|
ComputerForensics.DK: links
Links til links
E-Evidence Information and Resource site: Den mest
komplette link samling på Internettet. Information om alle
områder indenfor computer forensics og incident response.
Dave Dittrich fra University of Washington
er en af de helt store sikkerhedsfolk, er bl.a. kendt for
sit arbejde med at opspore distribuerede ude-af-drift angreb
(DDoS). Dittrichs hjemmeside har en lang række gode
forensics links.
Securityfocus har en række tekster om forskellige
elementer i computer forensics og incident response,
fra Windows til Unix.
Zeno's forensics
site har en lang række links til alle typer
videnskabelig forensics, og selvfølgelig også computer
forensics.
Black Hat har et online arkiv over tidligere indlæg på
deres konferences. Det er muligt at downloade pdf
og
ppt versioner af de fleste tidligere indlæg, lidt ældre
præsentationer kan ses og høres med Real Player.
Tekster
Sans
bibliotek (reading room)
har en række tekster om forensics og incident response.
Eksamensopgaverne fra Sans certificeringen "GCFA"
(GIAC Certified Forensic Analyst) kan være meget
interessante.
Det samme kan eksamensopgaverne fra f.eks. "GCIA"
(GIAC Certified Intrusion Analyst) og "GCIH"
(GIAC Certified Incident Handler)
Forensics Wiki er et spændende projekt med stort potentiale. Det samme gælder særligt for OMCD - Open Methodology for Compromise Detection projektet. Forensic Wiki er et lukket projekt på meget højt niveau.
Sleuth Kit
Informer har bl.a. information om programmerne
Sleuthkit/Autopsy og andre open source tools.
Windows
Microsoft's egen hjemmeside indeholder uanede mængder
information. Brug f.eks. den
avancerede søgeside til at finde information, men "Hjælp
og Support" siden kan også være et sted at starte.
Firmaet
Liutilities har en glimrende liste over Windows
processer. Kan f.eks. bruges til at identificere programmer
fundet vha. programmer som fport og OpenPorts. Man kan lave
søgninger efter processer i
process biblioteket,
Process ID
siden og TaskList har lignede information.
Information om WindowsNT, Win2k og XP
services. Siden viser også detaljeret information om hver
enkelt tjeneste ved at klikke på navnet. Samme type
information kan f.eks. findes
her på siden. Meget god liste over services på
Windows XP (kræver gratis tilmelding til siden).
Stor
Database over kendte programmer der automatisk kan
startes via registreringsdatabasen. Introduktion til steder
virus, trojanere m.v. kan
gemme sig for at blive startet automatisk. Bleeping Computer har både en fildatabase og en liste over kendte programmer der startes via registreringsdatabasen.
HUSK ALTID, at det er let at opkalde et angrebsprogram efter et kendt ufarligt program. Bare fordi navnet kan identificeres på internettet er det *ikke* i sig selv bevis for programmet er ufarligt.
Sysinternals (nu en del af Microsoft) hjemmeside indeholder en lang, lang række
fantastiske (gratis) værktøjer. Det er en god ide at bruge
lidt tid på hjemmesiden, værktøjerne kan også bruges til
"almindelige fejlfinding", men husk der er forskel
på kommandolinie- og GUI værktøjer når programmerne skal
bruges til forensics (kommandolinie er bedst).
Heysoft har masser af information om Windows eventloggen.
Windows Event Log
Encyclopedia og
Eventid.net gør
det muligt at søge efter information om events i Windows eventloggen.
Microsofts start side for information om Event Viewer.
Microsoft Events and Errors Message Center med
detaljerede oplysninger og mulighed for produkt specifikke
søgninger.
God liste over
hvilke porte Microsoft serverne åbner.
Information til analyse af IIS 6.0 log filer.
Harlan Carvey's hjemmeside
med bl.a. blog og en række interessante
programmer på siden. En række af hans andre programmer bliver nu også lagt på SourceForge.
Masser af teknisk information om
Windows drivere.
Information om registreringsdatabasen fra Mark Russinovich
fra Sysinternals:
Inside the Registry og
Inside the Windows NT Registry.
Baggrundsinformation om Windows services: Inside Win32
Services,
del 1 og
del 2.
Uofficiel hjemmeside med information om IIS, Microsoft Internet Information Server, med masser af information om bl.a. logfiler. F.eks. liste over http svar koder.
Uofficiel hjemmeside for Microsoft programmet Log Parser.
Linux/Unix
Dan Farmer's
hjemmeside har masser af information om forensics,
inklusive The Coroner's Toolkit, en klassisk samling af
programmer til at indsamle og analysere data på Unix
systemer. Men også links til gode artikler og tidligere
forensics præsentationer.
Ralf Spenneberg har bl.a. RPM pakker af en række vigtige
programmer inklusive Sleuthkit, Foremost og Chkrootkit.
CrazyTrain er
Thomas Rude/Farmerdude's hjemmeside. Hovedsaligt Unix
information.
Sleuthkit.org er
Brian Carrier's officielle hjemmeside for "The Sleuth Kit" og
"The Autopsy Forensic Browser", begge programmer til at
undersøge systemer efter der er taget kopier af harddisken.
Siden indeholder også magasinet The Sleuth Kit Informer.
Linux-forensics
med div. info om forensics på Linux.
Statisk kompilerede system programmer som ISO-filer.
Knowngoods.org gør
det muligt at søge i og downloade MD-5 og SHA-1 hash værdier
af eksekverbare filer, kildekoder, m.m. fra Linux, FreeBSD,
OpenBSD, Mac OS X, Mac OS X server og Solaris.
Sun/Solaris
Lav selv
statisk kompilerede programmer for Solaris.
Sun har en fantastisk
Solaris fingerprint database der vha. af MD-5 hash
sammenligninger i mange tilfælde kan be- eller afkræfte om programmer er
de originale versioner. Denne type undersøgelser finder dog kun
"traditionelle" rootkits, se rootkits
siden for yderligere information.
Masser af nyttig Sun/Solaris information på SunHelp.
BSD
Man sider til FreeBSD, OpenBSD og NetBSD.
FreeBSD har også man sider til en række andre systemer.
AIX, HP-UX, Tru64, SCO m.v.
AIX information på RootVG.
HP-UX info på Enterprise Unix siden.
Kommandoer til SCO Unix
og til en lang række forskellige Unix systemer i den berømte
Rosetta-sten.
Mac forensics
"Analysis
of an Unknown Mac OS X Public Beta System Using Mac OS X
10.2" fra SANS "GCFA" certificeringen.
Open Source Digital Forensic Acquisition and Analysis on Mac
OS X O'reilly præsentation fra BlackBag Technologies.
"Macintosh
Forensics Analysis using OS X" fra SANS "GSEC"
certificeringen.
Force-mount unmountable disk images
Mac Forensics guide m.m.
"Den ultimative guide til
Mac OS forensics", meget god link samling.
Mac og Metadata, artikel om Metadata, dvs. 'data om data'.
En del tips og ressourcer på kommerciel hjemmeside.
Forensics analyse af en hacket Mac OS X klient maskine.
Podcast om Mac forensics.
Mac OS versioner siden 1998.
Mactracker er et program med meget detaljeret information om de forskellige Mac modeller. Kan f.eks. være nyttig til at finde den mest sandsynlige størrelse på harddisken på en Mac-model der skal undersøges.
God introduktion til Macintosh forensics og detaljeret information med en række gode links.
Information om
PowerBooks og diverse Apple
dokumentation.
Cisco og andre netværksenheder
Cisco router forensics fra Black Hat Briefings 2002:
PowerPoint præsentation,
noter og
RealPlayer præsentation.
Introduktion til Cisco router forenics.
Router God er et
online magasin med masser af information om Cisco routere
og andet Cisco udstyr.
Introduktion til Netflows som en kilde til information til netværks forensics.
Mere information om NetFlows og her.
Cisco Security Configuration Guides og konfigurationsinfo om Cisco switches.
IOS Hints bloggen med masser af Cisco tips og tricks.
Danske
Tom Engly Henriksen, tidligere Rigspolitiets Kriminaltekniske
Afdeling, IT-sektionen, har skrevet en virkelig god guide til
at optimere
efterforskningsmulighederne ved datakriminalitet.
Dansk speciale (skrevet på engelsk) fra DTU med titlen
Cybercrime Forensics. Kræver PostScript reader.
Dansk speciale fra DTU med titlen
Forensic Examination of Log Files.
Henrik Kramshøj's
computer forensics foredrag.
Netværksforensics
Netværksforensics er et underområde indenfor
forensics. En lang række programmer er listet separat
på siden om netværks forensics i
knowledge basen.
Ethereal har skiftet navn til Wireshark og findes
til Windows, Linux, Solaris, BSD, Mac OS X m.fl.
tcpflow kan genskabe hele datastreams og opbevarer hvert
flow i en separat fil for at lette den efterfølgende analyse.
Sguil
er en meget stærk GUI til analyse af bl.a.
Snort logfiler.
Mobiltelefoner, PDA, digitale kameraer o.lign.
Mobileforensics
er den mest omfattende tekniske ressource indenfor mobiltelefon forensics.
Adgang til siden kræver forhåndsgodkendelse.
Phone Forensics forummet har masser af information om mobiltelefoni forensics. Kræver forhåndsgodkendelse.
E-evidence.info har den mest omfattende liste over hard-
og software samt artikler om mobiltelefon forensics.
God introduktion
til teknikken bag mobiltelefoner.
Artikel om
GSM og forensics, SIM kort m.m..
Amerikanske NIST, der svarer lidt til Dansk Standard har en række gode tekster:
Mobil telefon forensics,
Cell Phone Forensic Tools: An Overview and Analysis Update, der komplimenterer og updaterer teksten fra 2005 samt Guidelines for PDA forensics.
Blog med bl.a. mobiltelefon forensics.
CD ROM, DVD, floppy disketter, USB keys o.lign.
DVD Forum med DVD
standarder (ikke DVD +RW) m.m.
DVD +RW information.
DVD FAQ
og DVD Recording
ressourcer.
CD-Recordable FAQ og
CD-R
Primer.
Introduktion til data CD'er.
Standarder:
ISO9660,
Joliet,
El Torito,
Rock
Ridge.
Apple HFS:
Apples version af ISO 9660,
HFS Plus volume format.
IsoBusters liste over eksterne
links.
Filsystemer m.m.
NTFS.com har masser af
information om NTFS og FAT filsystemerne.
Grundig beskrivelse af FAT og NTFS.
Linux-NTFS projektet har også masser af information om
NTFS.
Filesystems Howto med information om en række
forskellige filsystemer.
Advanced filesystem implementor's guide er en
artikelserie om forskellige Linux filsystemer.
Information om EXT2FS
her og
her.
Information om EXT3FS
her.
Information om Apples HFS+
her.
Kernelthread har en god introduktion til Mac
filsystemerne.
Information om WinFS, Microsofts nye filsystem.
Information om FAT f.eks.
her,
her,
her,
her,
her,
og
her.
Se i øvrigt Wikipedia for masser af information og links.
Fil information
Wotsit giver
information om en lang række forskellige fil formater, kan
være nyttig information i en række forskellige videregående
undersøgelser.
Filesig.co.uk giver
også information om fil-signaturer. Siden kræver tilmelding
og godkendelse inden man får adgang.
FILExt er en database
med information om fil-extensions ("fil-efternavne") og
programmer der benytter dem.
What is that file forsøger at identificere filer udfra filnavnet. Kan være et måde til hurtigt at identificere ukendte filer. Det er dog vigtigt at være opmærksom på, at en angriber kan forsøge at skjule filer ved at give dem samme navn som kendte ufarlige filer.
Incident response
Anmeldelse af hackerangreb:
It-relateret kriminalitet, dvs hacking og børnepornografisk materiale på Internettet, kan anmeldes direkte til
it-kriminalitet@politi.dk eller ved hjælp af formen på Politi.dk. Alle andre henvendelser skal rettes til den lokale politikreds.
Sikkerhedsrelaterede hændelser kan meldes til
Cert.
Incident response politik m.v.
Enhver organisation der på en eller på
anden måde er kritisk afhængig af deres IT-infrastruktur
bør have adgang til et trænet incident response team, enten
som fast ansatte eller som konsulenter ved et firma der kan
indkaldes 24 timer i døgnet. Nedenfor er et par link som
introduktion til emnet, men meget mere er planlagt:
NIST (USA's National Institute of Standards and Technology)
har en god guide:
Computer Security Incident Handling Guide.
NIST:
Applying Forensic Techniques to Incident Response.
Guide til dannelse af
Computer Security Incident Response Teams (CSIRTs).
United States
Computer Emergency Readiness Team (US-Cert) har
information om håndtering af incidents.
Deutsches Forschungsnetz
Cert har en liste over grundlæggende programmer for
incident response teams.
Microsoft har flere gode tekster om incident response, bl.a.
Responding to IT Security Incidents.
Carnegie Mellon University's security improvement module:
Responding to Intrusions.
Cert har en række gode tekster, start f.eks. med
Security
Improvement Modules.
FIRST - Forum of Incident Response and Security Teams.
Sans
Intrusion Detection FAQ.
rfc 2350:
Expectations for Computer Security Incident Response.
Programmer og værktøj
Se under programmer
Div. nyttig teknisk information
Loganalysis.org
indeholder masser af information om gennemgang af logfiler,
ofte et meget vigtigt element af computer forensics og
incident response.
Rootkit.com kan give
masser af information om Windows rootkits.
Guillermito har en række meget gode
analyser af steganografi programmer (programmer til at
skjule data i andet data).
Find information om tidszoner
i forskellige lande og stater her og her, kan bl.a. være nyttig ved undersøgelser af logfiler og email headers.
Regular Expression
Library gør det bl.a. muligt at søge i en stor samling
regulære udtryk, kan være meget nyttigt til videregående
undersøgelser.
Regex Coach er et
program, til både Windows og Linux, med en række nyttige
funktioner når der eksperimenteres med regulære udtryk.
Masser af information om regulære udtryk inklusive gode tutorials og reference materiale og endnu mere information om regulære udtryk. Mere her og her.
VMware kan bl.a. bruges under analyse af ukendte filer og til at lave Honeypots. Det Franske Honeynet Projekt har arbejdet med at skjule en række VMware kendetegn og VMware selv har bl.a. information om hvordan man ændre MAC adresser.
Open Reverse Code Engineering community (OpenRCE)
er et forum for reverse engineering. ComputerForensics.DK
udbygges senere med en detaljeret tekst om tekniker til
analyse af mistænkelige filer.
De fleste digital kameraer gemmer billeder i
EXIF (Exchangeable
Image File Format). Mere
information
her og
her.
Masser af harddisk information
på StorageReview.
Information om bl.a. ATA (IDE), SATA, ATAPI samt How it
Works dokumenter om
hvordan harddiske virker. Information om
partitions typer.
Læs gamle Amiga, Apple ][ m.fl. disketter med
Disk2FDI.
SCSI information og "SCSI
forensics".
Masser af information om USB på
USB Central.
Masser af information om hardware interfaces på Pinouts.
Søgbar RFC (Request
for Comments) database.
Nyttig grundlæggende teknisk information
Grundlæggende information om harddiske
her,
her og
her.
Introduktion til
CD-ROM,
CD-R og
CD-RW og
DVD.
Hvordan virker ting, en lang række forskellige emner i
How Stuff Works.
PC Guide har masser af
information om hardware, TCP/IP og meget mere.
TCP/IP guiden online er på over 1600 sider. Protocols.com har information om en lang række protokoller.
Computer
boot sekvens, information om harddiske, Windows
filsystemer m.m.
Se WinHex's
knowledge base over tredje parts ressourcer for masser
af gode links.
10 lektioner i
Hex
editering.
Forskellen på
little endian og big endian, dvs hvordan forskellige
computere gemmer numre forskelligt.
Table med ASCII
tegnsættet og information om
forskellige typer Unicode. Mere om
ASCII
og Unicode.
30 minutters kursus i
regulære udtyk, download programmet til kurset fra ultrapico.com
Lær at programmere på en række (nye) sprog.
SHELLdorado med scripts, artikler, tips og tricks for Unix shell scripts.
MS DOS scripts, Windows 2000, Windows XP og Windows Server 2003 kommando linie ("DOS prompt") information. Windows WMIC kommando linie information.
Cool Commands er et søgeværktøj til kommandoer og korte scripts for en række forskellige Unix systemer.
SS64 er en kommandolinie reference til Windows, Linux, Oracle 9i, Apple OS X og MS SQL Server 2005.
God forklaring på indholdet i
e-mail
headers, mere f.eks.
her og
her og her.
Information om hvordan de originale email headers kan videresendes fra en række forskellige mail systemer.
Antivirus, spyware, malware og adware scanning
I mange tilfælde skyldes computer problemer ikke hacker
angreb, men at et system er blevet "inficeret" med 'adware', 'spyware'
eller lignende. I nogle incident response situationer kan der foretages
antivirus scanninger for at undersøge om systemet er inficeret
med kendte bagdøre/virus.
Hvis en anti-virus scanner melder
den har opdaget en kendt virus på systemet, er anti-virus
siderne naturligvis også et godt sted at starte for at finde
yderligere information:
Symantec
Kaspersky
McAfee
Trend Micro
Sophos
F-Secure
MessageLabs
Offensive Computing samler, analyserer og kategorisere virus og malware for at forbedre forsvaret imod dem.
Ad-aware
Spybot
Ukendte filer fundet på et system kan oploades til flere
forskellige anti-virus firmaer til automatisk virusscanning:
Norman
Sandbox.
VirusTotal scanner
uploadede og tilsendte filer med en række forskellige
scannere.
Jotti's malware scan scanner uploadede filer med 14 forskellige scannere.
CWSandbox kan udtrække information fra ukendte programmer.
NIST:
Guide to Malware Incident Prevention and Handling.
Boot CD'er
En klassisk metode til at undersøge en harddisk, er at boote
i en nyt operativsystem fra CD-ROM, uden at skrive data til
harddisken og derfra undersøge den originale harddisk. Det kan være en
god ide at downloade et par færdiglavede boot cd'er for at se hvilken
distribution man
kan lide, og om udgaven har alle de programmer man har brug for.
Helix er min
personlige favorit i øjeblikket. Benyttes også af bl.a.
SANS på deres kurser.
FoRK (Forensic or
Rescue Disk) bliver
aktivt udviklet i øjeblikket.
FCCU Linux Forensic Boot CD
fra Belgien.
Network Security Toolkit til analyse af netværkstrafik m.m.
BartPE gør det
muligt at skabe en boot CD-ROM eller DVD ved at trække de
nødvendige filer ud af ens egen Windows XP/Windows Server
2003 installations CD. Den nuværende version ændre
tidsstempler på filsystemet, og kan derfor ikke benyttes til
videregående forensics undersøgelser.
DEFT - Digital Evidence & Forensic Toolkit er en Kubuntu Linux boot CD.
F.I.R.E ("the
Forensic and Incident Response Environment") var en af de
første Linux boot CD, der var specialiseret til
forensics/incident arbejde. Indeholder også, som en af de få
distributioner, en række Windows tools.
SMART Linux boot CD
er designet af ASR Data specielt til forensics og incident
response.
Knoppix-STD
(Security Tools Distribution).
Penguin Sleuth Kit
Bootable CD.
ThePacketMaster
Linux også kendt som TPM Linux.
Local Area
Security Linux LAS Linux.
Spenneberg
forensic rescue CD.
PHLAK - 'Professional
Hacker's Linux Assault Kit'.
Inside Security Rescue Toolkit (INSERT) er en
"kreditkort CD-ROM" (omkring 50 MB).
BootCD kan bruges
til at lave en Mac OS X boot CD.
FreeBSD porte:
LiveCD,
FreeSBIE,
Frenzy og
BSDLive.
Snarl -
ældre bootable forensics ISO baseret på FreeBSD.
Knoppix,
Trinux,
tomsrtbt m.fl. kan
også bruges i nogle situationer.
Boot CD på USB nøgle
Kør ovenstående boot CD'er fra en USB-nøgle.
Div
Hvis du ikke har fundet hvad du søger her på siderne er
der jo altid Google! |