The Autopsy Forensic Browser 2003/08/26 伊原 秀明 (Port139)
© Hideaki Ihara(Port139).2 The Autopsy Forensic Browser の役割 GUI ブラウザ シェル ファイルシステム イメージファイル ファイルシステム イメージファイル The Sleuth Kit コマンド 群 dls, dcat, dstat, dcalc, ils, icat, istat, ifind, fsstat md5, sha1, mactime, mmls, sorter, hfind, file dls, dcat, dstat, dcalc, ils, icat, istat, ifind, fsstat md5, sha1, mactime, mmls, sorter, hfind, file Autopsy
© Hideaki Ihara(Port139).3 日本語対応 URL Autopsy ヘルプ日本語訳 help-ja/ UTF-8 output patch for task-1.60/sleuthkit-1.6x Autopsy UTF-8 対応 Patch
© Hideaki Ihara(Port139).4 Autopsy インストール順序 1.Sleuthkit を展開( tar zxvf filename.tar.gz) 2.Autopsy を展開( tar zxvf filename.tar.gz) 3.Sleuthkit のフォルダへ移動 (cd sleuthkit-xx) 4. コンパイル( make ), 終了後に親フォルダへ移動 (cd..) 5.“Evidence Locker” 用に任意のフォルダを作成する データや調査結果(ログなど)の保存先となるフォル ダ ( mkdir evidence ) 6.Autopsy のフォルダへ移動( cd autopsy-xx ) 7. コンパイル( make) 8. 質問事項へ入力(次スライド参照) Sleuthkit の絶対パス NSRL データベースの有無 (y/n) データの保存先の絶対パス
© Hideaki Ihara(Port139).5 Autopsy インストール入力項目 Sleuth Kit を先にインストールしておくこと Autopsy インストール中の入力事項 Enter the directory where you installed it: /home/port139/sleuthkit-1.70 Have you purchased or downloaded a copy of the NSRL (y/n) [n] n Enter the directory that you want to use for the Evidence Locker: /home/port139/evidence
© Hideaki Ihara(Port139).6 Autopsy の利用方法 ( 図 ) The SleuthKit&Autopsy 実行環境 ブラウザで接続 ブラウザへ結果を送信 ブラウザを操作し調査 調査用 PC 安全のため、閉じたネットワークを 構築 ( 物理的な安全も確保 )
© Hideaki Ihara(Port139).7 Autopsy の起動 (1) コマンドライン autopsy [-C] [-d evid_locker] [-p port] [remoteaddr]] 例) 8080 へ からの接続を許可 autopsy –p クッキーを利用しない場合は -C を指定 以下の形式でアクセス可能になる autopsy –C –p
© Hideaki Ihara(Port139).8 Autopsy の起動 (2) JAVA スクリプトが有効な場合、警告メッ セージが表示される WARNING: Your browser currently has Java Script enabled IE では『アクティブスクリプト』を “ 無効 ” に設定 調査対象イメージに含まれる危険なスク リプトなどを実行しない為!
© Hideaki Ihara(Port139).9 Autopsy の設定 (1) 『 New Case 』を選択し新規にケースを作 成
© Hideaki Ihara(Port139).10 Autopsy の設定 (2) ケース(ディレクト リ)名 ケースの簡単な説明 調査員 ( ログイン ) 名
© Hideaki Ihara(Port139).11 Autopsy の設定 (3) ケースの一覧 ホストの追 加
© Hideaki Ihara(Port139).12 Autopsy の設定 (4) ホスト名 簡単な説明 タイムゾー ン 秒数調整 ハッシュ データ ベースのパス
© Hideaki Ihara(Port139).13 Autopsy の設定 (5) イメージの追加
© Hideaki Ihara(Port139).14 Autopsy の設定 (6) 解析するイメージのパ ス ファイルへのリンク作成か, コピー、移動かを指定 ファイルシステムを選択 マウント ( 解析 ) 時のパスを指 定 MD5 ハッシュ値の計算, 確認
© Hideaki Ihara(Port139).15 Autopsy の設定 (7)
© Hideaki Ihara(Port139).16 Autopsy の機能 File Analysis Keyword Searching File Type Categories Image Details Meta Data Analysis Data Unit Analysis
© Hideaki Ihara(Port139).17 Meta Data Analysis MFT エントリを指定しデータを表示 アロケーション ( 割当 ) リストの 表示 MFT エントリ番号の指定 エントリ情報の表示
© Hideaki Ihara(Port139).18 Data Unit Analysis クラスタ番 号 表示するクラスタ 数 クラスタの内容
© Hideaki Ihara(Port139).19 削除ファイルの確認・復元 削除ファイルの表 示 削除されたファイル(復元不 可)
© Hideaki Ihara(Port139).20 File Type Sortings 拡張子とファイルタイプの 検証 画像の抽出(サムネイル作 成)
© Hideaki Ihara(Port139).21 File Type Sortings 結果ファイル ケースフォルダーホストフォルダー output sorter- イメージファイル名 / HTML 形式で保存される index.html を参照 Sorter フィルタのカスタマイズ /sleuthkit のフォルダ /share/sorter/*.sort Windows 用= windows.sort
© Hideaki Ihara(Port139).22 Keyword Searching(1) 大・小文字の区別な し 正規表現 “ 日付 ” 形式の検索 “ IP” 形式の検索 未割当領域のロー ド ASCII 文字列の抽出 検索対象
© Hideaki Ihara(Port139).23 Keyword Searching(2) Strings コマンドの実行結 果を.str ファイルとして保 存 未割当領域を.dls ファイ ルとして保存( Slack 含 まず)
© Hideaki Ihara(Port139).24 Keyword Searching(3) “ 日本語 ” の抽出 - 日本語文字コード対応コマンドを利用 jstrings (たかはし氏版) jstrings (はせがわ氏版) Shift_JIS/CP932/ISO-2022-JP/UTF-16/EUC-JP
© Hideaki Ihara(Port139).25 Timeline(1) body ファイルの作成 タイムラインの作成 タイムラインの閲覧 MAC time を利用したファイルの分類機能
© Hideaki Ihara(Port139).26 Timeline(2) イメージの選択(複数指定可 能) 収集データの選択 ファイル名の指定
© Hideaki Ihara(Port139).27 Timeline(3) 入力ファイルの指定 開始日時の指定 終了日時の指定 出力ファイルの指定
© Hideaki Ihara(Port139).28 Timeline(4) 時系列に表示 変化したタイムスタン プ 表示する年・ 月
© Hideaki Ihara(Port139).29 Timeline(5) NTFS の場合 書き込み時刻( Written ) : ファイルが最後に書き込まれた時刻 アクセス時刻( Accessed ) : ファイルが最後にアクセスされた時刻 変更時刻 (Created): MFT エントリが最後に変更された時刻
© Hideaki Ihara(Port139).30 ハッシュ データベース (1) ファイルの MD5 値を利用して DB を作成 Alert Database 既知の bad ファイルのハッシュ Ignore Database 既知の問題ないファイル (known to be good) のハッシュ NSRL 日本語 OS 環境では余り意味が無い
© Hideaki Ihara(Port139).31 ハッシュ データベース (2) ハッシュファイルの準備 データベース ファイルを用意する (例: good-md5.db ) 形式( MD5 値ファイル名) 518cfcf8e0c7b133d365ddaa *c:\\WINDOWS\\notepad.exe hfind コマンドでインデックスを作成 hfind -i md5sum good-md5.db Extracting Data from Database (good-md5.db) Valid Database Entries: 1 Invalid Database Entries (headers or errors): 0 Index File Entries : 1 Sorting Index (good-md5.db-md5.idx) エラーを確 認
© Hideaki Ihara(Port139).32 ハッシュ データベース (3) ホスト設定ファイル(.aut )にデータベー スを登録する ‘exclude_db’ または ‘alert_db’ ヘッダを指定 例) exclude_db ‘/home/port139/evidence/good-md5.db’ Autopsy の再起動により有効になる
© Hideaki Ihara(Port139).33 ハッシュ データベース (4) インデックスの再構 築 ハッシュ値の検索
© Hideaki Ihara(Port139).34 ハッシュ データベース (5) ハッシュデータベースに含まれるファイルを除外 指定 ハッシュデータベースは “ File Type” で利用
© Hideaki Ihara(Port139).35 ハッシュ データベース (6) ハッシュ値の一致により除 外 されたファイル数 拡張子不一致だが 除外されたファイル
© Hideaki Ihara(Port139).36 ハッシュ データベース (7) ハッシュ データベースが利用されるのは、 Sorter でのフィルタ時のみ File Analysis 、 Timeline などの表示へは影 響しない
© Hideaki Ihara(Port139).37 ハッシュデータベース 除外 代替データストリーム ( a.txt:notepad.exe ) 除外される 拡張子不一致ファイル 除外される 暗号化されたファイル 除外されない 圧縮されたファイル 除外されない(圧縮されていなければ除 外)
© Hideaki Ihara(Port139).38 ファイルのエクスポート 対象ファイルを選択 任意のファイル名と拡張子 を指定して保存する エクスポート (Export) を選 択
© Hideaki Ihara(Port139).39 レジストリのエクスポート レジストリファイルのパス(例: Windows 2000 ) %Systemroot%\System32\Config ファイルを選択しエクスポート (export) をクリッ ク ダウンロード ダイアログから保存先を指定 Regedt32.exe を起動( XP 以降は regedit.exe ) HKLM を選択 “ ハイブのロード ” を実行 ダウンロードしたレジストリファイルを指定 キー名として任意のキー名を指定 アクセス権がない場合には許可を与える
© Hideaki Ihara(Port139).40 Autopsy で登録した項目の削除方法 ケースの削除 対応するケースのフォルダを削除 ホストの削除 対応するホストのフォルダを削除 イメージの削除 対応するイメージを削除 設定ファイル (host.aut) から項目を削除
© Hideaki Ihara(Port139).41 Autopsy 設定・ログ ファイル ケース設定ファイル case.aut investigators.txt ホスト設定ファイル host.aut ログファイル autopsy.log (接続ログ、ケースオープン等) case.log (ケースにおける操作)