsombor@jester:~$ file bela
bela: MS-DOS executable
Nocsak-nocsak. Ha megnézzük egy forensic céleszközzel az állományt:


Tanulság: ne bízzunk a céleszközeinkben sem!

Nincsenek megjegyzések:

Megjegyzés küldése

Kommentek