Dank
De informatie is niet al te duidelijk, dus ik ga er wat van proberen te bakken (:
Ik ga ervan uit dat je een stukje malware wil analyseren (digital forensics) en dat er dus een PC/Laptop is geïnfecteerd.
En nu wil je weten of dat je eerst de rechten om het schrijven van data naar de HDD moet wijzigen of dat je eerst een memory dump moet maken?
De eerste stap in digital forensics is dat je zeker weet dat je geïnfecteerde machine NIET aangesloten zit aan een computernetwerk. Schakel alle netwerkkaarten uit, haal netwerkkabels eruit en zorg dat ook Wireless geen signaal kan ontvangen.
Misschien dat je wat dieper in details wilt treden? Dan denk ik dat we jou beter kunnen helpen. Ik moest de topic 3 keer opnieuw lezen voordat ik hem daadwerkelijk begreep (:
En nu wil je weten of dat je eerst de rechten om het schrijven van data naar de HDD moet wijzigen of dat je eerst een memory dump moet maken?
Als ik eerst een memorydump maak, pas ik dan niet bepaalde files/timestamps op het systeem aan? Vandaar dat mij de ideale volgorde leek: eerst de writeblocker voor de harddisk, vervolgens de memory dump maken.
Op internet lees ik het echter vaak andersom, ik ben benieuwd of iemand me kan uitleggen waarom dit is.
Als ik eerst een memorydump maak, pas ik dan niet bepaalde files/timestamps op het systeem aan? Vandaar dat mij de ideale volgorde leek: eerst de writeblocker voor de harddisk, vervolgens de memory dump maken.
Op internet lees ik het echter vaak andersom, ik ben benieuwd of iemand me kan uitleggen waarom dit is.[/quote]
1) Als PC op slot spring ben je fucked (geen RAMdump).
2) Als iets crasht ben je fucked (geen RAMdump).
3) De kans dat er dingen op de HDD gebeuren is kleiner dan de kans dat er "relevante" data uit RAM-geheugen overschreven wordt.
4) De HDD-blockers van politie/Fox-IT zijn hardware apparaten, de HDD moet dus losgekopelt worden. Dan wil je de stroom eraf hebben, en dat betekent dat je RAM-geheugen weg is. (Andere volgorde is dan vrij lastig).
5) Software write-blockers overschrijven RAM-geheugen, kans op overschrijving van relevante data.
Ik ben geen expert, maar dit heb ik uit mijn notities gehaald van een gastcollege van Fox-IT. Does this make sense?
Verder vroeg ik mij af waarop je baseert dat een RAM-dump timestamps aanpast?
eerst een memorydump op een usbstick, zodat je de memorydump niet over een weggegooid maar te recoveren bestand heenschrijft.
die usbstick voer je daarna natuurlijk wel ik in een systeem dat uitgaat van gecompromitterde usbsticks. ;-)
Als ik eerst een memorydump maak, pas ik dan niet bepaalde files/timestamps op het systeem aan? Vandaar dat mij de ideale volgorde leek: eerst de writeblocker voor de harddisk, vervolgens de memory dump maken.
Op internet lees ik het echter vaak andersom, ik ben benieuwd of iemand me kan uitleggen waarom dit is.
Bij het maken van een memorydump pas je GEEN bestanden aan op de HDD.
Het kan zijn dat reeds lopende processen dat wel doen, maar het maken van een memorydump gaat zo snel dat dit in de praktij niet zo'n groot probleem is. Natuurlijk is het wel zaak dat je de dump op een ander medium bewaart dan de HDD in kwestie.
Vervolgens kun je je op de HDD storten. Naar mijn ervaring werkt het het beste wanneer je deze overzet op een ander (VEILIG!) systeem zonder internetverbinding. Werk nooit met de originele data, maar altijd met een kopie ervan.
Het enige probleem zou schijf-encryptie kunnen zijn, maar daar heb je dan ook die memorydump éérst voor gemaakt natuurlijk.
Hopelijk zijn al je vragen beantwoord inmiddels, zo niet, dan weet je ons wel te vinden ;)
Groet, anon 12:12
NB 1] Mocht je in het vervolg refereren aan een webpagina, link er dan even naartoe.
NB 2] Het is voor ons wat makkelijker als je duidelijk vermeld in je posts dat je de TS bent, of je nu inlogt met je gebruikersnaam of anoniem reageert.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.