Kandidatuppsats
IT-forensik och informationssäkerhet 180 hp
Kontamination av RAM-minne vid användning av IT-forensisk mjukvara
Digital forensisk 15 hp
Halmstad 2018-06-26
Johan Norryd och Joel Franzén
I
Kontamination av RAM-minne vid användning av IT-forensisk mjukvara
Kandidatuppsats 2018 06
Författare: Johan Norryd och Joel Franzén Handledare: Stefan Axelsson
Examinator: Urban Bilstrup
Sektionen för informationsvetenskap, data- och elektroteknik Högskolan i Halmstad
Box 823, 301 18 HALMSTAD
© Copyright Johan Norryd och Joel Franzén, 2018. All rights reserved Kandidatuppsats
Rapport, IDE11XX
Sektionen för informationsvetenskap, data- och elektroteknik Högskolan i Halmstad
ISSN xxxxx
III
Förord
Vi vill främst tacka vår handledare Stefan Axelsson, som under kandidatuppsatsens genomförande givit oss goda råd och väglett oss genom arbetet på ett givande sätt, samt svarat på frågor och funderingar. Vi vill även tacka Jonas Johansson på
Polismyndigheten i Halmstad, som ställt upp på en givande intervju. Detta har bidragit till intressanta svar på frågor och även givit förslag om hur vi ska analysera våra RAM-dumpar. Utan nämnda personer hade inte detta arbete varit
genomförbart.
Halmstad högskola, 2018-06-26.
Johan Norryd Joel Franzén
_________________________ _________________________
Abstract
This report addresses a very specific area of computer forensics and information security. A computer forensic scientict are needed to act in critical situations,
therefore the person needs broad knowledge of the physical memory, also known as volatile memory within computer forensics. As cyber crimes are rapidly increasing more for each year, it has also contributed to a huge development in the computer forensic department. Since the volatile memory of a computer plays a significant role in an investigation, a computer forensics actions can be crucial in the collection of evidence.
Volatile memory is something that exists in all computer systems and the purpose is to store information temporarily, in other words, it only exists when the system is active. Volatile memory is an information source that is rich in information from a computer forensic perspective. Volatile memories are built up of binary code, which requires that these are analyzed using various tools. This availability of these tools today is very large. There are several different methods for analyzing the volatile memory in a computer, not just for the government, but also for the public. As the range of these methods and tools are big, we have chosen to focus on computer forensic tools that pay an important part of the work of a computer forensic.
The execution of the practical part, we have chosen to apply in a virtualization environment, to carry out the experiments in a controlled manner. The experiments were a big success in showing that changes to the memory allocation have occurred in the event of contamination. When the dump-files were performed by the tools, a percentage difference could be determined and further analysis of these showed that contamination occurred.
Keywords: IT forensics, recovery, live response, RAM, contamination, virtualization
V
Sammanfattning
Denna rapport behandlar ett väldigt specifikt område inom IT-forensik och informationssäkerhet. Då berörda parter, det vill säga IT-forensiker, emellanåt behöver agera i kritiska lägen krävs det att personen har breda kunskaper om det volatila minnet, mer känt som volatila minnen inom IT-forensik. Då IT-brott ökar allt mer för varje år behöver också utvecklingen inom IT-forensik ständig
utveckling. Eftersom det volatila minnet i en dator har en betydande roll i samband med en utredning kan en IT-forensikers handlingar vara avgörande i
bevisinsamlingen.
Volatila minnen är något som finns i alla datorsystem och dess syfte är att lagra information temporärt, då minnet endast existerar när systemet är igång. Det volatila minnet är en informationskälla som är rik på viktig information ur ett IT- forensiskt perspektiv. Volatila minnen är uppbyggda av binärkod, vilket kräver att dessa analyseras med hjälp av olika verktyg. Utbudet av dessa verktyg är idag väldigt stora, det finns flertalet olika metoder för att gå tillväga för att analysera det volatila minnet i en dator, inte bara för myndigheter, utan även för allmänheten.
Eftersom utbudet av dessa metoder och verktyg är stora, har vi valt att inrikta oss på IT-forensiska verktyg som är en viktig del i arbetet som IT-forensiker.
Utförandet av den praktiska delen har vi valt att applicera i virtualiseringsmiljö, för att på ett kontrollerat sätt utföra experimenten. Vid experimenten erhölls det
framgångsrika resultat där påvisning av att förändringar i minnesallokeringar skett, det vill säga kontamination. När RAM-dumparna väl hade utförts av verktygen fastställdes en procentuell skillnad och vidare analysering av dessa påvisade att kontamination förekommit.
Nyckelord: IT-forensik, utvinning, live-respons, RAM-minne, kontamination, virtualisering
Innehållsförteckning
1 Inledning
... 11.1 Bakgrund... 2
1.2 Tidigare forskning ... 3
1.3 Syfte ... 4
2 Problemställning
... 62.1 Problemformulering ... 6
2.2 Frågeställningar ... 6
3 Teori
... 83.1 Datainsamling ... 8
3.2 Live-respons ... 9
3.3 Volatilt minne... 10
3.4 Icke-volatilt minne ... 11
4 Metod
... 134.1 Uppbyggnad för tillämpad metod ... 13
4.2 Dataanalys av kvalitativ data ... 15
5 Experimentuppställning
... 185.1 Förberedelse ... 18
5.2 Genomförande ... 20
6 Resultat
... 236.1 Vad förändrades i det volatila minnet? ... 32
7 Diskussion
... 358 Slutsats
... 409 Vidare forskning
... 42Referenser
... 44Bilagor
... 47
VII
Figurförteckning
Figur 1. Tidsintervall ... 18
Figur 2. Kommando för bit för bit jämförelse ... 19
Figur 3. Matematisk formel ... 20
Tabellförteckning
Tabell 1. Jämförelse-test... 23Tabell 2. FTK Imager ... 25
Tabell 3. OSForensics. ... 26
Tabell 4. FTK Imager mot OSForensics ... 27
Tabell 5. Översikt av mjukvarorna ... 29
Tabell 6. Översikt av mjukvaran mot varandra ... 31
Tabell 7. Mätvärden FTK Imager... 48
Tabell 8. Mätvärden OSForensics... 48
Tabell 9. Mätvärden FTK Imager mot OSForensics ... 48
Diagramförteckning
Diagram 1. Översiktlig förändring i jämförelse-testet... 23Diagram 2. Översiklig förändring i procent 0-15% ... 24
Diagram 3. Illustration över förändring dump 1-3 ... 28
Diagram 4. Illustration över total förändring programvarorna emellan ... 30
Ordlista
Kontamination Förändring av data.
RAM
(Volatilt minne)
Random-Access Memory. Ett minne där varje minnescell kan nås direkt utan att behöva gå igenom och läsa av alla andra delar av minnet.
ROM
(Icke-Volatilt minne)
Read-only Memory. Denna typ av minne går endast att läsa av. Det går inte att göra ändringar i ROM-minnet.
DRAM
Dynamic Random-Access Memory är en minnestyp som arbetar långsammare och som behöver kontinuerlig uppdatering för att inte förlora sin information.
EEPROM Electrically Erasable Programmable Read-only Memory.
EEPROM minne kan lagra mindre mängder av data och kan raderas samt ändras.
Flash-minne
Inga rörliga komponenter. Innehållet är endast av elektronisk form.
RAM-dump
En avbild av hur enhetens interna minne såg ut vid just det tillfället avbilden började.
ARP Cache Information om nätverks- och mac-adresser
Binärkod
Binärkod, även kallat maskinkod används av datorer för att läsa av och exekvera instruktioner. Detta utförs med hjälp av ettor och nollor.
.vmem fil
En .vmem-fil är en spegelbild av den virtuella maskinens RAM-minne
Ögonblicksbild (Snapshot)
Systemet sparas i exakt det tillstånd som det befinner sig i när ögonblicksbilden tas. Denna bild kan sedan laddas in vilket möjliggör att återskapa systemet i samma tillstånd som när den togs.
Hibernera Systemet sätts i icke-strömsatt läge.
ASCII
American Standard Code for Information Interchange.
Detta används för teckenkodning vilket leder till
Introduktion
1
1 Introduktion
För en IT-forensiker är RAM-dumpar en viktig del av arbetet för att kunna framlägga bevis. Viktig information som lagras i det volatila minnet samlas då in som vidare kan komma att vara avgörande i en utredning [13].
Efter egna erfarenheter av IT-forensiska verktyg samt granskning av vetenskapliga artiklar ser vi ett starkt ändamål med denna undersökning av att påvisa
förändringar i det volatila minnet. Då vi också är medvetna om hur betydande kontamination är för en IT-forensiker gör detta oss extra motiverade att undersöka hur RAM-minnet förändras över tid samt hur IT-forensiska verktyg spelar in vid förändring av RAM-minnet.
Upptagning av denna information genomförs på det volatila minnet, därefter
analyseras det fångade minnet med hjälp av olika verktyg. Processen startar med en avbild av det volatila minnet som lagrats på en enhet. Därefter används IT-
forensiska verktyg för analysering av data. Exempel på sådan information som kan förekomma är lösenord, nedladdade filer, webbadresser, osparade dokument med mera [13]. I vissa fall kan även lagrade krypteringsnycklar hittas och därigenom öppna åtkomsten till krypterade volymer [17].
Detta arbete kommer att fokusera på hur stora förändringar som sker på det volatila minnet i ett system vid start, i pågående drift och avslutningsvis slutlig drift. Det finns olika sätt att redovisa minnesinformation från ett system. Vanligtvis dumpas hela minnet, men inriktning mot en specifik process kan även förekomma.
Tillvägagångssättet i denna studie kommer vara dumpning av hela minnet, då ändamålet är att få ut så mycket information som möjligt.
Introduktion
1.1 Bakgrund
Random access memory, RAM, avser själva karaktäristiken genom vid konstant strömförsörjning bistå med oavbruten åtkomsttid oavsett var data lagras på lagringsmedier. Huvudminnet i de flesta datorer idag är dynamiskt RAM (DRAM).
DRAM utnyttjar skillnaden mellan kondensatorns tillstånd för lagring av data [11].
RAM-minnet har med åren blivit allt större av sin mängd, inte bara i servrar utan också i enskilda hemdatorer. Detta kan för en IT-forensiker medföra problem i målet med att få ut viktig volatil data vid en RAM-dump då informationen som tas ut är av stor mängd vilket leder till att eventuella bevis blir svåråtkomliga. [6]. Då RAM-minnet behöver en konstant strömförsörjning rekommenderas inte metoden
“pull the plug” för en IT-forensiker vid en live-respons då målet är att bevara bevis med avseende på systemets tillstånd [11].
Rana. Nikitia et.al [17] yttrar sig om syftet för volatilt minne för en IT-forensiker samt hur viktigt det är att lyckas med avbild av RAM-minnet i samband med en utredning. I det volatila minnet lagras information från nätverksanlustningar, ARP cache, inloggande användare samt historik, processer och osparade dokument [17].
I det volatila minnet kan dekrypteringsnycklar för krypterade volymer även upptäckas. Dessa kan i vissa fall lagras i cache minnet och kan vid en RAM-analys därmed hittas. Detta är dekrypteringsnycklar för exempelvis TrueCrypt, BitLocker och PGP WDE [17], som i en utredning är av stor nytta för att komma åt resterande data på en enhet.
IT-forensiker hävdar idag att trots den stora mängd RAM som kan finnas på datorer anses kontamination av RAM-minne inte som ett stort problem gällande
bevisinsamlingen vid användning av IT-forensisk mjukvara.
(J.Johansson, IT- forensiker Polisen Halmstad).
Då ämnet IT-forensik ständigt utvecklas behövs det därmed också nya
tillvägagångssätt för att genomföra en lyckad utvinning av volatil data i system.
Programvara såsom OSForensics och FTK Imager ger möjlighet till att genomföra utvinning av volatil data på flera olika sätt [10].
Introduktion
3
1.2 Tidigare forskning
Thomas Laurenson [10] fördjupar sig inom ämnet IT-forensik, där olika svårigheter inom ämnet diskuteras och en fördjupning av utvinningsprocessen på RAM-dumpar sker. Laurenson beskriver de olika metoderna som används inom IT-forensik för analysering av RAM-dumpar, vilket bland annat innebär header-based carving och IT-forensiska verktyg [10].
Michael Ligh Hale et. al [11] undersöker ämnet IT-forensik och beskriver olika metoder och verktyg som är viktiga inom detta område. Vidare fördjupar sig Ligh Hale et. al på verktyget Volatility. De beskriver även de olika tillvägagångssätten för att genomföra en bra analys av RAM-dumpar och flertalet fördelar med Volatility nämns, bland annat:
• Analysering av RAM-dumpar gjorda på 32- och 64-bit system är möjliga, och på flertalet olika operativsystem som Windows, Linux och Mac OS.
• Möjligheter att lägga in egna skript och ett bra programmeringsgränssnitt (API).
• Snabba och effektiva algoritmer för att genomföra bra och kontrollerade sökningar.
Ligh Hale et. al [11] pratar vidare ingående om live-respons, varför detta är en viktig del i arbetet för en IT-forensiker och förklarar mer ingående på vad en live-respons är. Live-respons innebär att ett system påträffas aktivt och därigenom möjliggörs det tömning av den information som temporärt finns lagrad i RAM-minnet. Vidare leder en live-respons till analys av RAM-dumpen med bland annat verktyg som Volatility. I samband med en utredning är live-respons en viktig aspekt i arbetet som IT-forensiker då det i RAM-minnet finns väldigt mycket information som är
potentiella bevis [11].
Ahmad et. al [8] resonerar om hur det förekommer kontamination av RAM-minnet när användning av IT-forensisk mjukvara sker för att genomföra en RAM-dump. Det som framhävs är att vissa delar av RAM-minnet inte kommer med i RAM-dumpen och försvinner i RAM-dumpen med mjukvaran. Ahmad et. al berättar vidare om hur information kan hittas trots att en privat webbläsare använts, exempelvis
inkognitofönster i Google Chrome. Ahmad et. al beskriver även hur trots att användning av inkognitofönster i Google Chrome kan se spår av att det körts en privat session av denna webbläsare [8].
Introduktion
1.3 Syfte
Syftet med undersökningen är att utföra en detaljerad beskrivning och analys från RAM-dumpar, både vid jämförelse av olika program samt från samma program på ett körande system. Vidare kontrolleras det hur mycket kontamination som sker vid en pågående undersökning. Vidare är syftet att få en djupgående inblick gällande vilken data som vid en analys utsätts för kontamination. Det kommer ske med hjälp av de IT-forensiska mjukvarorna OSForensics och FTK Imager, för undersökning om programmen skiljer sig åt vid förändringar i det volatila minnet.
Detta arbete inriktar sig enbart på användning av IT-forensiska verktyg på
operativsystemet Windows 10 samt hur RAM-minnet påverkas vid kontamination.
Eftersom detta inte påträffats i tidigare arbeten blir detta arbete unikt.
5
Problemställning
2 Problemställning
2.1 Frågeställningar
- Hur kontamineras RAM vid användning av IT-forensiska verktyg?
- Vilka blir konsekvenserna av kontaminationen?
2.2 Problemdiskussion
I samband med en live-respons på ett körande system och att därigenom skapa en RAM-dump på en enhet kan vissa svårigheter uppstå, som exempelvis vara
medveten om vad för volatil data det som utsatts för kontamination. Är det data som kan vara viktig i en utredning? Målet för detta arbete handlar om att förstå och se kopplingar mellan vilken volatil data i en utredning av en suspekt enhet som är viktig.
Vidare, kommer det bli svårt att utläsa delar av minnet? Och kommer detta påverka redovisningen senare i resultatet? Kommer vi kunna förtydliga vad som egentligen har kontaminerats i det volatila minnet, eller kan det bli svårt att se? Kan
OSForensics och FTK Imager utläsa delarna av RAM-minnet på ett korrekt sätt?
Det som nämns i ovanstående stycke är ofta vanliga problem för en IT-forensiker, men om det drabbar oss får isåfall tas itu efter experimentet. Utförande och
analysering av RAM-dumpar kommer att utföras repeterade gånger, vilket kan bli en tidskrävande process, men är något som krävs för att få ett uppriktigt och utförligt resultat.
Den allra viktigaste frågan vi ställer oss fokuserar kring om kontamination är ett stort problem eller inte. Så länge experimentet utförs med noggrannhet borde inte detta vara ett problem. Regelbundna avbilder och dokumentationer när datorn är i drift anser vi kommer vara tillräckligt för att undvika eventuella felmarginaler.
7
Teori
3 Teori
3.1 Datainsamling
Datainsamling innebär insamling av information som är relevant för en utredning.
Innan en utredning börjar måste datainsamling ske, just för att förstå hur händelsen i fråga inträffade samt att materialet för lösningen skall finnas tillgänglig [13].
Det är en del krav som ställs på en IT-forensiker för att få fram korrekta tekniska bevis. Informationen måste samlas in på ett juridiskt korrekt sätt, då denna information kan vara känslig elektronisk data som måste hanteras på ett
kontrollerat sätt för att skydda integriteten. Om bevismaterial samlas in på felaktigt sätt anses detta som ett brott mot lagen, då kan dessa bevis inte längre anses
pålitliga och misskrediteras direkt.
Brott mot integritet motsvarar inom IT bland annat dataintrång. I Sveriges lagbok är
brottet med under Brottsbalkens kapitel BrB 4:9c. [19].
Vidare är det vanligt att för mycket data samlas in för att hinna granskas, då
datalagringskapaciteten vanligen är stor. Det är då vanligt att dela in data i tre olika områden, för att effektivt kunna fokusera och hinna med det område
datainsamlingen behöver ske på [13]:
• Värdbaserad information består av bevis i loggar och dokument, som exempelvis systembackups, vilket kan ge bevis på att en viss händelse inträffade vid en specifik tidpunkt. Informationen kan även visa vilka program som är aktiva på systemet, även öppna portar med mera. Metoden för detta sker genom volatil datainsamling för att få fram bevis som annars inte hade gått att få fram när systemet är avstängt.
Denna volatila data kan vara avgörande för att få fram den kritiska informationen som behövs för att lösa en utredning.
• Nätverksinformation består av bevis i loggar från nätverket, som exempelvis IDS- loggar, övervaknings-loggar, brandväggs-loggar och router-loggar. Det är vanligt att stora organisationer utför denna typ av undersökning för att bekräfta misstankar kring en eventuell incident på datasäkerheten.
• Övrig information är bevis från människan som innebär vittnesmål, i form av att samla in personalfiler och förhöra anställda samt vittnen.
Teori
9
3.2 Live-respons
Värdbaserad information var fokus i detta arbete, men nätverksinformation kan även förekomma. För att kunna samla in denna typ av information måste en live- respons utföras, vilket motsvarar insamling av information från ett körande system, där volatil data kan samlas in. [13]. En live-respons är ett mycket givande
tillvägagångssätt för insamling av levande flyktig data. Det är däremot inte bara volatil data som kan samlas in under en live-respons, utan även cacheprocesser och systemloggar. Denna minnesanalys är viktig för en IT-forensiker då det kan leda till framläggande av bevis för en utredning som annars inte kunnat upptäckas på den vanliga lagringen [16].
Tillvägagångssättet för insamlingen av volatil data är med hjälp av ett USB-minne och går oftast på några minuter beroende på hur mycket data som ska samlas in.
Därefter kan en annan analysmetod komma till användning, nämligen en
minnesbildanalys, där de volatila uppgifterna undersöks på en måltavla. Slutligen är det vanligt att en virtualiseringsteknik används för avbildningen. Detta resulterar med en kopia av RAM-minnet som ska undersökas och på så sätt kan användaren samla in den viktiga informationen utan att kontamination sker på huvudsystemet.
Delar av denna information kan vara väldigt betydande för utredaren då den kanske inte hade kunnat uppnås i den verkliga miljön. Samtidigt kan det vara en mer
tidskrävande process med virtuella verktyg då ofta flera förändringar måste göras i den verkliga miljön [16].
Nackdelen med en live-respons är att det kan vara en utmaning att samla in data från RAM-minnet eller minnesdumpar med hjälp av IT-forensiska verktyg. En live- respons kan utföras på tre olika sätt [13]:
• Inledande live-respons innebär att enbart volatil data samlas in från ett mål eller offersystem.
• Djupgående respons innebär insamling av de volatila uppgifterna som behövs för att uppfylla en noggrann responsstrategi. Här kan även icke-volatil
information samlas in för att få en tydligare förståelse av händelsen, med exempelvis loggfiler.
• Fullständig live-respons innebär en fullständig utredning och insamling från ett körande system. Detta utförs när en IT-forensiker ska utföra en forensisk avbild av ett lagringsmedium, vilket kräver att systemet är avstängt.
Teori
3.3 Volatilt minne
I volatila minnen finns den volatila data som avtar när strömförsörjningen är avstängd, således inte lagrad data uppdateras regelbundet. [18]
Då minnesstorleken snabbt ökas, rekommenderar IT-forensiska utredare användning av tekniken live-respons för att åstadkomma flyktiga bevis. Genom denna teknik gäller inte bara insamling av information om levande processer, utan även information om avslutade cache processer [13].
Volatila minnen, såsom DRAM behöver en konstant strömförsörjning för att inte förlora data, medan icke-volatila minnen som Flashminnet inte behöver någon konstant strömförsörjning för att bibehålla sin data [18]. DRAM används idag i stor utsträckning inom digitala enheter och är huvudminnet i datorer och dylikt där det krävs ett minne med hög kapacitet. DRAM-moduler kan i det moderna samhället vara uppemot 256 GB, vilket genomförs med metoden “Die-stacked”. Denna utveckling av DRAM-moduler har överträffat tekniken som finns tillgänglig, vilket leder till att applikationer och enheter tvingas anpassa sig därefter. För närvarande har de flesta enheter ytterligare inbyggda mekanismer för minnesallkoleringen för att bistå DRAM-data till disken vilket leder till att data upprätthåller sin persistens.
[12]
Överlag är DRAM inte direkt adresserbar från användar- eller kärn läge. DRAM styrs istället av en on-chip-minnesstyrenhet, som ser till att hantera och dirigera
tillgången till on-pack eller off-chip DRAM [18].
Att hitta volatil data vid en RAM-dump gör arbetet för en IT-forensiker mer
hanterbart vid analys av den data som utvunnits. Som IT-forensiker behövs det inte alltid ta ut all data som kan komma att hittas på en enhet vid en RAM-dump. Istället läggs det ett fokus på att som en IT-forensiker försöka hitta bevis i den volatila data som är intressant på en misstänkt enhet för utredningen, även kallat metadata [6].
När väl den volatila informationen utvunnits kommer det sedan ske analys av RAM- dumpen och vanligtvis innehåller den data som inloggade användare, körande processer och tjänster, systemlösenord [6], internethistorik [11],
nätverksanslutningar [13] och i vissa fall dekrypteringsnycklar för krypterade volymer såsom BitLocker och TrueCrypt [17].
RAM-minnet är systemets temporära arbetsutrymme som lagrar kod, inställningar och viktig data för att stödja systemets primära kärna (processor). Det volatila minnet upprätthålls endast av en strömkälla, vilket innebär att utan strömtillförsel töms minnet och data försvinner [6].
Teori
11
3.4 Icke-volatilt minne
Icke-volatila minnen behåller information som lagras även när strömförsörjningen är avstängd. Det finns olika typer av dessa minnen såsom ROM, flash-minne och EEPROM [3]. Vidare finns även icke-volatila datalagringsenheter som exempelvis hårddiskar och optiska skivor. De icke-volatila minnen som existerar behöver inte strömförsörjning till skillnad från exempelvis DRAM. Däremot jobbar dessa minnen tillsammans med flash-minnet som är dagens dominerade solid state-minneskrets.
DRAM är snabbare än ett flash-minne, men samtidigt dyrare [18].
Icke-volatila minnen är idag mycket pålitliga och installeras med en mikrodator, samt nästintill all modern elektronisk utrustning [18].
Metod
13
4 Metod
Metodval för utförande av denna undersökning är att genom experiment påvisa hur mycket kontamination som sker vid utvinning av RAM-minnet, för att slutligen redovisa hur mycket förändringar som skett i det volatila minnet. För att hitta denna information som efterfrågas vid en undersökning går det att genomföra olika
metoder genom varierande verktyg. Exempel på detta är sökningar av
teckensträngar, grep-sökningar samt sökningar av algoritmer, vilket går att utföra i Linux och OSForensics [7]. Utförandet av RAM-dumparna genomförs av de IT- forensiska verktygen FTK Imager och OSForensics, samt analysering av dessa i Volatility och HxD Hex Editor. Detta för att åstadkomma och påvisa konsekventa resultat om vad som förändras i det volatila minnet.
Planläggning av experimentet utförs genom att förbereda den mjukvara och
hårdvara vi ska använda oss av, samt utforma hur tidsintervallen [Figur 1] för RAM- dumparna ska se ut. Därefter kommer vi att genomföra RAM-dumparna i en virtuell miljö då experimentet ska utföras på ett kontrollerat och säkert sätt, för att sedan kunna påvisa förändringar i det volatila minnet för olika tidpunkter. Anledning till valet av virtuell miljö är på grund av funktionen ögonblicksbilder, vilket gör det möjligt att skapa en avbild av systemets nuvarande tillstånd och därmed få ut trovärdiga resultat utan risk för felmarginaler. Vidare sker analysering av RAM- dumparna och slutligen presenteras ett resultat.
4.1 Uppbyggnad för tillämpad metod
Metodvalet innefattar en litteraturstudie som består av noggrann granskning av vetenskapliga artiklar, journaler och litteratur. Denna litteraturstudie ska bistå med metoder för att svara på samtliga frågeställningar så bra som möjligt. Vidare
fortskrider metoden genom en inriktning på litteraturstudie av vetenskapliga artiklar där det relevanta ämnet IT-forensik tas upp och diskuteras. I samband med att vår litteraturstudie utförs kommer även en kvalitativ studie att utföras [4.2 Dataanalys av kvalitativ data]. Denna utförs med syfte att få inblick i en IT- forensikers vardag samt för att leverera ett bra resultat till denna studie.
Vid litteraturstudie av vetenskapliga artiklar [9,17] där liknande experiment på det volatila minnet utförts som är relevanta för vårt ämne, har vi inte lyckats hitta experiment av detta slag som utförts på en maskin med operativsystemet Windows 10. Detta leder fram till att vi vill påvisa förändringar i det volatila minnet med just Windows 10. Något som är unikt och nytt, men som i dagens läge även är av stor vikt då detta operativsystem är det nuvarande som är i drift.
Metod
Esan P. Panchal [6] undersöker hur det volatila minnet kan utvinnas och hur det ska bevaras för att slutligen analyseras. Det Esan P. Panchal utfört i sin studie är att ta reda på om det går att utvinna volatil information som vid live-respons är målet inom IT-forensik. I studien listar och beskriver Esan P. Panchal olika verktyg som gör denna typ av undersökning möjlig. Ett verktyg som nämns och som är stor vikt för oss är Volatility. Volatility ger möjlighet till att med hjälp av ett grafiskt
gränssnitt analysera RAM-dumpar på ett strukturerat sätt [6].
Majeed et. al [1] fördjupar sig i möjligheterna om att hitta spår av applikationer som används av ett system, exempelvis Skype, Facebook med mera. För att genomföra detta experiment har Majeed et. al använt sig av IT-forensiska verktyg som FTK Imager för dumpning av det volatila minnet. Vidare går de in på var spår av dessa applikationer påträffas i det volatila minnet och var avtrycken för användning av applikationerna påträffas. Deras metodval för genomförandet av RAM-dumparna samt analysering av dumparna är för oss en stor byggsten i vårt egna experiment om hur vi skall gå tillväga för att genomföra RAM-dumparna och därefter analysera dessa på bästa sätt.
Efter insamling och utförande av detta experiment måste denna information
behandlas samt analyseras i riktning för det angivna ändamålet [14]. Detta innebär rent praktiskt klassificering samt bearbetning av den insamlade informationen för vidare analysering [14].
För att kunna säkerställa ett bra resultat kan det vara nödvändigt att utföra ett flertal experiment, detta för att kunna fastställa ett så noggrant resultat som möjligt.
Utförandet av experimentet kommer att ske genom jämförelse av olika forensiska verktyg vid utvinning av RAM-minnen, för att därefter bedöma vilket program som förändrar det volatila minnet mest. Analysering av RAM-dumpen sker slutligen genom tidigare nämnda verktygen, samt en analys av filen i operativsystem Linux.
Metoden består av följande steg:
• Installation
• Utvinning
• Analysering
• Fastställande av resultat
Metod
15
4.2 Dataanalys av kvalitativ data
Kvalitativ dataanalys innefattar genomförande av en intervju med en person som har god kännedom kring detta ämne, i detta fallet en IT-forensiker på
Polismyndigheten i Halmstad.
Varför valet av att genomföra en kvalitativ metod är för att få en mindre och mer korrekt målgrupp för just det valda ämnet. Intervjun genomfördes med syfte att skapa oss en verklig bild av vilka verktyg som används inom IT-forensiken, vilket bidrog till val av IT-forensiska verktyg för genomförandet av experimentet. Detta gjorde även arbetet mer intressant och gynnade våra frågeställningar, samt gav oss en bättre förståelse i hur våra resultat kunde jämföras med verkliga resultat i arbetslivet. Intervjun genomfördes via mejl efter önskan från Jonas Johansson.
Nedan presenteras en sammanställning av intervjun.
Jonas Johansson, Polismyndigheten Halmstad.
IT-forensiker sedan år 2013.
Enligt Jonas är de vanligaste IT-forensiska verktygen FTK Imager och OSForensics.
FTK Imager används för utläsning av minnet och OSForensics för analys av en RAM- dump, med hjälp av verktyget Volatility. Även verktyget Passware används med ändamål att dekryptera lösenordsskyddade objekt. Han anser också att dessa program lämpar sig bäst i praktiken för en IT-forensisk miljö. För att sedan göra en RAM-dump berättar Jonas att det vanligaste sättet är användning av FTK Imager från en USB-sticka. Här är det viktigt att välja rätt filsystem då många datorer har mer minne än vad exempelvis en FAT32-formaterad sticka kan hantera.
När vi sedan kommer in på själva undersökningen och hur bevismaterialet ska samlas in, berättar Jonas att själva beslagtagandet oftast samlas in av polispersonal på plats. Detta på grund av att de fått en viss utbildning i vad personalen skall vara uppmärksam på om datorn i fråga är igång, gällande exempelvis kryptering och fjärrstyrning. Det är först när osäkerhet kring datorns konfiguration eller status uppstår som en IT-forensiker ska rådfrågas eller bli kallad till platsen. När själva undersökningen är färdig får vi reda på hur det vanligaste sättet för att samla in resultat går till, samt vilket som är det mest användbara sättet. Jonas berättar då att det mest värdefulla i en RAM-dump är möjligheten att få fram data för att öppna upp en krypterad disk/volym. När vi ändå är inne på resultat av RAM-dumpar berättar Jonas att i vissa fall, då din dator och den beslagtagna låsta datorn är utrustad med Firewire-port, kan lösenordet “blankas” med hjälp av programmet ”Inception” (som används på din egen dator), och sedan logga in med valfritt lösenord. Jonas berättar att detta är en klassisk lösning vid ett skarpt läge.
Metod Vidare pratar Jonas om hur de arbetar för att undvika kontamination och även hur incidenter hanteras, beroende på sammanhanget. Han menar då på att uppstart av program och processer inte ska göras i “onödan”, utan istället försöka minimera användandet av datorn i fråga. Visserligen måste ibland programvara köras för att kunna dumpa minnet och samtidigt kunna fastställa om några krypterade volymer finns aktiva, men att själv förändra så lite som möjligt är viktigt då informationen kan vara bevis. När vi ändå är inne på kontamination kommer vi in på
bevishantering. Jonas berättar att bevis oftast förekommer i hårddiskar till skillnad från RAM-minnet, och anledningen till detta beror på att bevis oftast finns i
hårddiskar, då de allra flesta undersökningar utförs på enheter som vid beslagtagandet varit avstängda. Vidare kommer vi in på hur hantering av en eventuell live-respons på ett körande system hos en suspekt individ ska tas hand om. Här menar Jonas på att det gäller att ha kontroll på vilka processer som är aktiva, samt kolla schemalagda aktiviteter med “schtasks.exe” i Windows.
Slutligen berättar Jonas om hur hantering av dokumentation utförs vid bevishantering, med inriktning på chain of custody och checksummor. Jonas berättar att vid beslagtagandet noteras datum/klockslag, placering i lokalen,
beskrivning av beslaget samt vem som gjort beslaget. Den beslagtagna utrustningen ges sedan ett nummer, exempelvis ”2018-5000-BG123456-1”. All hantering av beslag registreras med datum/klockslag, person och lagerplats. Checksummor beräknas istället vid kopieringen och eventuella avvikelser på grund av skakade sektorer noteras.
17
Experimentuppställning
5 Experimentuppställning
Tillvägagångssättet för utförande av experimentet är noggrant utvald mjukvara och hårdvara för att påvisa förändringar i det volatila minnet. Detta utförs med hjälp av en virtuell miljö då det finns möjlighet att skapa ögonblicksbilder med det virtuella program vi använder oss av. Operativsystemet som används är Windows 10
Enterprise Version 201802 image. Den virtuella maskinen kommer att bestå av 1024 MB (1 073 741 824 Bytes) RAM-minne.
Vidare var tillvägagångssättet jämförelse av samtliga RAM-dumpar för påvisning om att förändringar i volatila minnet är samma process för programvarorna FTK Imager och OS Forensics. Det har skapats tre RAM-dumpar under olika tidsintervall [Figur 1] av diverse programvaror. Nedan följer en figur som visar en översikt av
tidsintervallen:
Figur 1. Översikt av tidsintervallen av den experimentella metoden för skapning av RAM- dumparna.
5.1 Förberedelse
Verktyget för virtualiseringen som valdes var Oracle VM Virtualbox 5.2.10. Denna virtuella maskin valde vi på grund av funktionen ögonblicksbilder som finns tillgängligt och var till stor vikt för att kunna genomföra experimentet under kontrollerade förhållanden. Ögonblicksbilder är en funktion där det skapas en realtidsbild av systemets tillstånd och nuvarande driftstatus i den stund ögonblicksbilden sker. Virtualbox valdes även då vi är bekväma med denna virtualiseringsmjukvara sedan tidigare.
För att få fram ett basvärde av hur mycket kontamination som är rimligt
genomfördes först ett jämförelsetest. Syftet med detta test var att se hur mycket det volatila minnet förändras utan någon som helst användning av systemet under det angivna tidsintervallet [Figur 1]. Till skillnad från huvudexperimentet startades maskinen endast upp och står helt orörd under tidsintervallen. Det användes med andra ord inga program eller processer, förutom de som är standard för systemet.
Den fil som användes för att genomföra detta testet är en .vmem fil, det vill säga en virtuell minnesdump. Denna fil är en form av en RAM-dump, men som istället
Experimentuppställning
19
För utförandet av experimentet valde vi mjukvara efter noggrann granskning av trovärdiga vetenskapliga artiklar [6,8,9,15], som drar slutsatser om att denna mjukvara är pålitlig. Mjukvaran som valdes är FTK Imager Version 4.2.0 och
OSForensics Version 5.2.1007 för utförandet av RAM-dumparna. Anledning till valet av dessa programvaror grundar sig på bra synpunkter från användare samt att vi var bekväma med FTK Imager sedan tidigare. Vad som skiljer dessa programvaror åt jämfört med andra program är att FTK Imager sägs vara den mest effektiva och pålitliga programvaran när det kommer till RAM-dumpar [17,18]. Vi valde
OSForensics främst på grund av det grafiska gränssnittet, det vill säga att kunna granska vad som finns i RAM-dumpen med hjälp av verktyget Volatility som finns implementerat i mjukvaran [6]. Den gemensamma nämnaren hos programvarorna var att utvinning av det volatila minnet kunde ske och därefter påvisa
kontamination i det volatila minnet med hjälp av analyseringsverktyg.
Då filerna från RAM-dumparna var lika stora, medför detta att vi inte fick ut någon skillnad om dessa inte jämfördes i bits. För att göra denna jämförelse av filerna använde vi integrerade kommandon i Linux vid namn cmp och wc [Figur 2]. Till dessa kommandon finns det parametrar som vi valde att tillföra. För cmp valde vi parametern “-l” vilket gav oss värden för bytes som skiljer sig åt [20]. Därefter används wc, även denna med parametern “-l” för att skriva ut antalet rader [21].
Kommandot som användes var följande:
cmp -l A B | wc -l >> Z
Figur 2. Kommando som används för jämförelse mellan två filer, skiljande i bytes.
I denna formel är konstanterna A och B de RAM-dumpar som skall jämföras. För att vi ska se jämförelsen av filerna, sparades utdatan till en textfil med konstanten Z.
För att sedan få ut den procentuella skillnaden mellan dump-filerna använde vi en funktion vid namn XOR som betecknas ⊕ [9]. Denna funktion utför en jämförelse av binära filer genom att använda sig av två parametrar, exempelvis A och B. Vidare används XOR på så sätt att två binära filer jämförs. Utdatan för denna jämförelse kommer då antingen bli en etta eller en nolla (A ⊕ B) för varje rad i filen. Låt säga att A består av en nolla och B av en etta, då blir XOR funktionens utdata en etta som indikerar på skillnad. Skulle både A och B bestå av ettor eller nollor blir utdatan av XOR en nolla, vilket indikerar på ingen skillnad.
Experimentuppställning
För att vidare skapa den procentuella skillnaden mellan dump-filerna använde vi en matematisk formel [Figur 3]. Konstanterna A och B motsvarande två dump-filer och där byte skillnaden lades in som man fått fram av kommandot cmp [Figur 2].
Därefter dividerades denna byte skillnad med den totala mängden RAM som fanns på enheten, för att slutligen multiplicera det med 100 för att få fram en procentuell enhet.
Figur 3. Matematisk formel för beräkning av den procentuella kontaminationen
5.2 Genomförande
Jämförelsetestet är precis som vårt huvudexperiment uppdelat i tre moment där det vid olika tidsintervall [Figur 1] genererades RAM-dumpar som innehöll den virtuella maskinens volatila minne vid just den tidpunkt denna fil skapades, det vill säga .vmem filen. När den virtuella maskinen sedan startades upp skapades den första .vmem filen genom menyn "Debug" och därefter "Kommandorad...", följt av kommandot ".pgmphystofile" [11]. Detta för att spara det volatila minnet till den angivna filen, vilket genomfördes vid samtliga tidsangivelser enligt tidsintervallet.
Efter att de tre .vmem filerna genererades som behövdes för vårt jämförelsetest kunde analys [Figur 2, Figur 3] av dessa utföras med ändamål att få fram hur mycket kontamination som är rimligt att ske på en maskin under en tidsbestämd period.
Huvudexperimentet var uppdelat i tre moment där det vid olika tidsintervall [Figur 1] skapades RAM-dumpar av systemet. Det första steget i experimentet var att direkt vid start generera en ögonblicksbild för att få systemet i exakt samma tillstånd för nästkommande RAM-dump. Därefter genererades första RAM-dumpen i form av en fil med filändelsen .mem, och sparades därefter över på ett externt
lagringsmedia. Vidare efter att .mem filen sparades över laddades ögonblicksbilden in som tidigare skapats. Därefter hibernerades den virtuella maskinen i 15 minuter för att därefter generera RAM-dump 2. Innan andra RAM-dumpen skapades
genererades en ny ögonblicksbild, då syftet med experimentet är att påvisa
kontamination, samt att åstadkomma så många mätvärden som möjligt och leverera ett pålitligt resultat. Andra RAM-dumpen skapades nu och filen .mem, sparades likaså här över på ett externt lagringsmedia. Då jämförelse skedde mellan RAM- dump 1 och RAM-dump 2, följt av RAM-dump 2 och RAM-dump 3 laddades därefter den andra ögonblicksbilden in och den virtuella maskinen hibernerades i ytterligare 15 minuter. Slutligen var det dags för tredje och sista RAM-dumpen att skapas. Filen,
Experimentuppställning
21
Nu kunde vi jämföra två dump-filer i taget och tänkte därför eftersom vi har 3 st dump-filer för varje program att vi jämförde start mot pågående, sedan pågående mot den sista. Detta gjordes för att kontrollera om det skett kontamination i den enskilda programvaran där RAM-dumparna har genererats. Vidare behövde vi kontrollera kontaminationen genom att jämföra RAM-dump 1 av diverse IT- forensiskt program gentemot varandra för att se ifall det redan där gick att påvisa skillnader i det volatila minnet som har utvunnits. Detta gjordes också för RAM- dump 2 och slutligen RAM-dump 3.
Vid genomförandet av det första praktiska experimentet som vi valde att utföra med FTK Imager Version 4.2.0 startade vi upp den virtuella maskinen med den första ögonblicksbilden och skapade våra dump-filer enligt tidsintervallet [Figur 1]. Dump- filerna skapades i programvaran genom funktionen “Capture memory”. Detta genererade då en .mem fil som sparades över på ett externt lagringsmedia för senare analys.
Då vi hade våra ögonblicksbilder att utgå ifrån genomfördes samma process för OSForensics. I OSForensics 5.2.1007 skapades RAM-dumparna av det volatila minnet genom funktionen “Memory Viewer” och därefter “Dump Physical Memory”.
Detta kom då att generera en .mem fil. Dessa filer som skapats under tidsintervallet [Figur 1] sparades sedan över på ett externt lagringsmedia för senare analys.
Resultat
23
6 Resultat
Till att börja med kommer redovisning av jämförelsetestet ske då vi ville jämföra hur mycket kontamination som skett på en virtuell maskins volatila minne både utan och med IT-forensiska verktyg. För detta jämförde vi våra tre .vmem filer [Figur 2, Figur 3] som genererats enligt tidsintervallet [Figur 1] och presenteras i Tabell 1 och Diagram 1:
Tid (minuter)
Förändring (Bytes) Procent (%)
0
0
0
15
24353651
2,27
30
33930957
3,16
Tabell 1. Tabell över jämförelse-testets förändringar över angivna tidsperioder. Hänvisar till Bilaga B.
Diagram 1. Översiktlig förändring i jämförelse-testet i procent från 0–4 %. Hänvisar till Bilaga B.
Resultat Det som kan konstateras från huvudexperimentet av samtliga RAM-dumpar gjorda av programvarorna FTK Imager och OSForensics på det volatila minnet var att förändringar skett på systemet, både vid jämförelse av olika program samt vid jämförelse av program mot program. Skillnaden var att det hade skett större förändring vid användning av enskilda program, framförallt för OSForensics, men även för FTK Imager vid olika tidsintervall [Diagram 2]. Det blev mer förändringar på OSForensics ju längre processen pågick [Tabell 5]. I Diagram 2 följer en
redovisning av det fullständiga resultatet av samtliga RAM-dumpar gjorda av båda programvarorna:
Diagram 2: Översiktlig förändring i procent från 0–15 %. Hänvisar till Bilaga B.
Det första verktyget, FTK Imager, visade mindre kontamination (8,54 %) jämfört med vad OSForensics gjorde (14,61 %). Jämförelse av program mot program, det vill säga FTK Imager mot OSForensics visade endast en total skillnad på 8,09 %.
Resultat
25
Det som kan konstateras vid användning av FTK Imager och vid den första RAM- dumpen, som skedde efter 0 minuter användning, var att ingen kontaminering skett.
Efter 15 minuter skedde däremot förändringar i det volatila minnet, närmare bestämt 4,11 %. Slutligen efter 30 minuter hade ytterligare förändringar påvisats, 4,43 %. Tabell 2 visar tydligare på förändringen i tidsintervallet 0–30 minuter:
Tid (minuter)
Förändring (Bytes) Procent (%)
0
0
0
15
44236046
4,11
30
47572725
4,43
Tabell 2. Resultat för FTK Imager över förändring i det volatila minnet över angivna tidsperioder. Hänvisar till Bilaga B.
Resultat Programvaran OSForensics visade ännu tydligare förändringar i minnesstrukturen [Tabell 3] jämfört med vad FTK Imager gjorde under samma tidsintervall. Från start visade programvaran på 0 % förändring precis som FTK Imager. Efter 15 minuter var det relativt mycket skillnad, 5,59 %. Efter 30 minuter visades den mest
procentuella skillnaden från alla jämförelser som utförts, närmare bestämt 9,02 %.
Detta resulterade i att FTK Imager inte kontaminerar lika mycket som OSForensics gjorde, vilket betyder att OSForensics kan komma att vara mindre effektivt vid en RAM-dump då den visar på mer förändringar i det volatila minnet. Att det skett en förändring på 9,02 % från RAM-dump 2 till RAM-dump 3 bevisade att viktig information som kan vara betydande för en utredning kan ha utsatts för
kontamination. Här följer en tabell [Tabell 3] som visar tydligare på förändringen i tidsintervallet 0–30 minuter vid användning av OSForensics:
Tid (minuter)
Förändring (Bytes) Procent (%)
0
0
0
15
59970664
5,59
30
96851760
9,02
Tabell 3. Resultat för OSForensics över förändring i det volatila minnet över angivna tidsperioder. Hänvisar till Bilaga B.
Resultat
27
Vid den slutliga jämförelsen, där vi istället jämförde programvarorna mot varandra, det vill säga RAM Dump 1-3 i FTK Imager och RAM-dump 1-3 i OSForensics, för att se vilket program som bidrog till mest kontamination. Då fick vi reda på hur programvarorna skiljer sig åt med hjälp av att se hur mycket information varje program tar med [Tabell 5]. Tabell 4 visar denna förändring.
Tid (minuter)
Förändring (Bytes) Procent (%)
0
18139381
1,69
15
32341646
3,01
30
35176065
3,39
Tabell 4. Resultat för FTK Imager mot OSForensics över förändring i det volatila minnet över angivna tidsperioder. Hänvisar till Bilaga B.
Resultat För att ge en mer översiktlig illustration över de totala förändringar som skett i det volatila minnet från RAM-dump 1 - 3 från de IT-forensiska mjukvarorna, FTK
Imager och OSForensics, redovisar vi detta med ett diagram samt en tabell [Diagram 3, Tabell 5].
Diagram 3. Illustration över förändringen i det volatila minnet från RAM-dump 1 - 3.
Resultat
29 Programvara
Dump 1-Dump 2 Förändring (Bytes)
Procent (%) Dump 2-Dump 3 Förändring (Bytes)
Procent (%)
FTK Imager 4.2.0
44236046
4,11
47572725
4,43
OSForensics 5.2.1007
59970664
5,59
96851760
9,02
Tabell 5. Resultat från de IT-forensiska mjukvarorna med 3 RAM-dump-filer. Hänvisar till Bilaga B.
När jämförelse av programvarorna emellan utfördes, det vill säga RAM-dump 1 - 2 och RAM-dump 2 - 3, visar FTK Imager en kontinuerlig förändring när RAM-
dumparna sker. Däremot i OSForensics ökade förändringen i det volatila minnet betydligt mer än vad samma dump på samma tidsintervall gjorde i FTK Imager. Då det skedde en markant ökning av förändring i minnet med OSForensics gjorde detta oss förvånande. Då FTK Imager var betydligt mer stabilt dumparna emellan jämfört med OSForensics var detta inget vi förväntade oss. Eftersom OSForensics nästintill var det dubbla efter 30 minuter jämfört med vad det först var efter 15 minuter krävde detta en mer noggrann analys som redovisas nedan, om vad det faktiskt var som kontaminerats och varför denna förändring har skett. Detta bidrog till följande fundering: varför sker det mer förändringar på OSForensics självt [Tabell 3] jämfört med när vi jämförde program mot program [Tabell 6]?
Resultat När vi därefter jämförde programvaran mot varandra [Diagram 4] var det betydligt mindre förändringar jämfört med det tidigare resultatet [Tabell 5]. När dumparna av respektive mjukvara jämfördes mot varandra fick vi ut ett tydligt resultat på att programvaran var väldigt lik i sin process vid skapande av RAM-dumpar. Eftersom OSForensics nästintill var det dubbla efter 30 minuter än vad det först var efter 15 minuter kräver detta en mer noggrann analys om vad det faktiskt är som
kontaminerats och varför denna förändring har skett.
Diagram 4. Illustration över förändringar i det volatila minnet från RAM-dump 1 – 3 programvarorna mot varandra. Hänvisar till Bilaga B.
Resultat
31 Programvara
Dump 1 - Dump 1 Förändring (Bytes)
Procent (%)
Dump 2 - Dump 2 Förändring (Bytes)
Procent (%)
Dump 3 - Dump 3 Förändring (Bytes)
Procent (%) FTK Imager
4.2.0 mot
OSForensics 5.2.1007
18139381
1,69
32341646
3,02
35176065
3,39
Tabell 6. Resultat vid jämförelse av mjukvarorna emellan. Från RAM-dump 1 - 3.
När analys av programvarorna emellan utfördes blev resultaten förvånansvärt bra.
Då det endast skiljde 1,69% procent mellan RAM-dump 1 av diverse program visade att både FTK Imager och OSForensics var lika i sin process med att dumpa det volatila minnet av en enhet, vilket den lilla procentskillnaden också visar på. Det som kan komma att påverka den stora procentskillnaden i ovanstående resultat [Tabell 5] var att OSForensics förmodligen fick med mer information i skapandet av RAM-dumparna jämfört med FTK Imager. Som anges i ovanstående tabell [Tabell 6]
var det en ökning av nästintill det dubbla mellan RAM-dump 2 av diverse program vilket kan hänvisas till att det sker kontinuerliga förändringar i det volatila minnet utan någon påverkan på systemet [Diagram 1]. Vid jämförelse av de sista RAM- dumparna, dump 3 mot 3 blev det endast en ökning av 0,37%. Då de procentuella skillnaderna programvarorna emellan var så pass låga bevisar att programvarorna är väldigt lika i sin process vid skapandet av RAM-dumpar.
Resultat
6.1 Vad förändrades i det volatila minnet?
När den procentuella skillnaden sedan var färdig var nästa steg att granska vad som hade kontaminerats. Detta utfördes med hjälp av verktyget Volatility i OSForensics, där ett flertal kommandon kan göras, bland annat sökning på specifika filer, körande processer och IP-adresser. Vidare använde vi FTK för ytterligare String-sökning.
Slutligen granskade vi vad som hade kontaminerats med hjälp av “file-compare” i en HxD Hex Editor, där två filer läggs in i programvaran och jämförs.
Den mest relevanta informationen som hade förändrats var drivrutiner och IP- adresser. Det var häpnadsväckande hur många bakgrundsprocesser som var aktiva trots att ett system är inaktivt. Något som också var förvånande var hur lätt det är att få fram exakt vad som gjorts på systemet under en viss tid genom samtliga tidsstämplar som loggas, samt vilket användarnamn som gjort vad medan det volatila minnet varit aktivt.
Den vanligaste förändringen som gjordes vid jämförelse av samtliga RAM-dumpar var filer som låg på operativsystemet. De filer vi noterade som försvunna var följande:
• Spaceport.sys. En Windows drivrutin som är en viktig del av
operativsystemet. Denna drivrutin hade kontaminerats från RAM-dump 2 i FTK Imager men fanns på övriga RAM-dumpar.
• Mpksl. En drivrutin som används av Microsoft Security Essential. Denna drivrutin hade kontaminerats på RAM-dump 1 i FTK Imager, men fanns på de övriga RAM-dumparna.
• Rtcdyn.mdf. En användarfil som registreras i en transaktionslogg om vad användaren har utfört på systemet. Denna fil hade kontaminerats från RAM- dump 1 i FTK Imager men fanns på övriga RAM-dumpar.
• Ett flertal IPv4 adresser saknades på RAM-dump 1 i OSForensics som fanns på övriga RAM-dumpar för samma program. Detta bevisar att OSForensics inte alltid lägger fokus på samma ställen i minnesstruktren vid skapande av en RAM-dump.
• Ett flertal TCPv4 adresser fanns med på RAM-dump 1 i FTK Imager men inte på övriga RAM-dumpar.
• Mutexobjekt. Detta är ett synkroniseringsobjekt vars tillstånd är att signalera när denna inte ägs av någon tråd. Mutexobjekt hittades på RAM-dump 2 i OSForensics men inte på de övriga dumparna.
• VBoxGuest. En drivrutin som består av systemprogram som optimerar operativsystemet för bättre prestanda och användbarhet. Denna drivrutin
Resultat
33
• Crash dump. En drivrutin som finns på systemet för att ge åtkomst till disken under en krasch. Denna drivrutin fanns inte med på RAM-dump 2 i FTK Imager, men fanns med på övriga dumpar.
• Kernel memory. Genomsökning av den ökända regionen i kärnans minne.
Här hittades två filer med namnen vmswitch.sys och storport.sys. Dessa filerna fanns inte med på RAM-dump 1 i FTK Imager, men på övriga i FTK Imager.
Vilken av denna information är viktig respektive mindre viktig ur ett IT-forensiskt perspektiv?
Från våra egna erfarenheter vet vi att IP-adresser är väldigt givande information då IP-adressen kopplas till en fysisk plats och därmed en person. Det vi kan konstatera från de bevis på kontaminationen vi har fått ut ser vi att ett flertal IP-adresser har utsatts för kontamination vid användning av de IT-forensiska verktygen. Vidare är användarfiler viktig information vid bevisinsamling då detta kan ge information om vad en specifik användare har utfört på systemet. Ett exempel på detta är
rtcdyn.mdf som hade kontaminerats. Slutligen är Windowsfiler och drivrutiner bland de viktiga bevis som har kontaminerats i vår undersökning. Detta eftersom att denna information är viktig för operativsystem och kan leda till att datorn inte fungerar korrekt om dessa filer/drivrutiner inte finns tillgängliga. I en dator samspelar alla Windowsfiler och drivrutiner. Skulle däremot något av de nämnda försvinna eller inte finnas tillgängliga kan det ge effekt på andra ställen vilket kan leda till kontamination av viktiga bevis vid en utredning.
Diskussion
35
7 Diskussion
I detta kapitel resonerar vi kring incidenter, funderingar och följder som uppstått under arbetets gång. Vi relaterar till litteraturstudier och tidigare experiment inom detta område för att framhäva vårt mål med denna rapport.
De resultat som våra experiment gav var till en början till vår förvåning. Vårt
jämförelsetest gav en procentuell skillnad på 2,27% och 3,16%. Då det skulle ske en förändring i det volatila minnet är vi fullt medvetna om, men att det skulle skilja 2,27% och 3,16% under tidsintervallet utan användning av systemet var
förvånande. Detta resultat kunde vi sedan använda som en grund i nästkommande experiment som kontroll för den förväntade förändringen vid användning av FTK Imager och OSForensics.
Huvudexperimentet gav oss vid analys av RAM-dumparna gjorda av FTK Imager relativt hög kontamination, mer än vad vi förväntat oss, och OSForensics gav en betydligt högre procentuell skillnad [Tabell 5]. Då den procentuella skillnaden i FTK Imager, 4,11% och 4,43% bevisar att i samband med den kontinuerliga
förändringen som sker i det volatila minnet [Tabell 1] och med de förändringar som sker vid skapande av RAM-dumparna med FTK Imager inte har någon direkt
påverkan på systemet. OSForensics hade däremot betydligt högre siffror, 5,59% och 9,02% vilket bevisar att OSForensics inte är lika stabil i sin process i skapandet av RAM-dumpar. Denna stora förändring kan delvis bero på att programstorleken hos OSForensics är större jämfört med FTK Imager, men även att OSForensics fokuserar på olika delar i minnesstrukturen i sin process att dumpa det volatila minnet av ett system.
Hur utvecklingen av vårt experiment skulle gå tillväga var en utmaning, då vi klargjorde tidigt vad vi ville uppnå med arbetet kunde detta fortfarande utföras på olika sätt. Vi ville påvisa förändringar i det volatila minnet för två stycken enskilda program och se hur dessa förändringar skiljer sig åt för olika tidsintervall, samt hur detta behandlas med operativsystemet Windows 10. När vi däremot kommit en bit på vägen frågade vi oss varför vi ska jämföra programmets RAM-dumpar mot varandra. Efter vidare analys valde vi att genomföra detta för att få ett ännu tydligare resultat och försöka ta reda på om programvarorna emellan skiljer sig åt eller ej i processen för utvinning av volatila minnet.
Diskussion Då det ska ske så lite förändringar på systemet som möjligt vid utförandet av RAM- dumparna, var valet av virtuell miljö självklar, då vi med hjälp av detta kan ta ögonblicksbilder och utgå från exakt samma tidpunkt och läge i maskinen från samtliga RAM-dumpar och undvika eventuella felmarginaler. Detta resultatet blir då mer intressant, jämfört med om vi inte hade använt oss av en virtuell maskin samt haft igång processer i bakgrunden vid RAM-dumparna, just för att det hade varit självklart att kontamination hade skett [Diagram 1]. Å andra sidan hade detta varit en intressant studie, just för att granska hur mycket en specifik process kan
förändra det volatila minnet. Däremot kände vi att fokus på hur kontamination sker vid paus av systemet är mer intressant. Anledningen till att vi valde 1GB (1024 MB) RAM-minne på den virtuella maskinen är på grund av metoden som valdes för att jämföra dump-filernas binära uppbyggnad mot varandra är en tidskrävande process och kommandona för detta matades manuellt in i Linux. Valet att begränsa storleken på RAM-minnet till 1GB gjorde att vi på ett mer strukturerat sätt kunde analysera dump-filerna och därmed få ut ett bra resultat på vad det faktiskt är som har
kontaminerats. I moderna hemdatorer finns det stöd för betydligt mer RAM-minne, något som kan vara ett stort problem för IT-forensiker vid analysering av dump-filer vid ett eventuellt brott. Att veta tillvägagångssättet och var en IT-forensiker ska leta efter information gör att eventuella fel undviks vid en live-respons.
Själva analyseringen av RAM-dumpar kan i många fall anses komplicerad då dump- filens innehåll inte står i klartext, utan i binärkod. Detta är en anledning till varför användning av analyseringsverktyg underlättar, då dessa gör det möjligt att få ut data i klartext och avkoda binärkoden som filen består av. Volatility är ett väldigt bra designat program med ett givande grafiskt gränssnitt och inprogrammerade skript som gör det möjligt att utföra kommandon på ett enkelt och smidigt sätt och därmed få ut viktig information om det körande systemet vid en live-respons.
Själva utförandet av RAM-dumparna var en utdragen process, då det var många dumpar som skulle göras på många tidsintervall. För att förtydliga oss om att resultatet av samtliga RAM-dumpar var exakta, gjorde vi experimenten ett flertal gånger. När vi väl hade fått fram samtliga RAM-dumpar, noterade vi att det fanns väldigt många parametrar av de kommandon som vi valt att använda oss av i Linux.
Metoden vi valde för att göra denna jämförelse av filerna valdes efter att vi testat flera olika kommandon och funktioner, såsom WinDiff i Windows 10. Däremot gav denna funktion oss inte riktigt det resultat vi var ute efter och detta ledde till att vi valde att använda oss av cmp och wc kommandot med parametrarna -l på båda.
Dessa valdes på grund av att utdatan av dessa parametrar på diverse kommando gav oss en direkt skillnad på antalet bytes två dump-filer emellan.
