Experiment ett är uppdelat i två delar och varje del har tre utföranden i syfte att validera de givna resultaten. Del 1 och del 2 relaterar nära till varandra då inhämtning av dess data gjordes under ett långt utförande och analysen utfördes på samma sätt. Däremot så har resultaten olika betydelser för rapportens slutsats, och därför presenteras resultaten ifrån dessa delar under separata rubriker.
Gemensamt för samtliga delar av experiment 1 inkluderar att de utförts i kontrollerade miljöer i form av virtuella maskiner med nyinstallerade operativsystem. Med motivationen att minimera inverkan av utomstående faktorer och för att enkelt kunna återställa till ett tidigare icke kontaminerat stadie. Genom att använda virtuella maskiner för experimenten kunde kontaminering av resultat och verifiering till stor del att undvikas [7].
20 Del 1
Det första experimentet syftade till att identifiera och påvisa vilka artefakter som kan upptäckas i minnet som eventuellt inte skulle ha lagrats
till hårddisken. Experimentet testade att öppna olika filtyper ifrån en USB, köra CMD kommandon och surfa med olika typer av webbläsare genom dess privata funktioner. För att sedan dumpa minnet och analysera det i syfte att se vilken data som kan hittas. Vidare undersöks det även om denna data kan kopplas till det användarkontot som är inloggat vid inhämtningstillfället i syfte att bemöta SODDI försvaret.
Del 2
Den andra delen i första experimentet byggde vidare där det första experimentet avslutas. Syftet bakom detta experiment är att se om det är möjligt att fortsatt identifiera relevanta processer, ägare till dessa och relaterade data efter att användaren har loggat ut. Detta för att potentiellt kunna bemöta ett SODDI försvar där en misstänkt skyller ifrån sig på någon annan och har loggat ut ifrån en dator som också nyttjas av andra.
4.2.1 Avgränsningar
Del 1 och del 2
Experimentet utfördes tre gånger per del under samma omständigheter i syfte att validera resultaten. Fler artefakter som nätverksanslutningar, flera filtyper och webbläsare som skulle kunna ha undersökts men uteslöts på grund av brist på tid. Den första delen är avgränsad till att enbart undersöka ett aktivt användarkonto som för tillfället vid
inhämtningen av minnet är inloggat. Den andra delen är avgränsat till två användarkonton där inhämtningen utförs nästan omgående efter att användare två har loggat in.
Valet att till viss del avgränsa experimentet ifrån tidsaspekten och frågor kring hur länge denna data finns kvar i minnet gjordes. Däremot ansågs det nödvändigt att skapa flera minnesdumpar i syfte att bedöma om data fanns kvar tillräckligt länge i minnet och verifiera resultaten. Beslutet togs att endast låta 20 till 30 minuter passera
mellan inhämtningarna för att bespara tid.
Ytterligare gjordes också avgränsningar kring antal utföranden och använda verktyg samt analysernas djup. Dels på grund av tid dels då det inte ansågs vara högst relevant för arbetets generella syfte. Genom att sätta avgränsningar som dessa kunde relevant information snabbt identifieras och på så sätt föra studien framåt på ett effektivt sätt.
21
4.2.2 Scenario och tillvägagångssätt
Den första delen och andra delens tillvägagångssätt av experimentet är listat under “del 1” respektive “del 2”, i punktlistan nedan. Processen nedan har genomförts tre gånger, vilket resulterade i nio minnesdumpar att analysera. Nedan listas utförandet steg för steg. Del 1
1. Användaren Evil loggar in på systemet och kopplar in ett USB minne.
2. En pdf-fil, ett textdokument och en bildfil öppnas ifrån USB minnet per utförande [Tabell 1].
3. Chrome och Firefox öppnas med deras privata webbläsare alternativ, en hemsida per webbläsare och utförande öppnades [Tabell 1].
4. Cmd startas där användaren navigerar till desktop och utför ett kommando per utförande [Tabell 1].
5. Samtliga program stängs ner och USB minnet kopplas ifrån, därefter skapas en minnesdump.
6. Efter att 20 minuter har passerat skapas en andra minnesdump. Del 2
7. Evil loggar ut och Friendly loggar in.
8. Efter att ungefär 5 minuter har passerat så dumpas minnet.
Applikation Namn (Utförande 1) Namn (Utförande 2) Namn (Utförande 3) Adobe acrobat reader
Computing1.pdf Malware2.pdf Research3.pdf Photos (microsoft) PicOne.jpg PicTwo.jpg PicThree.jpg Notepad OneWord.txt TwoWord.txt ThreeWord.txt
CMD Ping tracert netstat
Chrome Incognito www.klart.se www.yr.se www.smhi.se Firefox Inprivate www.hackthebox.eu www.tryhackme.com www.root-me.org
(Tabell 1. Visar vilka program som har körts, namn på filer som öppnats, webbsidor som besökts och CMD kommando som körts utifrån utförande under experiment 1.)
4.2.3 Analysmetod
Efter att samtliga dumpar skapats påbörjades analysen av dessa. Analysen utfördes främst i Sift workstation med Volatility, men även i Windows med Hex Workshop hexeditor. Dokumentation av resultaten har främst sparats genom skärm dumpar och dokumentation. Det första steget inför varje analys var att kopiera den aktuella minnesdumpen in till Sift workstation. Därefter påbörjades sökningar med Volatility plugins som pstree, pslist, psscan och psxview efter processer av intresse. Upptäcktes processer av intresse så kördes
22
pluginen getsids för att identifiera ägaren till processen. När väl samtliga processer av intresse och dess ägare upptäckts så dumpades data som relaterade till dessa processer med memdump.
Innan vidare analys av processernas minne utfördes så kördes övriga kommandon som mftparser, cmdscan och consoles för att hitta kommandon som körts av användare och filnamn av intresse. Flödesschemat nedan illustrerar analysens process.
23