Computer Forensics.DK Sidste opdatering: 19.januar 2008
hjem | computer forensics | incident response | electronic discovery | programmer | knowledge base | links | rootkits | mig | sitemap | kontakt

                                                         ComputerForensics.DK: links

Links til links
E-Evidence Information and Resource site: Den mest komplette link samling på Internettet. Information om alle områder indenfor computer forensics og incident response.
Dave Dittrich fra University of Washington er en af de helt store sikkerhedsfolk, er bl.a. kendt for sit arbejde med at opspore distribuerede ude-af-drift angreb (DDoS). Dittrichs hjemmeside har en lang række gode forensics links.
Securityfocus har en række tekster om forskellige elementer i computer forensics og incident response, fra Windows til Unix.
Zeno's forensics site har en lang række links til alle typer videnskabelig forensics, og selvfølgelig også computer forensics.
Black Hat har et online arkiv over tidligere indlæg på deres konferences. Det er muligt at downloade pdf og ppt versioner af de fleste tidligere indlæg, lidt ældre præsentationer kan ses og høres med Real Player.

Tekster
Sans bibliotek (reading room) har en række tekster om forensics og incident response.
Eksamensopgaverne fra Sans certificeringen "GCFA" (GIAC Certified Forensic Analyst) kan være meget interessante.
Det samme kan eksamensopgaverne fra f.eks. "GCIA" (GIAC Certified Intrusion Analyst) og "GCIH" (GIAC Certified Incident Handler)
Forensics Wiki er et spændende projekt med stort potentiale. Det samme gælder særligt for OMCD - Open Methodology for Compromise Detection projektet. Forensic Wiki er et lukket projekt på meget højt niveau.
Sleuth Kit Informer har bl.a. information om programmerne Sleuthkit/Autopsy og andre open source tools.

Windows
Microsoft's egen hjemmeside indeholder uanede mængder information. Brug f.eks. den avancerede søgeside til at finde information, men "Hjælp og Support" siden kan også være et sted at starte.
Firmaet Liutilities har en glimrende liste over Windows processer. Kan f.eks. bruges til at identificere programmer fundet vha. programmer som fport og OpenPorts. Man kan lave søgninger efter processer i process biblioteket, Process ID siden og TaskList har lignede information.
Information om WindowsNT, Win2k og XP services. Siden viser også detaljeret information om hver enkelt tjeneste ved at klikke på navnet. Samme type information kan f.eks. findes her på siden. Meget god liste over services på Windows XP (kræver gratis tilmelding til siden).
Stor Database over kendte programmer der automatisk kan startes via registreringsdatabasen. Introduktion til steder virus, trojanere m.v. kan gemme sig for at blive startet automatisk. Bleeping Computer har både en fildatabase og en liste over kendte programmer der startes via registreringsdatabasen.
HUSK ALTID, at det er let at opkalde et angrebsprogram efter et kendt ufarligt program. Bare fordi navnet kan identificeres på internettet er det *ikke* i sig selv bevis for programmet er ufarligt.
Sysinternals (nu en del af Microsoft) hjemmeside indeholder en lang, lang række fantastiske (gratis) værktøjer. Det er en god ide at bruge lidt tid på hjemmesiden, værktøjerne kan også bruges til "almindelige fejlfinding", men husk der er forskel på kommandolinie- og GUI værktøjer når programmerne skal bruges til forensics (kommandolinie er bedst).
Heysoft har masser af information om Windows eventloggen.
Windows Event Log Encyclopedia og Eventid.net gør det muligt at søge efter information om events i Windows eventloggen.
Microsofts start side for information om Event Viewer.
Microsoft Events and Errors Message Center med detaljerede oplysninger og mulighed for produkt specifikke søgninger.
God liste over hvilke porte Microsoft serverne åbner.
Information til analyse af IIS 6.0 log filer.
Harlan Carvey's hjemmeside med bl.a. blog og en række interessante programmer på siden. En række af hans andre programmer bliver nu også lagt på SourceForge.
Masser af teknisk information om Windows drivere.
Information om registreringsdatabasen fra Mark Russinovich fra Sysinternals: Inside the Registry og Inside the Windows NT Registry.
Baggrundsinformation om Windows services: Inside Win32 Services, del 1 og del 2.
Uofficiel hjemmeside med information om IIS, Microsoft Internet Information Server, med masser af information om bl.a. logfiler. F.eks. liste over http svar koder.
Uofficiel hjemmeside for Microsoft programmet Log Parser.

Linux/Unix
Dan Farmer's hjemmeside har masser af information om forensics, inklusive The Coroner's Toolkit, en klassisk samling af programmer til at indsamle og analysere data på Unix systemer. Men også links til gode artikler og tidligere forensics præsentationer.
Ralf Spenneberg har bl.a. RPM pakker af en række vigtige programmer inklusive Sleuthkit, Foremost og Chkrootkit.
CrazyTrain er Thomas Rude/Farmerdude's hjemmeside. Hovedsaligt Unix information.
Sleuthkit.org er Brian Carrier's officielle hjemmeside for "The Sleuth Kit" og "The Autopsy Forensic Browser", begge programmer til at undersøge systemer efter der er taget kopier af harddisken. Siden indeholder også magasinet The Sleuth Kit Informer.
Linux-forensics med div. info om forensics på Linux.
Statisk kompilerede system programmer som ISO-filer.
Knowngoods.org gør det muligt at søge i og downloade MD-5 og SHA-1 hash værdier af eksekverbare filer, kildekoder, m.m. fra Linux, FreeBSD, OpenBSD, Mac OS X, Mac OS X server og Solaris.

Sun/Solaris
Lav selv statisk kompilerede programmer for Solaris.
Sun har en fantastisk Solaris fingerprint database der vha. af MD-5 hash sammenligninger i mange tilfælde kan be- eller afkræfte om programmer er de originale versioner. Denne type undersøgelser finder dog kun "traditionelle" rootkits, se rootkits siden for yderligere information.
Masser af nyttig Sun/Solaris information på SunHelp.

BSD
Man sider til FreeBSD, OpenBSD og NetBSD.
FreeBSD har også man sider til en række andre systemer.

AIX, HP-UX, Tru64, SCO m.v.
AIX information på RootVG.
HP-UX info på Enterprise Unix siden.
Kommandoer til SCO Unix og til en lang række forskellige Unix systemer i den berømte Rosetta-sten.

Mac forensics
"Analysis of an Unknown Mac OS X Public Beta System Using Mac OS X 10.2" fra SANS "GCFA" certificeringen.
Open Source Digital Forensic Acquisition and Analysis on Mac OS X O'reilly præsentation fra BlackBag Technologies.
"Macintosh Forensics Analysis using OS X" fra SANS "GSEC" certificeringen.
Force-mount unmountable disk images
Mac Forensics guide m.m.
"Den ultimative guide til Mac OS forensics", meget god link samling.
Mac og Metadata, artikel om Metadata, dvs. 'data om data'.
En del tips og ressourcer på kommerciel hjemmeside.
Forensics analyse af en hacket Mac OS X klient maskine.
Podcast om Mac forensics.
Mac OS versioner siden 1998.
Mactracker er et program med meget detaljeret information om de forskellige Mac modeller. Kan f.eks. være nyttig til at finde den mest sandsynlige størrelse på harddisken på en Mac-model der skal undersøges.
God introduktion til Macintosh forensics og detaljeret information med en række gode links.
Information om PowerBooks og diverse Apple dokumentation.

Cisco og andre netværksenheder
Cisco router forensics fra Black Hat Briefings 2002: PowerPoint præsentation, noter og RealPlayer præsentation.
Introduktion til Cisco router forenics.
Router God er et online magasin med masser af information om Cisco routere og andet Cisco udstyr.
Introduktion til Netflows som en kilde til information til netværks forensics.
Mere information om NetFlows og her.
Cisco Security Configuration Guides og konfigurationsinfo om Cisco switches.
IOS Hints bloggen med masser af Cisco tips og tricks.

Danske
Tom Engly Henriksen, tidligere Rigspolitiets Kriminaltekniske Afdeling, IT-sektionen, har skrevet en virkelig god guide til at optimere efterforskningsmulighederne ved datakriminalitet.
Dansk speciale (skrevet på engelsk) fra DTU med titlen Cybercrime Forensics. Kræver PostScript reader.
Dansk speciale fra DTU med titlen Forensic Examination of Log Files.
Henrik Kramshøj's computer forensics foredrag.

Netværksforensics
Netværksforensics er et underområde indenfor forensics. En lang række programmer er listet separat på siden om netværks forensics i knowledge basen.
Ethereal har skiftet navn til Wireshark og findes til Windows, Linux, Solaris, BSD, Mac OS X m.fl.
tcpflow kan genskabe hele datastreams og opbevarer hvert flow i en separat fil for at lette den efterfølgende analyse.
Sguil er en meget stærk GUI til analyse af bl.a. Snort logfiler.

Mobiltelefoner, PDA, digitale kameraer o.lign.
Mobileforensics er den mest omfattende tekniske ressource indenfor mobiltelefon forensics. Adgang til siden kræver forhåndsgodkendelse.
Phone Forensics forummet har masser af information om mobiltelefoni forensics. Kræver forhåndsgodkendelse.
E-evidence.info har den mest omfattende liste over hard- og software samt artikler om mobiltelefon forensics.
God introduktion til teknikken bag mobiltelefoner.
Artikel om GSM og forensics, SIM kort m.m..
Amerikanske NIST, der svarer lidt til Dansk Standard har en række gode tekster: Mobil telefon forensics, Cell Phone Forensic Tools: An Overview and Analysis Update, der komplimenterer og updaterer teksten fra 2005 samt Guidelines for PDA forensics.
Blog med bl.a. mobiltelefon forensics.

CD ROM, DVD, floppy disketter, USB keys o.lign.
DVD Forum med DVD standarder (ikke DVD +RW) m.m.
DVD +RW information.
DVD FAQ og DVD Recording ressourcer.
CD-Recordable FAQ og CD-R Primer.
Introduktion til data CD'er.
Standarder: ISO9660, Joliet, El Torito, Rock Ridge.
Apple HFS: Apples version af ISO 9660, HFS Plus volume format.
IsoBusters liste over eksterne links.

Filsystemer m.m.
NTFS.com har masser af information om NTFS og FAT filsystemerne.
Grundig beskrivelse af FAT og NTFS.
Linux-NTFS projektet har også masser af information om NTFS.
Filesystems Howto med information om en række forskellige filsystemer.
Advanced filesystem implementor's guide er en artikelserie om forskellige Linux filsystemer.
Information om EXT2FS her og her.
Information om EXT3FS her.
Information om Apples HFS+ her.
Kernelthread har en god introduktion til Mac filsystemerne.
Information om WinFS, Microsofts nye filsystem.
Information om FAT f.eks. her, her, her, her, her, og her.
Se i øvrigt Wikipedia for masser af information og links.

Fil information
Wotsit giver information om en lang række forskellige fil formater, kan være nyttig information i en række forskellige videregående undersøgelser.
Filesig.co.uk giver også information om fil-signaturer. Siden kræver tilmelding og godkendelse inden man får adgang.
FILExt er en database med information om fil-extensions ("fil-efternavne") og programmer der benytter dem.
What is that file forsøger at identificere filer udfra filnavnet. Kan være et måde til hurtigt at identificere ukendte filer. Det er dog vigtigt at være opmærksom på, at en angriber kan forsøge at skjule filer ved at give dem samme navn som kendte ufarlige filer.

Incident response
Anmeldelse af hackerangreb:
It-relateret kriminalitet, dvs hacking og børnepornografisk materiale på Internettet, kan anmeldes direkte til it-kriminalitet@politi.dk eller ved hjælp af formen på Politi.dk. Alle andre henvendelser skal rettes til den lokale politikreds.
Sikkerhedsrelaterede hændelser kan meldes til Cert.

Incident response politik m.v.
Enhver organisation der på en eller på anden måde er kritisk afhængig af deres IT-infrastruktur bør have adgang til et trænet incident response team, enten som fast ansatte eller som konsulenter ved et firma der kan indkaldes 24 timer i døgnet. Nedenfor er et par link som introduktion til emnet, men meget mere er planlagt:
NIST (USA's National Institute of Standards and Technology) har en god guide: Computer Security Incident Handling Guide.
NIST: Applying Forensic Techniques to Incident Response.
Guide til dannelse af Computer Security Incident Response Teams (CSIRTs).
United States Computer Emergency Readiness Team (US-Cert) har information om håndtering af incidents.
Deutsches Forschungsnetz Cert har en liste over grundlæggende programmer for incident response teams.
Microsoft har flere gode tekster om incident response, bl.a. Responding to IT Security Incidents.
Carnegie Mellon University's security improvement module: Responding to Intrusions.
Cert har en række gode tekster, start f.eks. med Security Improvement Modules.
FIRST - Forum of Incident Response and Security Teams.
Sans Intrusion Detection FAQ.
rfc 2350: Expectations for Computer Security Incident Response.

Programmer og værktøj
Se under programmer

Div. nyttig teknisk information
Loganalysis.org indeholder masser af information om gennemgang af logfiler, ofte et meget vigtigt element af computer forensics og incident response.
Rootkit.com kan give masser af information om Windows rootkits.
Guillermito har en række meget gode analyser af steganografi programmer (programmer til at skjule data i andet data).
Find information om tidszoner i forskellige lande og stater her og her, kan bl.a. være nyttig ved undersøgelser af logfiler og email headers.
Regular Expression Library gør det bl.a. muligt at søge i en stor samling regulære udtryk, kan være meget nyttigt til videregående undersøgelser.
Regex Coach er et program, til både Windows og Linux, med en række nyttige funktioner når der eksperimenteres med regulære udtryk.
Masser af information om regulære udtryk inklusive gode tutorials og reference materiale og endnu mere information om regulære udtryk. Mere her og her.
VMware kan bl.a. bruges under analyse af ukendte filer og til at lave Honeypots. Det Franske Honeynet Projekt har arbejdet med at skjule en række VMware kendetegn og VMware selv har bl.a. information om hvordan man ændre MAC adresser.
Open Reverse Code Engineering community (OpenRCE) er et forum for reverse engineering. ComputerForensics.DK udbygges senere med en detaljeret tekst om tekniker til analyse af mistænkelige filer.
De fleste digital kameraer gemmer billeder i EXIF (Exchangeable Image File Format). Mere information her og her.
Masser af harddisk information på StorageReview. Information om bl.a. ATA (IDE), SATA, ATAPI samt How it Works dokumenter om hvordan harddiske virker. Information om partitions typer.
Læs gamle Amiga, Apple ][ m.fl. disketter med Disk2FDI.
SCSI information og "SCSI forensics".
Masser af information om USB på USB Central.
Masser af information om hardware interfaces på Pinouts.
Søgbar RFC (Request for Comments) database.

Nyttig grundlæggende teknisk information
Grundlæggende information om harddiske her, her og her.
Introduktion til CD-ROM, CD-R og CD-RW og DVD.
Hvordan virker ting, en lang række forskellige emner i How Stuff Works.
PC Guide har masser af information om hardware, TCP/IP og meget mere.
TCP/IP guiden online er på over 1600 sider. Protocols.com har information om en lang række protokoller.
Computer boot sekvens, information om harddiske, Windows filsystemer m.m.
Se WinHex's knowledge base over tredje parts ressourcer for masser af gode links.
10 lektioner i Hex editering.
Forskellen på little endian og big endian, dvs hvordan forskellige computere gemmer numre forskelligt.
Table med ASCII tegnsættet og information om forskellige typer Unicode. Mere om ASCII og Unicode.
30 minutters kursus i regulære udtyk, download programmet til kurset fra ultrapico.com
Lær at programmere på en række (nye) sprog. SHELLdorado med scripts, artikler, tips og tricks for Unix shell scripts.
MS DOS scripts, Windows 2000, Windows XP og Windows Server 2003 kommando linie ("DOS prompt") information. Windows WMIC kommando linie information.
Cool Commands er et søgeværktøj til kommandoer og korte scripts for en række forskellige Unix systemer.
SS64 er en kommandolinie reference til Windows, Linux, Oracle 9i, Apple OS X og MS SQL Server 2005.
God forklaring på indholdet i e-mail headers, mere f.eks. her og her og her.
Information om hvordan de originale email headers kan videresendes fra en række forskellige mail systemer.

Antivirus, spyware, malware og adware scanning
I mange tilfælde skyldes computer problemer ikke hacker angreb, men at et system er blevet "inficeret" med 'adware', 'spyware' eller lignende. I nogle incident response situationer kan der foretages antivirus scanninger for at undersøge om systemet er inficeret med kendte bagdøre/virus.
Hvis en anti-virus scanner melder den har opdaget en kendt virus på systemet, er anti-virus siderne naturligvis også et godt sted at starte for at finde yderligere information:
Symantec
Kaspersky
McAfee
Trend Micro
Sophos
F-Secure
MessageLabs
Offensive Computing samler, analyserer og kategorisere virus og malware for at forbedre forsvaret imod dem.
Ad-aware
Spybot
Ukendte filer fundet på et system kan oploades til flere forskellige anti-virus firmaer til automatisk virusscanning: Norman Sandbox.
VirusTotal scanner uploadede og tilsendte filer med en række forskellige scannere.
Jotti's malware scan scanner uploadede filer med 14 forskellige scannere.
CWSandbox kan udtrække information fra ukendte programmer.
NIST:
Guide to Malware Incident Prevention and Handling.

Boot CD'er
En klassisk metode til at undersøge en harddisk, er at boote i en nyt operativsystem fra CD-ROM, uden at skrive data til harddisken og derfra undersøge den originale harddisk. Det kan være en god ide at downloade et par færdiglavede boot cd'er for at se hvilken distribution man kan lide, og om udgaven har alle de programmer man har brug for.
Helix er min personlige favorit i øjeblikket. Benyttes også af bl.a. SANS på deres kurser.
FoRK (Forensic or Rescue Disk) bliver aktivt udviklet i øjeblikket.
FCCU Linux Forensic Boot CD fra Belgien.
Network Security Toolkit til analyse af netværkstrafik m.m.
BartPE gør det muligt at skabe en boot CD-ROM eller DVD ved at trække de nødvendige filer ud af ens egen Windows XP/Windows Server 2003 installations CD. Den nuværende version ændre tidsstempler på filsystemet, og kan derfor ikke benyttes til videregående forensics undersøgelser.
DEFT - Digital Evidence & Forensic Toolkit er en Kubuntu Linux boot CD.
F.I.R.E ("the Forensic and Incident Response Environment") var en af de første Linux boot CD, der var specialiseret til forensics/incident arbejde. Indeholder også, som en af de få distributioner, en række Windows tools.
SMART Linux boot CD er designet af ASR Data specielt til forensics og incident response.
Knoppix-STD (Security Tools Distribution).
Penguin Sleuth Kit Bootable CD.
ThePacketMaster Linux også kendt som TPM Linux.
Local Area Security Linux LAS Linux.
Spenneberg forensic rescue CD.
PHLAK - 'Professional Hacker's Linux Assault Kit'.
Inside Security Rescue Toolkit (INSERT) er en "kreditkort CD-ROM" (omkring 50 MB).
BootCD kan bruges til at lave en Mac OS X boot CD.
FreeBSD porte: LiveCD, FreeSBIE, Frenzy og BSDLive.
Snarl - ældre bootable forensics ISO baseret på FreeBSD.
Knoppix, Trinux, tomsrtbt m.fl. kan også bruges i nogle situationer.

Boot CD på USB nøgle
Kør ovenstående boot CD'er fra en USB-nøgle.

Div
Hvis du ikke har fundet hvad du søger her på siderne er der jo altid Google!

 
Copyright © 2004-2008 Computerforensics.DK