defaultuser0
Midle Weight
- Депозит
- $0
Работает Криминалист!
Снимаем и Анализируем дамп жесткого диска
Приветствую форумчане! Продолжаю делится своими знаниями преобретенными работая специалистом по информационной безопасности.
Это вторая часть про работу с дампами первую часть про Анализ дампа оперативной памяти можете почитать тут -> ТЫК
В этой части я покажу боевой пример на виртуалке которая будет поражена одним вирусом0) Я проведу полный анализ и покажу как выглядит классическое расследование таких инцидентов
Для интереса статьи: Я попросил своего знакомого закинуть на виртуалку любой вирус который будет оставться в системе как файл (Ратник, Ботнет)
Я просил его не лупить на полную (с криптом и инжектом в легитимный процесс) так как это очень сильно усложнит мне задачу.
Все как всегда чутка теории + практика!
Жесткий диск компьютера содержит множество ценной информации, от личных данных до важных деловых документов. Понимание того, как извлекать и анализировать эти данные, может быть критически важным для различных целей: от восстановления потерянных файлов до проведения криминалистического анализа в рамках расследований. Снимок жесткого диска, или дамп, позволяет создать точную копию всех данных на диске в определенный момент времени. Этот процесс не только помогает в сохранении данных, но и позволяет детально анализировать содержимое диска без риска для оригинальных данных. В данной статье мы рассмотрим, как корректно снимать дамп жесткого диска и какие инструменты и методы анализа.
Я уже писал в первой части про аппартаный блокиратор записи и о плюсах и мунусах в первой части:
Поэтому советую все таки прочитать первую часть. Не вижу смысла дублировать один и тот же материал
Еще раз хочу напомнить что я описываю пример работы аналитиков и специалистов SOC/CERT
Все статьи которые я пишу это чисто мой практический опыт в SOC'e, возможно найдутся тут узконаправленные специалисты по форензике - был бы рад если вы опишите эти процессы более подробнее чем я.
Давайте сразу приступим к практике!
Снимаем Дамп Жесткого Диска:
Предварительно я уже поразил вирусом виртуальную машину! Давайте разберемся как снять дамп.
Запускаем известный нам FTK Imager и выбираем в нем функцию Create Disk Image ссылку на скачивание оставлю ниже
Перед тем как снять дамп вы должны понимать что вы не можете записать дамп на жесткий диск с которого вы и снимаете свой дамп, Проще говоря вам нужно 2 диска:
Мы с вами не тупые люди и понимаем что при работе с жесткими дисками, особенно если существует подозрение на наличие вредоносных программ они (вредоносы) могут перенести себя на второй жесткий диск. Тут как говориться смотря что нам нужно или сохранить информацию на диске или получить семпл вредоноса.
Чтобы минимизировать риск заражения второго жесткого диска вирусом с исходного диска, можно следовать нескольким рекомендациям:
Так как я использую Виртуальную машину я сделаю все проще, дам виртуальной машине доступ к сетевой директории основного хоста
Продолжим процесс снятия дампа.
В появившемся окне выбираем тип источника.
Тут мы можем выбрать что нам нужно, снять дамп с физического диска, логического, образа диска (iso) или же конкретную директорию диска. ну или вообще древняк ДВД СД =)
Далее выбираем сам диск
Теперь нам нужно указать куда мы будем сохранять дамп и в каком виде, нажимаем add.
Тут мы можем указать тип, Raw это - в чистом виде, за остальные 3 сказать ничего не могу, так как никогда ими не пользовался.
Тут мы можем указать допалнительную информацию (иногда полезно особенно когда их много)
Теперь мы вибираем куда мы будем записывать дамп, а так же указываем 0 чтобы ФТК не фрагментировал данные.
Прошу заметить что у меня пишется дамп в сетевую папку - это плохой кейс и так делать не следует (но я так делаю...)
Теперь нажимаем старт и идем занимается другими делами (особенно если диск больше 1ТБ)
Ого не прошло и пол века и у нас все на месте!
Советую хэши сохранять, бывает полезно когда дампов 1001шт.
Так же прошу заметить что записалось ровно 60гб = дамп в полном виде.
Вот как они выглядят и что находиться в текстовом файле:
Снимаем и Анализируем дамп жесткого диска
Авторство: defaultuser0
Источник: runion.su
Приветствую форумчане! Продолжаю делится своими знаниями преобретенными работая специалистом по информационной безопасности.
Это вторая часть про работу с дампами первую часть про Анализ дампа оперативной памяти можете почитать тут -> ТЫК
В этой части я покажу боевой пример на виртуалке которая будет поражена одним вирусом0) Я проведу полный анализ и покажу как выглядит классическое расследование таких инцидентов
Для интереса статьи: Я попросил своего знакомого закинуть на виртуалку любой вирус который будет оставться в системе как файл (Ратник, Ботнет)
Я просил его не лупить на полную (с криптом и инжектом в легитимный процесс) так как это очень сильно усложнит мне задачу.
Все как всегда чутка теории + практика!
Жесткий диск компьютера содержит множество ценной информации, от личных данных до важных деловых документов. Понимание того, как извлекать и анализировать эти данные, может быть критически важным для различных целей: от восстановления потерянных файлов до проведения криминалистического анализа в рамках расследований. Снимок жесткого диска, или дамп, позволяет создать точную копию всех данных на диске в определенный момент времени. Этот процесс не только помогает в сохранении данных, но и позволяет детально анализировать содержимое диска без риска для оригинальных данных. В данной статье мы рассмотрим, как корректно снимать дамп жесткого диска и какие инструменты и методы анализа.
Я уже писал в первой части про аппартаный блокиратор записи и о плюсах и мунусах в первой части:
Поэтому советую все таки прочитать первую часть. Не вижу смысла дублировать один и тот же материал
Еще раз хочу напомнить что я описываю пример работы аналитиков и специалистов SOC/CERT
Все статьи которые я пишу это чисто мой практический опыт в SOC'e, возможно найдутся тут узконаправленные специалисты по форензике - был бы рад если вы опишите эти процессы более подробнее чем я.
Давайте сразу приступим к практике!
Снимаем Дамп Жесткого Диска:
Предварительно я уже поразил вирусом виртуальную машину! Давайте разберемся как снять дамп.
Запускаем известный нам FTK Imager и выбираем в нем функцию Create Disk Image ссылку на скачивание оставлю ниже
Перед тем как снять дамп вы должны понимать что вы не можете записать дамп на жесткий диск с которого вы и снимаете свой дамп, Проще говоря вам нужно 2 диска:
- С которого снимаете
- В который записываете его
- При создании дампа жесткого диска важно обеспечить, чтобы копия данных не перезаписывала любые существующие файлы или данные на исходном диске. Использование второго жесткого диска помогает избежать риска случайной потери данных на рабочем диске
- Снимок жесткого диска может быть очень большим и его создание может занять значительное время. Сохранение дампа на отдельный физический диск может улучшить производительность, поскольку операции чтения и записи не будут конкурировать за пропускную способность одного и того же диска
- Если дамп сохраняется на другой физический диск, можно лучше изолировать исходные данные от любых процессов, которые могут привести к их изменению во время создания дампа
- Простое удобство, сам второй диск позволит вам вернуть первый диск условно компании, а вы уже потом можете делать с ним (копией) что хотите (создавть еще копии, анализировать, модифицировать и тд...)
Мы с вами не тупые люди и понимаем что при работе с жесткими дисками, особенно если существует подозрение на наличие вредоносных программ они (вредоносы) могут перенести себя на второй жесткий диск. Тут как говориться смотря что нам нужно или сохранить информацию на диске или получить семпл вредоноса.
Чтобы минимизировать риск заражения второго жесткого диска вирусом с исходного диска, можно следовать нескольким рекомендациям:
- При создании дампа жесткого диска используйте методы прямого копирования, которые не вовлекают исполнение какого-либо кода с исходного диска. Это означает использование низкоуровневых утилит копирования, которые не интерпретируют данные на диске, а просто переносят биты информации
- Подключите исходный жесткий диск в режиме только чтения. Это предотвратит любые попытки записи данных на диск, которые могут включать вредоносное ПО. На рынке есть спец аппараты и ПО, которые позволяют подключать диски в режиме только чтения.
- Используйте отдельную, изолированную систему для создания и анализа дампа жесткого диска. (Изъять исходный диск, подкючить к изолированной системе и запустить прцесс снятия дампа)
Так как я использую Виртуальную машину я сделаю все проще, дам виртуальной машине доступ к сетевой директории основного хоста
Продолжим процесс снятия дампа.
В появившемся окне выбираем тип источника.
Тут мы можем выбрать что нам нужно, снять дамп с физического диска, логического, образа диска (iso) или же конкретную директорию диска. ну или вообще древняк ДВД СД =)
Далее выбираем сам диск
Теперь нам нужно указать куда мы будем сохранять дамп и в каком виде, нажимаем add.
Тут мы можем указать тип, Raw это - в чистом виде, за остальные 3 сказать ничего не могу, так как никогда ими не пользовался.
Тут мы можем указать допалнительную информацию (иногда полезно особенно когда их много)
Теперь мы вибираем куда мы будем записывать дамп, а так же указываем 0 чтобы ФТК не фрагментировал данные.
Прошу заметить что у меня пишется дамп в сетевую папку - это плохой кейс и так делать не следует (но я так делаю...)
Теперь нажимаем старт и идем занимается другими делами (особенно если диск больше 1ТБ)
Ого не прошло и пол века и у нас все на месте!
Советую хэши сохранять, бывает полезно когда дампов 1001шт.
Так же прошу заметить что записалось ровно 60гб = дамп в полном виде.
Вот как они выглядят и что находиться в текстовом файле:
Attachments
Last edited by a moderator: