Systeem professioneel analyseren met OSForensics

Met OSForensics heeft PassMark een forensisch product ontwikkeld dat bruikbaar is voor analyses op zowel live als offline systemen op basis van schijfkopiebestanden. Je besturingssysteem houdt talloze gegevens bij en met OSForensics heb je die zo opgediept. We leggen hier uit hoe.

OSForensics is inzetbaar voor de belangrijkste forensische fases: van detectie (met een doorzoekbare index, bestandsdecryptie en het terughalen van verwijderde bestanden uit diverse bestandssystemen), via identificatie (waaronder een tijdlijn met relevante gebruikersactiviteiten) tot casebeheer met configureerbare rapportages.

Het programma is in eerste instantie beschikbaar als installatiepakket voor Windows-omgevingen. Vanuit het geïnstalleerde programma kun je echter ook een live usb-medium creëren, weliswaar alleen in de betaalde versie (995 dollar). Voor testdoeleinden volstaat de gratis proefversie, die 30 dagen geldig is.

Na een eenvoudige installatie kun je aan de slag: alle functies staan opgesomd in het scrolbare Workflow-venster. Klik je hier op Start dan krijg je die ook mooi thematisch gerubriceerd, in rubrieken als File Searching & Indexing, Viewers, System Artifacts & Passwords etc. Handig om weten: bij Housekeeping kun je via Customize Workflow zelf de inhoud van het Workflow-venster bepalen.

Image creëren

Je analyseert je systeem het beste offline. Daartoe kun je een schijfkopiebestand creëren met een tool als ddrescue, maar er zijn nog meer mogelijkheden vanuit OSForensics. Open de rubriek Forensic Imaging, ga naar het tabblad Create Disk Image en verwijs naar het doelbestand evenals naar de bronschijf of -partitie. Duikt een waarschuwing op bij het imagen van een actieve Windows-partitie, verwijder dan het vinkje bij Disable Shadow Copy.

Op de andere tabbladen vind je nog een paar krachtige functies terug, waaronder Rebuild RAID Disk (om raid-imagebestanden aan elkaar te koppelen), Create Logical Android Image (activeer op het verbonden Android-apparaat dan wel de optie USB-opsporing, waarna de data worden overgeheveld via een adb pull-commando en de app OSFExtract) en Disk Hidden Areas (heel wat schijven hebben verborgen gebieden zoals de hpa en de dco, waar fabrikanten – en gebruikers - informatie op kwijt kunnen.

OSForensics

© PXimport

We gaan er even vanuit dat je een image hebt gecreëerd. Open dan de rubriek Mount Drive Image, klik op Mount new en verwijs naar je schijfkopiebestand. Selecteer de gewenste stationsletter en laat (veiligheidshalve) het vinkje staan bij Read-only drive. Sluit na je bevestiging OSFMount af. Volgens de regels van het boekje creëer je nu eerst een case: ga naar Manage case en klik op New Case, waar je alle nodige gegevens invult, inclusief de tijdzone.

Na je bevestiging zie je dat je case is toegevoegd. Klik aan de linkerkant op Add Device en kies bij Drive Letter de stationsletter van de bronschijf. Laat de optie Forensics mode geselecteerd, omdat deze modus een diepere bestandsobjectanalyse toelaat, waaronder ntfs-metadata. Geef een geschikte Display Name en bevestig met OK.

Systeeminfo en dump

Je bent nu klaar om naar sporen te zoeken. We beperken ons hier noodzakelijkerwijs tot enkele functies van OSForensics. Een goed begin is de rubriek System Information. Let op: de meeste commando’s in het uitklapmenu bij List kun je alleen uitvoeren als je Live Acquisition of Current Machine hebt geselecteerd. In ons geval gaat het echter om een gekoppeld volume (Scan Drive). Om hiervan systeminformatie op te diepen selecteer je bij List eerst System Information From Registry en druk je op Go.

In ons scenario hebben we natuurlijk weinig aan de Memory Viewer, aangezien die alleen de geheugendetails van je live systeem toont. Wel kun je hier via de knop Dump Physical Memory een geheugendump bewaren die je ook naderhand kunt analyseren vanuit het tabblad Static Analysis. Overigens bevat de installatiemap van OSForensics de tool Volatility Workbench die we nog beter is voor geheugenanalyse. Dit is een gui voor de populaire tool Volatility, zoals die onder meer ook in Kali Linux zit.

In deze tool verwijs je naar de mem-geheugendump, stel je het juiste profiel in (bijvoorbeeld Windows 10 64bit base version), haal je de proceslijst op en selecteer je het gewenste commando uit de lijst. Er zitten bijvoorbeeld enkele commando’s bij voor het opsporen van rootkits en andere malafide code.

Andere viewers

Interessant is ongetwijfeld de File System Browser. Die laat je toe door de bestandsstructuur van je image te navigeren. In tegenstelling tot de klassieke Verkenner krijg je hier standaard ook verborgen (systeem)bestanden te zien evenals diverse datums (waaronder MTF Modify Date) en eventuele ads – dit laatste alleen in de betaalde versie.

OSForensics

© PXimport

Vanuit het contextmenu kun je met View with Internal Viewer meteen de hexadecimale inhoud van een bestand opvragen. Deze viewer vind je trouwens ook terug in het hoofdvenster, bij File Viewer. Net eronder tref je hier de Raw Disk Viewer aan die je ook sectoren buiten de eigenlijke partities laat bekijken. Het voordeel is dat die in OSForensics mooi is geïntegreerd, maar wijzelf vinden de gratis tool Active@Disk Editor iets flexibeler.

Overigens kun je ook een bestandsindex laten creëren, via de rubriek Create Index. Je kunt hierbij zelfs aangeven dat ook niet toegewezen clusters mee moeten worden opgenomen. Let wel, hoe meer bestanden je laat indexeren, hoe meer ramgeheugen dat vergt. Deze index kun je met Search Index vervolgens snel en gericht doorzoeken, ook op basis van (eigen) woordlijsten.

Tijdlijn

Indrukwekkend is tot slot de rubriek Recent Activity. Nadat je hebt aangegeven in welke items je geïnteresseerd bent druk je op Scan. Na afloop kun je het tabblad Timeline openen en een bepaalde periode selecteren. Je krijgt dan in grafiekvorm te zien hoeveel items er binnen die periode beschikbaar zijn.

Klik zo’n balk met de rechtermuisknop aan en kies Show these files om meteen te zien over welke data het precies gaat.

OSForensics

© PXimport

Deel dit artikel
Voeg toe aan favorieten