Dowody z komputera
-
- 09.02.2010
W niektórych komputerach może być też zainstalowane oprogramowanie (np. DECAF i późniejszy hack grupy SOLDIERX), które niszczy ślady w przypadku wykrycia narzędzi do analizy powłamaniowej, używanych przez organy ścigania. Monitoruje ono nośniki zewnętrzne i potrafi podejmować działania obronne - zamknąć proces kopiowania pamięci, wyczyścić logi, wyłączyć USB, a następnie przeprowadzić kompleksowe niszczenie śladów (wyczyszczenie historii odwiedzanych stron i pamięci podręcznej, zamknięcie dysków zaszyfrowanych TrueCryptem). To samo potrafią niektóre rootkity.
Gdy malware działa w trybie jądra systemu i jest wyposażone w mechanizmy obronne, przechwycenie informacji o nim jest bardzo trudne a standardowe narzędzia zawodzą. Należy to wziąć pod uwagę, gdyż brak bezpośrednio dostępnych śladów złośliwego oprogramowania nie oznacza, że system Windows jest czysty. Aby móc wyciągnąć takie wnioski, należy przeprowadzić dokładną analizę.
Przed rozpoczęciem prac należy się upewnić, czy dopełniono wszystkich formalności, takich jak:- podpisana i doręczona zgoda na przeprowadzenie prac lub zlecenie zabezpieczenia śladów,
- przygotowanie protokołu zabezpieczenia, w którym muszą się także znaleźć kryptograficzne sumy kontrolne,
- protokół dokumentujący łańcuch dowodowy.
Przy tym ekipa powinna posiadać niezbędne wyposażenie dodatkowe, między innymi:
- torebki antystatyczne i opakowania ochronne,
- aparat fotograficzny,
- kable sieciowe,
- czyste nośniki,
- czytniki kart pamięci,
- kable do telefonów komórkowych oraz inne kable połączeniowe.
Kiedy komputer jest włączony, należy:
- zapewnić obecność świadka,
- przygotować protokół,
- wykonać zdjęcie otoczenia komputera oraz ekranu,
- sprawdzić czas lokalny,
- wykonać zrzut pamięci na zewnętrzny nośnik za pomocą właściwego narzędzia (np. win32dd/win64dd). W Windows XP SP3 i wyższych wersjach, starsze narzędzia nie potrafią wykonać poprawnej kopii RAM.
Zebrać informacje:
- o zalogowanych użytkownikach,
- listę otwartych plików,
- informacje okołosieciowe (otwarte sesje, udostępnione obce zasoby, podpięte pliki, połączenia TCP/IP),
- procesy i usługi,
- zawartość pamięci podręcznej, takiej jak schowek czy cache oprogramowania,
- udziały na lokalnej maszynie, uprawnienia, podłączone obce dyski sieciowe,
- wyłączyć zasilanie komputera nie zamykając systemu operacyjnego,
- wykonać dokładną kopię dysku i nośników wymiennych,
- obliczyć sumę kontrolną dysku będącego kopią, informacje o sumie zaprotokołować,
- obliczyć sumy kontrolne wszystkich raportów, informacje zaprotokołować,
- zabezpieczyć oryginalne nośniki do transportu.
Gdy komputer jest wyłączony, nie wolno go włączać. Należy wykonać kopię wszystkich nośników, dokumentując ją w opisany sposób, dalsza analiza będzie przeprowadzona w laboratorium.
Co należy udokumentować:
- typ obudowy, zasilanie,
- napędy nośników wymiennych oraz pamięci masowe,
- podłączone peryferia,
- rozpoznana konfiguracja,
- połączenia sieciowe (LAN, Wi-Fi, podczerwień, Bluetooth, modem) lub telekomunikacyjne (karty VoIP),
- rozpoznane systemy operacyjne,
- pamięć komputera i inne informacje ulotne,
- kontrolę konfiguracji,
- obrazy nośników lub zabezpieczona kryptograficznie kopia plików,
- wykaz plików na nośnikach,
- wygenerowane sumy kontrolne wszystkich obiektów i wyniki ich porównań,
- zabezpieczenie przenoszonych nośników i sprzętu (jeśli zachodzi taka potrzeba).
