Lees ook: Systeem professioneel analyseren met OSForensics

Er bestaan diverse gratis live distributies voor forensisch onderzoek, maar een aantal worden niet meer zo goed up-to-date gehouden of zijn inmiddels commercieel verpakt. Zo zul je vergeefs zoeken naar een up-to-date versie van Helix – tenzij in de vorm van Helix3 Pro (circa 210 euro voor een jaar).

Ook DEFT is inmiddels al enkele jaren oud, maar is wel nog gratis verkrijgbaar. De DEFT Zero-variant is weliswaar recenter maar bevat minder tools. In deze workshop houden we het daarom een andere distro: CAINE.

CAINE, wat staat voor Computer Aided INvestigative Environment, is een Linux-distributie die specifiek voor forensisch onderzoek werd samengesteld. Je kunt die als iso-bestand downloaden. De distro is gebaseerd op Ubuntu 18.04 64-bit en kan booten op zowel uefi- (ook met secure boot) als (legacy) bios-systemen. Of je installeert hem als virtuele machine, bijvoorbeeld met VirtualBox.

Standaard zet CAINE alle ‘block devices’ (zoals /dev/sda) met het oog op forensische integriteit vast in Read only-modus, maar met de tool BlockON/OFF (op de desktop) kun je dat aanpassen als je wilt.

Het aantal forensische tools is erg indrukwekkend en tevens handig opgedeeld in rubrieken als Analysis, Disks, Malware, etc. Bekende tools zijn bijvoorbeeld Photorec, DDRescue-GUI, Wireshark en Autopsy. We beperken ons hier tot een korte voorstelling van deze laatste.

Autopsy (extractie)

Het komt erop neer dat je eerst een case definieert met New Case: een naam en een (basis)map volstaan. Autopsy creëert de bijhorende database, waarna je via Add Data Source de databron toevoegt. Typisch is dat een schijfimage, maar het kan bijvoorbeeld ook een virtuele machine of lokale schijf zijn.

© PXimport

Na je bevestiging geef je aan welke ingest-modules je wilt activeren. Deze modules analyseren elk een ander aspect van de databron, zoals hash calculation and lookup, keyword searching, recent activity, enz. Je geeft tevens aan of je ook niet-toegewezen ruimte mee wilt laten scannen.

Deze optie zorgt er wel voor dat de analyse merkbaar langer duurt aangezien Autopsy dan ook gewiste bestanden opspoort. De resultaten worden vervolgens aan de case en aan de interne database toegevoegd. Even later mag je dan op Finish drukken, terwijl de analyse volop wordt uitgevoerd.

Autopsy (deductie)

Als het goed is, is Directory Tree na afloop van de analyse gevuld met talrijke items. Welke dat precies zijn hangt ook af van de eerder geselecteerde ingest-modules.

Heb je ook niet-toegewezen ruimte mee laten analyseren dan zul je ongetwijfeld ingangen vinden bij Views / Deleted Files. Vanuit het contextmenu kun je die dan wellicht nog herstellen.

Autopsy bevat tevens een uitgebreide zoekfunctie die zich met allerlei filters laat bijsturen. Via Keyword Search (rechtsboven) is het niet alleen mogelijk naar specifieke strings te zoeken maar kun je eveneens van reguliere expressies gebruikmaken. Of je maakt gebruik van Keyword lists. Die bevatten al een aantal vooraf gedefinieerde trefwoordlijsten op basis van reguliere expressies – met name ip- en e-mailadressen, url’s, telefoon- en creditcardnummers – maar je kunt ook je eigen lijsten samenstellen.

© PXimport

Ben je vooral op zoek naar beeldmateriaal, zoals foto’s en video’s, dan hoef je maar Images/Videos aan te klikken. Je krijgt dan een gerubriceerd overzicht van het aangetroffen beeldmateriaal, inclusief nuttige metadata.

Indrukwekkend is verder de ingebouwde Timeline. Dat is een chronologisch geordende lijst van alle gedetecteerde items. Je kunt hierbij makkelijk inzoomen op bepaalde periodes en via filteropties aangeven in welke items je geïnteresseerd bent, bijvoorbeeld op basis van tekststrings, eventtypes of webactiviteit.

Autopsy zorgt ook voor de rapportage, in formaten als html, xls en zelfs kml (Google Earth). Je kiest daarbij zelf welke datatypes je wilt meenemen en of je alleen vooraf getagde resultaten mee in dat rapport wilt, of alle resultaten.