Windows Forensic Analysis

Iniciado por ZanGetsu, Septiembre 22, 2014, 11:52:54 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.


Código: php

Chapter 1 Live Response: Collecting Volatile Data . . . . . . 1
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
Live Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2
Locard's Exchange Principle . . . . . . . . . . . . . . . . . . . . . .4
Order of Volatility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6
When to Perform Live Response . . . . . . . . . . . . . . . . . . .8
What Data to Collect . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10
System Time . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
Logged-on Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Psloggedon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Net Sessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Logonsessions . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15
Open Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
Network Information (Cached NetBIOS Name Table) . .17
Network Connections . . . . . . . . . . . . . . . . . . . . . . . . . .18
Netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .19
Process Information . . . . . . . . . . . . . . . . . . . . . . . . . . . .21
Tlist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23
Tasklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Pslist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Listdlls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
Handle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25
Process-to-Port Mapping . . . . . . . . . . . . . . . . . . . . . . . .28
Netstat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28
Fport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .29
Openports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .30
Process Memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .31
Network Status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
Ipconfig . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .32
Promiscdetect and Promqry . . . . . . . . . . . . . . . . . . .32
Clipboard Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . .35
Service/Driver Information . . . . . . . . . . . . . . . . . . . . . .36
xiii
xiv
Contents
Command History . . . . . . . . . . . . . . . . . . . . . . . . . . . .38
Mapped Drives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
Shares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40
Nonvolatile Information . . . . . . . . . . . . . . . . . . . . . . . . . .40
Registry Settings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41
ClearPageFileAtShutdown . . . . . . . . . . . . . . . . . . . . .41
DisableLastAccess . . . . . . . . . . . . . . . . . . . . . . . . . . .41
AutoRuns . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42
Event Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45
Devices and Other Information . . . . . . . . . . . . . . . . . . .46
A Word about Picking Your Tools... . . . . . . . . . . . . . . . .46
Live-Response Methodologies . . . . . . . . . . . . . . . . . . . . . . .48
Local Response Methodology . . . . . . . . . . . . . . . . . . . .48
Remote Response Methodology . . . . . . . . . . . . . . . . . .50
The Hybrid Approach . . . . . . . . . . . . . . . . . . . . . . . . . .52
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56
Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .59
Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . . .61
Chapter 2 Live Response: Data Analysis. . . . . . . . . . . . . . 63
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64
Data Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .64
Example Case 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .67
Example Case 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .71
Agile Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .75
Expanding the Scope . . . . . . . . . . . . . . . . . . . . . . . . . . .78
Reaction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .80
Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .82
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .84
Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .85
Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . . .86
Chapter 3 Windows Memory Analysis . . . . . . . . . . . . . . . 87
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88
A Brief History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .88
Contents
Dumping Physical Memory . . . . . . . . . . . . . . . . . . . . . . . .89
Hardware Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90
FireWire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .90
Crash Dumps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .92
Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94
Hibernation File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96
DD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .96
Analyzing a Physical Memory Dump . . . . . . . . . . . . . . . . . .99
Process Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .100
EProcess Structure . . . . . . . . . . . . . . . . . . . . . . . . .100
Process Creation Mechanism . . . . . . . . . . . . . . . . . .102
Parsing Memory Contents . . . . . . . . . . . . . . . . . . . . . .103
Lsproc.pl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .104
Lspd.pl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .107
Parsing Process Memory . . . . . . . . . . . . . . . . . . . . . . .109
Extracting the Process Image . . . . . . . . . . . . . . . . . . . .111
Memory Dump Analysis and the Page File . . . . . . . . . .114
Determining the Operating System of a Dump File . . .115
Pool Allocations . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117
Collecting Process Memory . . . . . . . . . . . . . . . . . . . . . . . .117
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .120
Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . .122
Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . .123
Chapter 4 Registry Analysis . . . . . . . . . . . . . . . . . . . . . . . 125
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126
Inside the Registry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127
Registry Structure within a Hive File . . . . . . . . . . . . . .130
The Registry As a Log File . . . . . . . . . . . . . . . . . . . . .135
Monitoring Changes to the Registry . . . . . . . . . . . . . .137
Registry Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139
System Information . . . . . . . . . . . . . . . . . . . . . . . . . . .140
TimeZoneInformation . . . . . . . . . . . . . . . . . . . . . .142
Shares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .142
Audit Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143
Wireless SSIDs . . . . . . . . . . . . . . . . . . . . . . . . . . . .144
Autostart Locations . . . . . . . . . . . . . . . . . . . . . . . . . . .145
xv
xvi
Contents
System Boot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148
User Login . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .148
User Activity . . . . . . . . . . . . . . . . . . . . . . . . . . . . .149
Enumerating Autostart Registry Locations . . . . . . . . . .153
USB Removable Storage Devices . . . . . . . . . . . . . . . . .155
USB Device Issues . . . . . . . . . . . . . . . . . . . . . . . . .158
Mounted Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . .160
Finding Users . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .164
Tracking User Activity . . . . . . . . . . . . . . . . . . . . . . . . .167
The UserAssist keys . . . . . . . . . . . . . . . . . . . . . . . .168
MRU Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .172
Search Assistant . . . . . . . . . . . . . . . . . . . . . . . . . . . .175
Connecting to Other Systems . . . . . . . . . . . . . . . . .176
IM and P2P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .177
Windows XP System Restore Points . . . . . . . . . . . . . .178
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184
DVD Contents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .184
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . .187
Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . .188
Chapter 5 File Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . 191
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192
Event Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .192
Understanding Events . . . . . . . . . . . . . . . . . . . . . . . . .193
Event Log File Format . . . . . . . . . . . . . . . . . . . . . . . . .198
Event Log Header . . . . . . . . . . . . . . . . . . . . . . . . . . . .198
Event Record Structure . . . . . . . . . . . . . . . . . . . . . . . .200
Vista Event Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . .204
IIS Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .206
Internet Explorer Browsing History . . . . . . . . . . . . . . .210
Other Log Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .211
Setuplog.txt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .211
Setupact.log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .213
SetupAPI.log . . . . . . . . . . . . . . . . . . . . . . . . . . . . .213
Netsetup.log . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .214
Task Scheduler Log . . . . . . . . . . . . . . . . . . . . . . . . .214
XP Firewall Logs . . . . . . . . . . . . . . . . . . . . . . . . . .216
Contents
Dr. Watson Logs . . . . . . . . . . . . . . . . . . . . . . . . . . .219
Crash Dump Files . . . . . . . . . . . . . . . . . . . . . . . . . .220
Recycle Bin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221
System Restore Points . . . . . . . . . . . . . . . . . . . . . . . . .224
Rp.log Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .224
Change.log.x Files . . . . . . . . . . . . . . . . . . . . . . . . .225
Prefetch Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .226
Shortcut Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .229
File Metadata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .230
Word Documents . . . . . . . . . . . . . . . . . . . . . . . . . . . .232
PDF Documents . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238
Image Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239
File Signature Analysis . . . . . . . . . . . . . . . . . . . . . . . . .240
NTFS Alternate Data Streams . . . . . . . . . . . . . . . . . . .241
Creating ADSes . . . . . . . . . . . . . . . . . . . . . . . . . . .243
Enumerating ADSes . . . . . . . . . . . . . . . . . . . . . . . .244
Using ADSes . . . . . . . . . . . . . . . . . . . . . . . . . . . . .247
Removing ADSes . . . . . . . . . . . . . . . . . . . . . . . . . .249
ADS Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . .250
Alternative Methods of Analysis . . . . . . . . . . . . . . . . . . . . .250
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255
Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . .257
Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . .258
Chapter 6 Executable File Analysis . . . . . . . . . . . . . . . . . 261
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .262
Static Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .262
Documenting the File . . . . . . . . . . . . . . . . . . . . . . . . .263
Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .265
The PE Header . . . . . . . . . . . . . . . . . . . . . . . . . . .268
Import Tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . .275
Export Table . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .278
Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .279
Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281
Dynamic Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .287
Testing Environment . . . . . . . . . . . . . . . . . . . . . . . . . .288
Virtualization . . . . . . . . . . . . . . . . . . . . . . . . . . . . .288
xvii
xviii
Contents
Throwaway Systems . . . . . . . . . . . . . . . . . . . . . . . .290
Tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .291
Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .295
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .301
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .301
Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . .304
Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . .305
Chapter 7 Rootkits and Rootkit Detection . . . . . . . . . . . 307
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .308
Rootkits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .308
Rootkit Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .314
Live Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .314
RootkitRevealer . . . . . . . . . . . . . . . . . . . . . . . . . . .316
GMER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .317
Helios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .318
MS Strider GhostBuster . . . . . . . . . . . . . . . . . . . . . . . .320
ProDiscover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .320
F-Secure BlackLight . . . . . . . . . . . . . . . . . . . . . . . . . .321
Sophos Anti-Rootkit . . . . . . . . . . . . . . . . . . . . . . . . . .322
AntiRootkit.com . . . . . . . . . . . . . . . . . . . . . . . . . . . . .323
Post-Mortem Detection . . . . . . . . . . . . . . . . . . . . . . . .323
Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .326
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .328
Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .328
Solutions Fast Track . . . . . . . . . . . . . . . . . . . . . . . . . . . . .329
Frequently Asked Questions . . . . . . . . . . . . . . . . . . . . . . .330
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta