Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Digital forensic live CD

28-04-2009, 17:09 door Anoniem, 27 reacties
Hey allemaal,

Ik en een maat van me, hebben een Live CD ontwikkeld voor Digitaal onderzoekers / rechercheurs. De CD heeft 2 kanten , een Windows kant voor Live onderzoek en een Linux kant, op deze linux kant staan erg veel tools waarmee je kan onderzoeken, data recoveren, etc.

Wij hebben dingen die cd's als bv helix niet heeft, Log analysis, hiermee kan je logbestanden van Windows onderzoeken. Maar ik zou zeggen, kijk zelfs naar de verschillen.

de live cd heeft 2 sites:
http://www.digitalforensic.nl/ - nederlands
http://www.forensiclivecd.com/ - engels

Er zijn topics aangemaakt op het forum van http://www.digitaalonderzoeker.nl hier kunnen eventueel alle bugs, tips en suggesties gepost worden. Want die horen we uiteraard graag.

En van zelf sprekend.. de CD is 100% gratis.

Ik ben benieuwd wat jullie van dit initiatief vinden.
Reacties (27)
28-04-2009, 18:12 door [Account Verwijderd]
[Verwijderd]
28-04-2009, 18:39 door libris
Door Spirit: Zeker wel een goed initiatief! Ik ga hem meteen downloaden, daarna kan ik eventueel wat tips geven etc.
Maar de screenshots zien er veel belovend uit!

Alleen de vormgeving vind ik minder, hier moet nog aangewerkt worden!

Edit;
http://www.digitalforensic.nl/nl/ werkt niet, dus als je via de .com op het vlaggetje klikt linkt hij door naar een doodlopend url

Binnekort komt er een uitgebreide documentatie van wat onze live cd (met name de windows kant!) gebruikt op het systeem wat onderzocht word. Want dit is voor een onderzoek, en als je het onderzoek als bewijs materiaal wilt gebruiken zeer belangrijk!

En dit mis ik wel bij andere live cd's, ze doen het wel... maar wat gebeurt er nu daadwerkelijk?
28-04-2009, 19:03 door [Account Verwijderd]
[Verwijderd]
29-04-2009, 03:18 door Anoniem
Hallo, een leuk idee, ik zou heel zeker eens wat filmpjes maken met bijv. Camtasia Studio, en uitleggen hoe de cd te gebruiken. Zet dan ook gelijk spraak bij de filmpjes want dat doen de meeste bijna nooit.

Neem een voorbeeld aan de filmpjes van bijv, security.nl

Leg duidelijk uit wat Forensic is, en wat je met alle tools kan doen.
Neem bijv. een Windows PC, en maak dan gebruik van de cd, en maak dan de filmpjes met duidelijke uitleg,
wat er wel en wat er niet mogelijk is om te recoveren. [ op forensic gebied ]

Zo weten ook de mensen met minder pc ervaring hoe alles in zijn gaat, en voorkom je vragen op het forum.
Ik zie heel wat site's met tools, en niemand maakt filmpjes wat in 2009 oooh zo simpel kan met diverse tools
als Camtasia studio of andere tools.

Veel succes.
29-04-2009, 10:13 door Anoniem
Copyright © 2009 digitaalonderzoeker.nl & digitalforensic.nl All rights Reserved.

Betekend dit dat het hier uiteindelijk gaat om een commercieel produkt? Indien dit het geval is, zoek het lekker zelf uit en stop met reclame maken!
29-04-2009, 11:20 door libris
Door Anoniem:
Copyright © 2009 digitaalonderzoeker.nl & digitalforensic.nl All rights Reserved.

Betekend dit dat het hier uiteindelijk gaat om een commercieel produkt? Indien dit het geval is, zoek het lekker zelf uit en stop met reclame maken!

Het gaat om een 100% gratis product, ik probeer hier niet reclame voor te maken maar ik wil weten of er mensen zijn die hier gebruik van kunnen maken.

@anoniem3:18 .. dat vind ik een goed idee :) ik zal eens kijken, bedankt!
29-04-2009, 11:30 door Anoniem
Copyright houd niet in dat het commercieel is.
Het betekend alleen dat hun eigenaar zijn van de website en alles wat er op gepubliceert is.
De cd is gemaakt van opensource en closed-source tools.
Waaronder een aantal die hun zelf hebben gemaakt en die code is eigendom van hun.
29-04-2009, 12:07 door libris
Door Anoniem: Copyright houd niet in dat het commercieel is.
Het betekend alleen dat hun eigenaar zijn van de website en alles wat er op gepubliceert is.
De cd is gemaakt van opensource en closed-source tools.
Waaronder een aantal die hun zelf hebben gemaakt en die code is eigendom van hun.

Er zijn mensen die het dus wel begrijpen..

bedankt voor de perfect omschrijving
29-04-2009, 12:38 door [Account Verwijderd]
[Verwijderd]
29-04-2009, 12:55 door libris
hehe ik doe de opleiding particulier digitaal onderzoeker, ik zal weleens een keer een filmpje in elkaar zetten. Hoe je eerst een kopie maak van bv een usb stickje en die dan onderzoekt.. om data te recoveren :)

doe ik dan gelijk op deze cd, zodat je het zo na zou kunnen doen .

Edit;
Er staat ook een filmpje op deze site hoe je met behulp van foremost data kan recoveren.. die staat ook op de cd dus dat zou je al als voorbeeld kunnen nemen
29-04-2009, 15:06 door Anoniem
Ligt het aan mij of werkt het de live cd niet in vmware player?
29-04-2009, 16:27 door libris
Door Anoniem: Ligt het aan mij of werkt het de live cd niet in vmware player?

In de vmware player hebben wij niet getest, alleen in vmware workstation :D , alleen in vmware is het login scherm een beetje half zichtbaar :-)
01-05-2009, 21:53 door Anoniem
alle 3 de sites doen het niet..
03-05-2009, 09:51 door Zarco.nl
Ai, ik krijg op beide mirrors een Warning en geen download.
Misschien ook netjes om je [url=http://nl2.php.net/manual/en/function.error-reporting.php]error reporting[/url] even uit te schakelen ;)
03-05-2009, 12:14 door libris
alles werkt weer, was bezig met onderhoud aan de sites.
04-05-2009, 01:33 door Jachra
Ziet er leuk uit. Sommige tools op de Windows versie zijn alleen te gebruiken voor de draaiende Windows versie. Maar het grootste bezwaar is dat met het gebruik van de Live-cd en geen gebruik van apparatuur om de HD('s) in een alleen lezen modus te zetten dat je dan het bewijsmateriaal aantast. Verder zou je Encase of de volledige FTK kit moeten gebruiken om juridisch sluitend bewijs te kunnen krijgen.

Het lijkt me verstandig om in elk geval daarop te wijzen op jullie website.
04-05-2009, 10:05 door Anoniem
@Jachra
Het is niet zo dat het gebruik van encase of ftk het verkregen materiaal gelijk waarheid maakt.
Encase en FTK worden door het rechtssysteem beschouwd als betrouwbare tools dus zullen ze sneller het bewijs ook als betrouwbaar aanmerken.
Maar je kan ook goed bewijsmateriaal produceren met open-source tools zolang je maar kan bewijzen dat het op een net en gedegen manier is verkregen.
En over het aantasten van de bron ik kan de live cd ook draaien terwijl de hdd via een write blocker verbonden is aan het onderzoeksstation
04-05-2009, 13:43 door Statixs
Mooie liveCD! ik doe zelf een opleiding PDO en we hebben een project lopen waar we een aantal dingen moeten onderzoeken op een server en pc en deze CD kwam toen erg goed van pas. Ik vond het niet moeilijk om hem te gebruiken, alleen soms was het even googlen op hoe de tools werkte, maar dat ligt niet aan de cd :P

Super idee iig!
04-05-2009, 16:33 door DetectPlus
Mooi bericht, hebben veel mensen wat aan, zoals ikzelf.
Ga direct downloaden en testen.

Laat jullie het resultaat weten.

gr Rob
04-05-2009, 16:43 door libris
Ik ben blij dat jullie erg positief over de CD zijn, dit betekent voor ons dat we meer releases moeten/willen uit gaan brengen! De documentatie moeten we ook snel aan verder werken, maar de persoon waar ik het heb samen mee gemaakt is op vakantie en ik wil toch graag deze documentatie samen maken. Dan gaan we kijken wat voor sporen het in het geheugen achterlaat, wat hij aanmaakt al sje live onderzoek doet op een systeem etc etc.. zo diep mogelijk.

We hebben ook al een paar Unieke idee'n voor de CD, nu moeten we deze nog proberen te realiseren en tegelijkertijd er nog voor zien te zorgen dat het VRIJ gemakkelijk te gebruiken is voor de gebruiker, en dat kan soms best lastig zijn. Maar zo'n CD is natuurlijk ook wel voor mensen die verstand hebben van linux :)

bedankt voor de positieve reacties!
04-05-2009, 23:57 door Jachra
Door Anoniem: @Jachra
Het is niet zo dat het gebruik van encase of ftk het verkregen materiaal gelijk waarheid maakt.
Encase en FTK worden door het rechtssysteem beschouwd als betrouwbare tools dus zullen ze sneller het bewijs ook als betrouwbaar aanmerken.
Maar je kan ook goed bewijsmateriaal produceren met open-source tools zolang je maar kan bewijzen dat het op een net en gedegen manier is verkregen.
En over het aantasten van de bron ik kan de live cd ook draaien terwijl de hdd via een write blocker verbonden is aan het onderzoeksstation

Ik gaf het mee als tip voor jullie website en niet als kritiek. Het product van een forensisch onderzoek via FTK en/of Encase kan de Politie verder gebruiken. Je zou aan Access Data kunnen vragen of je FTK zonder licentie mag meeleveren op de live cd. Indien men het dan gebruikt, dan dient men wel over de licentie (dongle) te beschikken.

Open Source of freeware tools kunnen wel degelijk ondersteunend zijn bij een onderzoek. In het recentere verleden heb ik dergelijke applicaties gebruikt voor onderzoeken. Uiteraard dient het onderzoek op gedegen wijze te gebeuren.

Zie je, we spreken elkaar niet tegen, maar vullen elkaar aan.

PS
Ik weet niet uit mijn hoofd of het van Microsoft is toegestaan om de Command Shell (cmd.exe) van een Windows versie zomaar gedistribueerd mag worden. Lijkt me verstandig om dat even na te gaan.
05-05-2009, 00:23 door libris
Als ik de HD read only mount dan veranderd je ook niets aan de HD en kan je toch acquiren :)
05-05-2009, 01:04 door Anoniem
Yeah right lekker slim om als forensisch onderzoeker een cdtje met software van Internet te downloaden om daarmee bewijs te verzamelen.

Een advocaat maakt van zon methodiek gehakt!
05-05-2009, 09:19 door Anoniem
@Anoniem 01:04
Hoezo denk je dat dan ?? als je maar aantoont dat je niet met het bewijsmateriaal knoeit dan is daar geen probleem mee.
Okee een rechter zal zoals al eerder hier boven gezegd dat FTK en Encase eerder/sneller als correct worden beschouwd maar zoals ook hierboven word vermeld kan het wel .
Dus het is niet zo dat er meteen gehakt van word gemaakt als je je bewijs met een linux livecd verkrijgt.
Zolang je maar aantoont dat je het bewijs niet verandert en dat je stappen reproduceerbaar zijn voor de tegenpartij is alles imho okee en dan kan de tegenpartij hakken wat ze willen maar meer dan wat splinters zullen er dan niet afkomen :P

PS: mischien is het verstandiger om deze discussies op het forum van de live cd verder te door te zetten want het is denk ik niet de bedoeling dat we security.nl gaan gebruiken als forum om de wel dan niet rechtsgeldigheid van deze livecd te gaan discussieren
05-05-2009, 12:12 door libris
het forum hebben we inderdaad gemaakt voor deze discussies enn alle discussies die betrekking hebben met digitaal onderzoek, maar je kunt open source software ook bewijzen levere maar dat neemt niet wegg dat het altijd handig is ommet tools als encase of ftk het nog even na te checken
11-05-2009, 15:26 door Statixs
Hey, ik heb de live cd geprobeert alleen bij mij doet de portscanner het niet, ik gebruik het in vista ik weet niet of dit het probleem is?
14-05-2009, 15:01 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.