Podczas pracy czy w stanie wyłączonym?

Zabezpieczenie danych można wykonać na dwa sposoby: pobranie informacji podczas pracy komputera (live) oraz port mortem, w postaci kopii dysku wyłączonego komputera. Zabezpieczenie live ma istotną przewagę nad kopią wyłączonej maszyny, gdyż nie są tracone informacje o stanie działania komputera. W ten sposób można podjąć próbę rejestrowania śladów pozostawionych przez: rootkity i inne złośliwe oprogramowanie, szyfrowanie danych (obecność klucza szyfrującego w pamięci), niewyczyszczone strony pamięci pozostawione przez zamknięte aplikacje, tryb prywatny w przeglądarkach oraz aplikacje przenośne, które nie podlegają instalacji na dysku lokalnym komputera.

Zabezpieczenie live jest konieczne, jeśli trzeba pozyskać maksimum informacji o aktywności w danym systemie w powiązaniu z siecią firmową. Innym przypadkiem jest konieczność analizy obecności lub działania złośliwego kodu albo złapanie operatora danego komputera na gorącym uczynku. Jeszcze inną sytuacją wymagającą analizy live jest zapisanie stanu systemu produkcyjnego, którego nie można zatrzymać.

Co znika, co zostaje

Informacje przetwarzane na bieżąco są najbardziej ulotne. Są nimi: zawartość rejestrów procesora, pamięci podręcznej, pamięci operacyjnej. Czas życia informacji z tej grupy jest rzędu nanosekund. Mimo tak krótkiego czasu, należy zachować zrzut pamięci operacyjnej, by zwiększyć szanse wykrycia ewentualnego złośliwego oprogramowania.

Od danych w procesorze i pamięci trwalsze są te, zapisane w pliku wymiany oraz informacje dotyczące sieci (cache ARP, routing) - tutaj czas życia to milisekundy. Informacje o procesach są jeszcze trwalsze, zazwyczaj czas liczy się w sekundach; podobnie w przypadku systemu plików czy przestrzeni dyskowej. Najdłużej przetrwają informacje o topologii sieciowej (dni) oraz dane zapisane w zewnętrznych nośnikach (dni, tygodnie).

Stąd wynika prosta zasada, że w pierwszej kolejności należy przeprowadzić zrzut pamięci, a dopiero potem gromadzić resztę informacji.

Niezbędne narzędzia

Do zbierania informacji w działającym systemie Windows można skorzystać z gotowych pakietów, z których najpopularniejszym jest ProDiscover (w wersji basic jest darmowy) oraz komercyjne narzędzie F-Response. Ten drugi produkt umożliwia także zabezpieczenie zdalne. Do analizy zapisów na nośnikach przydają się specjalnie przygotowane dystrybucje systemu Linux, które nie montują automatycznie dysków w trybie zapisu. Przy korzystaniu z nich badany system podlega montowaniu w trybie tylko do odczytu, dzięki czemu nie ma możliwości zmodyfikowania zawartości dysku. Taką dystrybucją jest Deft, podobną funkcjonalność prezentuje także backtrack po wybraniu właściwej opcji oraz SystemRescueCD. Wszelkie operacje na badanym dysku należy wykonywać z użyciem write blockera, narzędzia, które sprzętowo blokuje możliwość zapisu danych.

Do kopiowania dysków, wraz ze sporządzeniem obrazu oryginalnego nośnika, można posłużyć się taką dystrybucją Linuksa, ale na rynku są też dostępne samobieżne platformy kopiujące - automaty, które oprócz dokładnego skopiowania zawartości, automatycznie obliczą sumę kontrolną. Niektóre z tych urządzeń (po wprowadzeniu informacji o protokolantach i szczegółach akcji pozyskania danych) umożliwiają wydrukowanie protokołu na typowej drukarce dołączanej za pomocą portu równoległego. Typowa prędkość kopiowania to około 200 MB/min, zatem czas wykonywania kopii dysku może być dość długi.

Najdroższą opcją jest specjalizowany przenośny komputer wyposażony we wszystkie niezbędne złącza i peryferia.

Nieuchwytne ślady

Mimo sprawnych procedur pozyskiwania danych, nie zawsze udaje się zarejestrować wszystkie aspekty pracy badanego systemu. Dzisiejsze złośliwe oprogramowanie potrafi ukrywać swoją działalność przed narzędziami analizy systemu Windows, zatem nawet kopia pamięci nie zawsze będzie na tyle wiarygodna, by udokumentować pracę malware’u. Jeśli działający rootkit posiada opcje wykrywania narzędzi używanych przez organy ścigania, to albo się odinstaluje i zniszczy ślady swojej działalności, albo będzie aktywnie przeciwdziałał analizie.