Один частный случай

Персональный раздел для Krec.

Один частный случай

Сообщение Krec » 24 сен 2012, 03:06

То что я напишу тут - как бы вне правилам КТЭ, но все же имеет место быть.

несколко дней назад был неприятный инцидент с знакомым.. кто то находился у него в рабочем комнате и пользовался его компьютером. камер видеонаблюдений нету. Сыщики приехали, сняли отпечатки пальцев и уехали.. так и не забрали компьютер, акцентируя это тем, что это не их проблемы и они выяснять будут только чей отпечатки (покрайне мере попробуют) :)
Знакомый утверждает, что он точно комьпютер отключил, а когда вернулся - компьютер был включен и открыт сайт vk.com. А также говорит, что история браузера была очищена (он не чистил).
Собственно просит мне помочь.. мало ли что то получиться выяснить. Известно точная дата и промежуток времени, когда был несанкционированный доступ в кабинет.

Но у меня непонятки...
1. можно ли восстановть истории бразуеров ? (хром, мозилла)
2. после этого комьпютером пользовались... я поимаю , что это вне политик КТЭ, но что то можно выяснить?
3. Можно ли по ключам реестра выяснить в этот день была ли что то подклчен к USB портам компьютеру?
4. Какую инфомрацию можно еще извлечь, чтоб понять что делали на компьютере?

P.S. Инфомрация скорее всего до суда не пойдет, так сказать "для внутренней проверки".
P.S.S. почему не сразу это делал, потому что только мне обратились. я даже пока не брал образ HDD.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Igor Mikhaylov » 24 сен 2012, 05:31

Krec писал(а):
1. можно ли восстановть истории бразуеров ? (хром, мозилла)

http://www.siquest.com/productdetailPag ... 253af8zzyy

Krec писал(а):
3. Можно ли по ключам реестра выяснить в этот день была ли что то подклчен к USB портам компьютеру?

USBStore

Krec писал(а):
4. Какую инфомрацию можно еще извлечь, чтоб понять что делали на компьютере?

Покопаться в: recent, реестре, логах антивируса....
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Один частный случай

Сообщение kfv » 24 сен 2012, 05:45

Не проще логи прокси/маршрутизатора посмотреть? В конторе куда приезжают "сыщики" чтоб снять отпечатки пальцев с компьютера, который случайным образом "включился" не должен быть свободный доступ в инет.Также никто не отменял логи авторизации в актив директории, с рабочего компьютера не просто до них добраться.
К тому же компьютер мог сам включиться - человек увел в спящий режим, прилетел пакет на сетевую - компьютер включился.
По поводу вопросов:
С компьютера поднимается что куда подключалось, куда ходилось, что смотрелось.
Почищенная история не отменяет анлокейт, файл подкачки, удаленные файлы.
Если на компьютере продолжают работать, то чем больше времени проходит после инцидента, тем труднее будет искать ответы на поставленные вопросы.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Один частный случай

Сообщение Krec » 24 сен 2012, 15:53

Igor Michailov

1. Internet Examiner - v3 сможет восстановить стертые истории браузеров? Знайте, я все понимаю, но новые версии браузеров - они же в своем БД хранят инфомрацию и стирают так назваемые таблицы, что мне и пугает насчет восстановления. Вы пробовали? к воостановлению подлежит?

3. USBStor - знаю про него (раздел реестра ?), но разве он покажет по датам и когда именно было подключено устройство?


kfv

Не проще логи прокси/маршрутизатора посмотреть?

нет такой возможности, этот компьютер работает на прямую, стоит DSL модем и выход в интернет. а DSL модем "домашний" и не предуспотрен логирование.
Компьютер полностю изолирован от локальной сети. сделан, как индивидуальное место, вся проблема в том, что там только один-два человек должны заходить или пользоваться им, а получился так, что какой то третий оказался там... притом это может быть посторонний. Из кабинета пропали ценные вещи, "сыщики" оформили как ограбление и взяли отпечатки от шкафов, ручек и т.д. , а к компу даже ближе не подходили.
Почищенная история не отменяет анлокейт, файл подкачки, удаленные файлы.

я думаю единственная зацепка - это история браузеров, которую стерли. я как уже написал чуть выше - боюсь не получится восстановить, там же в виде SQL организована история, т.е. храниться в своем БД, а при стирения удалается не сам БД(было бы не проблема восстаноть один файл), а записи из базы (таблицы)... кнечно, возможно я недооцениваю мощи форензики. Но если вы скажете, что можно - я возьмусь все же за это дело, как бы терять нечего. мало ли что то получится.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Игорь » 24 сен 2012, 22:55

Krec писал(а):нет такой возможности, этот компьютер работает на прямую, стоит DSL модем и выход в интернет. а DSL модем "домашний" и не предуспотрен логирование.

Логирование идет на стороне провайдера. Обратитесь к нему, известно время доступа к компу, известен ваш ip, все эти данные провайдеру и он выдаст вам статистику.
Аватара пользователя
Игорь
Член клуба
 
Сообщения: 672
Зарегистрирован: 18 сен 2007, 18:03
Откуда: Yessentuki
Благодарил (а): 73 раз.
Поблагодарили: 44 раз.

Re: Один частный случай

Сообщение Krec » 25 сен 2012, 00:33

Игорь писал(а):
Krec писал(а):нет такой возможности, этот компьютер работает на прямую, стоит DSL модем и выход в интернет. а DSL модем "домашний" и не предуспотрен логирование.

Логирование идет на стороне провайдера. Обратитесь к нему, известно время доступа к компу, известен ваш ip, все эти данные провайдеру и он выдаст вам статистику.

Провайдер такого рода информации выдает только при запроса от МВД и других органов власти. да и ясно, что зашли сайт vk.com . возможно и другие, но хочется больше информации, чтоб составить "картинку" происшествия. Может из за компьютера вошли в комнату, а может зашли в целях хишениях средст, и заосно хотели передать приват Васе через "вконтакте" :)
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение Krec » 27 сен 2012, 14:30

НУ так что, никто не имело дело с очищенном историй браузеров ? (mozilla, chrome)
Их можно восстановить все же ? (почему очень сомневаюсь - написал в своем 2_м посте)

P.S. за какой период держаться Prefetch файлы? у меня посмотрел - 9 сентября.
Они удаляются или заменяются ? если что - можно будет востановить старые prefetch файлы? (windows XP SP3)
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение raider79 » 28 сен 2012, 10:04

надо разбираться с механизом удаления в sqlite. возможно записи сперва только помечаются как удаленные и шринкаются не сразу.
raider79
Член клуба
 
Сообщения: 132
Зарегистрирован: 19 июн 2012, 14:56
Откуда: Беларусь, Минск, ГКСЭ
Благодарил (а): 1 раз.
Поблагодарили: 2 раз.

Re: Один частный случай

Сообщение raider79 » 28 сен 2012, 10:08

так и есть. похоже данные не затираются и теоретически восстановление возможно, хоть штатной возможности и не предусмотрено.
http://habrahabr.ru/sandbox/39225/
raider79
Член клуба
 
Сообщения: 132
Зарегистрирован: 19 июн 2012, 14:56
Откуда: Беларусь, Минск, ГКСЭ
Благодарил (а): 1 раз.
Поблагодарили: 2 раз.

Re: Один частный случай

Сообщение andre_m » 28 сен 2012, 10:53

HstEx от Digital Detective (xttп://support.digital-detective.co.uk) ***платная***
поднимает удаленные информационные файлы IE/Mozilla/Safari
Удаленные записи в SQlite - указал выше raider79
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Re: Один частный случай

Сообщение Krec » 28 сен 2012, 15:36

Спасибо вам, народ !

Если я сниму dd образ жесткого диска, дома в офф.лайн режиме через Autopsy могу поднимать образ и уже с выше указанными программами восстановить историю?
Просто технически у меня нет возможности загрузить образ в реальном режиме (все мои "железки" заняты).

P.S. Кстати, а сколько стоит HstEx от Digital Detective ? на сайте посмотрел - там не нашел именно лицензию для него. МОжет скажете сколько стоит или ссылку? (может куплю даже, если дежево будет)
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение andre_m » 28 сен 2012, 16:50

HstEx у нас шел "в нагрузку" с ИХ основной программой - Net Analysis.
отдельно не знаю.
на сайте вроде -можно скачать 30-дневный триал...
есть ли в нем ограничения по сохранению обнаруженной хистори - не знаю.
-----
З.Ы. не ужели нету софта восстановления файлов по сигнатурам? имхо ничего фантастичного HstEx не делает.
Аватара пользователя
andre_m
Член клуба
 
Сообщения: 631
Зарегистрирован: 20 сен 2007, 19:32
Откуда: ГКСЭ Республики Беларусь
Благодарил (а): 35 раз.
Поблагодарили: 39 раз.

Re: Один частный случай

Сообщение raider79 » 28 сен 2012, 18:09

Krec писал(а):Если я сниму dd образ жесткого диска, дома в офф.лайн режиме через Autopsy могу поднимать образ и уже с выше указанными программами восстановить историю?

с бинарным образом можно делать всё что угодно самым разным софтом.
raider79
Член клуба
 
Сообщения: 132
Зарегистрирован: 19 июн 2012, 14:56
Откуда: Беларусь, Минск, ГКСЭ
Благодарил (а): 1 раз.
Поблагодарили: 2 раз.

Re: Один частный случай

Сообщение Krec » 28 сен 2012, 19:38

andre_m

я как понял - HstEx входит в арсенал Net Analysis ?
Если купить скажем лицензию для Net Analysis, то у меня будет и на HstEx ?
P.S. А вообще советуйте купить его? вроде не милионы стоит? для "домашних анализов" :)


raider79

А не подксажете каким софтом можно "налету" снимать образ dd ? т.е. не загрузится с Live-cd , а просто из флешки запустить ПО/скрип и чтоб он автоматом создал образ на указаном несте ?
или это фантастика?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Один частный случай

Сообщение raider79 » 01 окт 2012, 10:01

про такое готовое не слышал, но можете сами себе собрать. например внедрить в тот же deft вот это http://computer-forensics-lab.org/forum/viewtopic.php?f=28&t=1219 и смастерить загрузочную флэшку.
raider79
Член клуба
 
Сообщения: 132
Зарегистрирован: 19 июн 2012, 14:56
Откуда: Беларусь, Минск, ГКСЭ
Благодарил (а): 1 раз.
Поблагодарили: 2 раз.

След.

Вернуться в KREC

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron