Инструментальные средства обеспечения безопасности

Lazarus


lazarus является единственным некоммерческим инструментальным средством, доступным широкой публике, которое пытается восстанавливать файлы из автономной файловой системы. Как было объявлено, lazarus предназначен для восстановления файлов из файловых систем UFS, EXT2, NTFS и FAT32.

lazarus анализирует данные, прошедшие утилиту unrm, которая обсуждалась в предыдущем разделе. Поскольку lazarus выведет еще большее количество информации из файла unrm, то можно ожидать, что для выполнения этого инструмента потребуется так же много свободного пространства, как требовалось для unrm. Поэтому, если вся файловая система файла занимала 2Гб, и 1,5Гб из них были свободны, то утилите unrm потребуется 1,5Гб свободного пространства на судебном компьютере, а для lazarus потребуется еще почти 1,5Гб свободного пространства. Кроме того, lazarus ни в коем случае не является быстрым инструментом. Ему потребуется длительное время непрерывной работы для полного завершения анализа.

lazarus управляется из командной строки. Вам доступны следующие опции (эту информацию можно найти, рассматривая исходный текст утилиты lazarus):

Использование: lazarus [флаги] <имя файла изображения> Имеются следующие опции: -1 Этот ключ позволяет обрабатывать по одному байту за один раз, вместо обработки за раз одного блока (1КБ) данных. -b Этот ключ позволяет не писать нераспознанные двоичные блоки данных (по умолчанию они пишутся). -B Этот ключ позволяет не писать никаких двоичных блоков данных (по умолчанию они пишутся). -h Этот ключ позволяет генерировать HTML-код вместо ascii текста. Он делает вывод в три файла - файл данных ($ARGV [0]) +.html, .menu.html и .frame.html. Вначале вы захотите взглянуть на файл $ARGV [0] .frame.html (в своем броузере). -H каталог позволяет писать HTML-код в каталог с этим именем. Этот ключ должен использоваться с флагом -h. -D каталог Этот ключ позволяет писать восстановленные блоки в каталог с этим именем. -t Этот ключ позволяет не писать нераспознанные блоки текстовых данных (по умолчанию они пишутся). -T Этот ключ позволяет не писать никаких блоков текстовых данных (по умолчанию они пишутся). -w каталог Использует этот каталог, чтобы писать весь HTML-код.
Используйте этот ключ с флагом -h.

Следующая команда обычно используется для восстановления блоков данных из судебной копии машины-жертвы.

forensic# ./lazarus -h /mnt/storage/www -D /mnt/storage/blocks /mnt/storage/linux_free.bin

Вывод (через несколько часов!) будет сделан в каталог /mnt/storage, а файл назван linux_ free.bin.html. Загрузите этот файл в свой броузер и рассмотрите файлы, восстановленные с жесткого диска. Следующая иллюстрация показывает начальную Web-страницу, которую мы загрузили.


увеличить изображение

Этот экран показывает весь жесткий диск в виде блоков в логарифмическом масштабе. Каждый блок, представленный как ".", указывает свободное пространство, которое не восстановлено к файлу. Любой другой блок имеет код типа T, X и так далее, который можно активизировать щелчком. Щелкая на этом коде, вы можете переместиться к восстановленному файлу.

Каждый код представляет свой тип файла. T представляет текстовый файл, X - исполняемый файл, H - файл HTML и так далее. Коды суммированы в следующем списке.

КодЦвет в HTML-выводеТип файла
TсерыйНераспознанный текст.
FЯрко-красныйВывод анализатора сетевого потока (Sniffer).
МСинийПочта.
QБледно-синийФайлы Mailq.
SФиолетовыйФайлы Emacs/lisp.
PЗеленоватыйПрограммные файлы.
CЗеленыйкод на языке C.
HСветло-фиолетовыйHTML.
WКрасноватыйФайлы пароля.
LСветло-коричневыйЖурналы регистрации.
.ЧерныйНераспознанные блоки.
OСветло-серыйПустые блоки.
RЧерныйУдаленные блоки.
XЧерныйИсполняемые двоичные файлы.
EЗолотойДвоичные ELF.
IЗеленоватыйФайлы JPG/GIF.
AЧерныйАрхив (cpio, tar и другие).
ZЗеленоватыйСжатые файлы.
!ЧерныйАудио файлы.
В выводе HTML-код заглавной буквы представляет начало файла, а буквы нижнего регистра представляют дополнительные блоки, которые составляют восстановленный файл. Щелкая на одном из этих кодов, мы получаем данные из восстановленного файла.


увеличить изображение

Примечание. Инструмент TCT был выполнен на том же жестком диске, который мы анализировали в процессе "живого ответа" в лекции "Создание и использование комплекта инструментов "живого ответа" для Unix". Это тот же самый фрагмент данных, который мы видели в файле /etc/motd, и который редактировался взломщиком.

Важно отметить, что lazarus может также обрабатывать устройства, не подвергнутые предварительной обработке (например, копии жесткого диска жертвы), также как и вывод утилиты unrm. Различие будет только во времени, которое займет обработка, потому что надо будет исследовать большее количество блоков данных.

Пример из жизни. Бегство служащего компании, подозреваемого в нелегальной деятельности

Вы - судебный эксперт D.E.A. (Администрация по контролю за применением законов о наркотиках), и собираетесь получить нужную вам информацию в крупной фармацевтической компании, мощный компьютер которой обрабатывает данные для разработки новейшего препарата. В пятницу утром вы приезжаете в эту компанию и передаете им юридические документы, позволяющие вам сделать копии и провести анализ нужных вам дисков. Подозревается, что один из служащих этой компании, Кевин Джонсон, использовал свою службу в компании для передачи информации южноамериканским наркобаронам. Предполагается, что в обмен на большую сумму денег он использовал для разработки наркотиков некоторые ресурсы компании. Кевин Джонсон ускользнул от наблюдения властей и исчез без следа.

Все, что имеет D.E.A. в качестве доказательства его связей - это IP-адреса, среди которых отправителем является офис компании, а получателем - южноамериканский адресат. Вы должны предоставить необходимую информацию отделу D.E.A. и помочь расследованию. Вы, конечно, прочитали лекции "Коммерческие наборы инструментов для судебного дублирования" и знаете, как создать судебную копию рабочего компьютера, оставленного Кевином Джонсоном. Для сбора данных вы выбираете инструмент EnCase, чтобы импортировать эти данные в соответствующие инструментальные средства.

The Forensic Toolkit. Мы видели, как нескольких щелчков мыши позволяют понять, для чего использовался жесткий диск Кевина Джонсона. Рассматривая электронную почту, автоматически обнаруженную инструментом FTK, мы узнаем, что Кевин планировал встретиться в Колумбии с какой-то женщиной. Теперь у D.E.A. есть зацепка, которой не было раньше: адрес электронной почты ladybluebird@hotpop.com.



EnCase. EnCase находит информацию, подобно FTK. Он делает это достаточно эффективно, и мы можем использовать различные внешние средства для просмотра данных, которые считаем важными. Кроме того, мы можем экспортировать данные для восстановления улик, например, электронной почты.

Кроме того, используя утилиту EScripts, мы смогли восстановить историю поисков в интернете и получить результаты в удобной для пользователя форме. Из этого отчета видно, что Кевина Джонсона интересовала информация о южноамериканских городах, например, он рассматривал карту Боготы (Колумбия). Кроме того, Кевин Джонсон просматривал информацию о внутренних гаванях Балтимора (штат Мэриленд). Разумно предположить, что мистер Джонсон может появиться в одном из этих городов, и отделу D.E.A. следует установить в этих городах наблюдение.

<


© 2003-2007 INTUIT.ru. Все права защищены.

Содержание раздела