← Atpakaļ uz Izglītošanos
DFIR · EVIDENCE · TRIAGE

Digitālā forensika - praktiskās komandas

Biežāk lietotās Windows, Linux un macOS komandas, ar ko savākt pierādījumus, apskatīt tīkla datus un žurnālus. Augšā - vienkāršas diagrammas par to, kā notiek izmeklēšana. Tikai mācībām un atļautai izmeklēšanai.

Pierādījumu iegūšanas secība

Order of Volatility (RFC 3227) — savāc gaistošāko pirmo

Order of volatility Septiņi pierādījumu līmeņi no gaistošākā (CPU/RAM) uz stabilāko (arhīvi), ar attiecīgajām komandām. Order of Volatility — RFC 3227 Jo augstāk, jo ātrāk dati pazūd — savāc tos pirmos GAISTAMĪBA ↓ · savāc pirmo → pēdējo 1 · CPU reģistri & keš ns–µs · praktiski neiegūstami (hardware-level) 2 · RAM — operatīvā atmiņa procesi · tīkla savienojumi · atslēgas · injicēts kods AVML · winpmem · LiME 3 · Tīkla stāvoklis aktīvie savienojumi · ARP · DNS keš · maršruti ss · netstat -ano · arp -a 4 · Pagaidu faili / swap /tmp · pagefile.sys · hiberfil.sys mount · ls · find 5 · Disks (HDD / SSD) bit-for-bit attēls + hash verifikācija dd · ddrescue · sha256sum 6 · Attālinātie logi & monitorings syslog · SIEM · journald · auditd journalctl · Get-WinEvent 7 · Arhīvi & backup vismazāk gaistošs — offline datu nesēji (offline media) IETF RFC 3227 · NIST SP 800-86 — Live-acquire RAM PIRMS izslēgšanas, ja iespējams

Pielietojums

Incidenta sākumā palīdz izlemt, ko savākt pirmo. Jo augstāk sarakstā, jo ātrāk dati pazūd - RAM zūd, izslēdzot datoru; savienojumi mainās dažās sekundēs.

Atsauce

IETF RFC 3227 (2002) — Guidelines for Evidence Collection and Archiving · NIST SP 800-86 · ISO/IEC 27037.

Drošības piezīme

Datora izslēgšana iznīcina RAM (procesus, šifrēšanas atslēgas, ļaunatūru atmiņā). Ja vari, vispirms nolasi atmiņu un tikai tad atvieno strāvu.

Incidentu reaģēšanas dzīves cikls

NIST SP 800-61 (4 fāzes) ↔ SANS PICERL (6 soļi)

Incident response lifecycle NIST četras fāzes ar atgriezenisko cilpu un SANS PICERL sešu soļu kartējumu. Incidentu reaģēšanas cikls Forensika notiek galvenokārt “Detection & Analysis” fāzē 1 · Preparation politikas · rīki · log apmācība · baselines 2 · Detection & Analysis 🔎 forensika · triage 3 · Containment Eradication · Recovery 4 · Post-Incident Lessons Learned · atskaite ⇢ uzlabo Preparation SANS PICERL — 6 soļi Preparation Identification Containment Eradication Recovery Lessons Learned NIST SP 800-61 Rev. 2 · SANS PICERL · ISO/IEC 27035 — NIS2: brīdinājums 24 h, paziņojums 72 h

Pielietojums

Palīdz sakārtot, kā reaģēt uz incidentu. NIST 4 fāzes atbilst SANS PICERL 6 soļiem - pierādījumus vāc un analizē otrajā fāzē.

Atsauce

NIST SP 800-61 Rev. 2 · SANS PICERL · ISO/IEC 27035 (Incident management).

NIS2 termiņi

NIS2 23. p.: agrīns brīdinājums 24 stundās, pilns ziņojums 72 stundās. Forensikas atradumi dod saturu šiem ziņojumiem CERT.LV.

Kur atrodas pierādījumi

Pierādījumu avotu karte — Windows / Linux / macOS

Evidence sources map Seši pierādījumu veidi un to atrašanās vieta + komanda Windows, Linux un macOS sistēmās. Pierādījumu avotu karte 🪟 Windows 🐧 Linux / Unix 🍎 macOS Atmiņa & procesi pagefile.sys · hiberfil.sys winpmem · Get-Process /proc/kcore · /dev/mem AVML · LiME · ps aux /dev/mem (SIP) · AFF4 osxpmem · ps aux · vmmap Tīkls & savienojumi TCP tabula · DNS keš netstat -ano · Get-NetTCP… /proc/net · sockets ss -tupn · lsof -i · arp -a BSD netstat · sockets netstat -an · lsof -i · nettop Logi & notikumi …\winevt\Logs\*.evtx wevtutil · Get-WinEvent /var/log · journald · auditd journalctl · ausearch unified log · /var/db/diagnostics log show · log stream Faili & timeline $MFT · USN $J fsutil usn · dir /T inode atime/mtime/ctime find · stat · debugfs FSEvents · Spotlight · xattr mdls · xattr · stat -f Persistence Run keys · Scheduled Tasks reg query · schtasks cron · systemd units crontab -l · systemctl LaunchAgents/Daemons plists launchctl · plutil Lietotāji & sesijas SAM · aktīvās sesijas net user · query user utmp/wtmp/btmp · passwd who · w · last · lastb dslocal plists · loginwindow dscl . -list /Users · w

Pielietojums

Ātri atrast, kur katrā sistēmā atrodas konkrēts pierādījums un ar kuru komandu to dabūt. Pilni argumenti ir tabulā zemāk.

Atsauce

SANS DFIR artefaktu atsauces · MITRE ATT&CK — Collection (TA0009) · Windows / Linux forensics references.

Drošības piezīme

Vienmēr pieraksti sistēmas laika zonu un pulksteņa nobīdi - bez tā nevar pareizi salikt notikumus secībā (UTC vai vietējais laiks).

Iegūšanas un integritātes plūsma

Chain of Custody — oriģinālu nekad nemodificē

Chain of custody workflow Seši soļi: identificē, write-block + acquire, hash, verificē, analizē kopiju, dokumentē. Chain of Custody — pierādījumu integritāte 1 · Identificē & izolē atvieno tīklu · fiksē laiku foto · sērijas Nr. 2 · Write-block + Acquire bit-for-bit attēls dd · ddrescue · ewfacquire 3 · Hash (oriģināls) SHA-256 pirms analīzes sha256sum · Get-FileHash 4 · Verificē kopija == oriģināls? hash match 5 · Analizē KOPIJU nekad ne oriģinālu read-only mount 6 · Dokumentē kas · kad · kur · kāpēc custody log 🔒 Hash pirms un pēc · ja nesakrīt — pierādījums kompromitēts

Pielietojums

Nodrošina, ka pierādījumus var izmantot tiesā - ir pierādāms, no kurienes tie nāk un ka nav mainīti.

Atsauce

ISO/IEC 27037 (Identification, collection, acquisition, preservation) · NIST SP 800-86 · ACPO Good Practice Guide.

Drošības piezīme

Write-blocker vai read-only pievienošana neļauj nejauši rakstīt oriģinālā. Analizē vienmēr tikai pārbaudītu kopiju, ne oriģinālu.

Kur meklēt tipiskās pēdas

Artefaktu ceļi - mapes un faili (Windows / Linux)

🪟 Windows

Izpilde C:\Windows\Prefetch\*.pf C:\Windows\AppCompat\Programs\Amcache.hve C:\Windows\System32\sru\SRUDB.dat
Reģistrs (hives) C:\Windows\System32\config\ (SAM·SYSTEM·SOFTWARE·SECURITY) %USERPROFILE%\NTUSER.DAT %LOCALAPPDATA%\Microsoft\Windows\UsrClass.dat
Žurnāli C:\Windows\System32\winevt\Logs\*.evtx
Faili / timeline C:\$MFT C:\$Extend\$UsnJrnl:$J C:\$LogFile
Lietotāja aktivitāte %APPDATA%\Microsoft\Windows\Recent\ (LNK · Jump Lists) %LOCALAPPDATA%\Google\Chrome\User Data\Default\History
Persistence C:\Windows\System32\Tasks\ %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\
Pagaidu / atmiņa C:\pagefile.sys · C:\hiberfil.sys %LOCALAPPDATA%\Temp\ · C:\Windows\Temp\

🐧 Linux / Unix

Žurnāli /var/log/auth.log · /var/log/secure /var/log/syslog · /var/log/messages /var/log/audit/audit.log /var/log/journal/
Pieteikšanās (utmp) /var/log/wtmp · /var/log/btmp · /run/utmp /var/log/lastlog
Lietotāja aktivitāte ~/.bash_history · ~/.zsh_history ~/.ssh/authorized_keys · ~/.ssh/known_hosts
Konti /etc/passwd · /etc/shadow · /etc/group /etc/sudoers · /etc/sudoers.d/
Persistence /etc/crontab · /var/spool/cron/ · /etc/cron.d/ /etc/systemd/system/ · /usr/lib/systemd/system/ /etc/rc.local · /etc/init.d/
Pagaidu / staging /tmp · /var/tmp · /dev/shm
Procesi / pakotnes /proc/PID/{cmdline,exe,maps,fd} /var/log/dpkg.log · /var/log/apt/ · /var/log/yum.log

🍎 macOS

Unified log / žurnāli /var/db/diagnostics/*.tracev3 /var/log/system.log (legacy) /var/log/install.log
Persistence ~/Library/LaunchAgents/ /Library/LaunchAgents/ · /Library/LaunchDaemons/ /System/Library/LaunchDaemons/
Lietotāja aktivitāte ~/Library/Preferences/*.plist ~/.zsh_history · ~/.bash_history ~/Library/Safari/History.db
Konti /var/db/dslocal/nodes/Default/users/*.plist /Library/Preferences/com.apple.loginwindow.plist
Quarantine / proveniences …/com.apple.LaunchServices.QuarantineEventsV2 xattr com.apple.quarantine
FS notikumi / Spotlight /.fseventsd/ /.Spotlight-V100/
Pagaidu /tmp · /var/tmp · /private/tmp

Pielietojums

Ātra atgāde, kurās mapēs un failos meklēt biežākos pierādījumus. Labs sākums triage un KAPE/CyLR mērķu izvēlei.

Atsauce

SANS DFIR “Windows Forensic Analysis” poster · MITRE ATT&CK · Linux forensics references.

Drošības piezīme

Ceļi ar % ir mainīgie, kas katram lietotājam atšķiras. Pārbaudi VISU lietotāju profilus, ne tikai pašreizējo.

Komandu atsauce
Loading…
Linux Windows macOS Cross
KomandaKategorijaOSAprakstsGalvenie argumenti