Virtualizao e Computao Forense You Shot The Sheriff 4 Maio/2010 Tony Rodrigues, CISSP, CFCP inv.forense inv.forense arroba gmail ponto com
Quem sou ? Tony Rodrigues, CISSP, CFCP, Security+ Gestor/TI e Consultor em Segurana de Informaes Perito/Investigador em Computao Forense Blog: http://forcomp.blogspot.com
Virtualizao e Computao Forense
Agenda Introduo Adaptando Tcnicas Virtualizao e Computao Forense Forense em Mquinas Virtuais Mquinas Virtuais como ferramentas de Investigao Mquinas Virtuais X Peritos Concluso
Virtualizao e Computao Forense
Mquinas Virtuais Usa software para emular o hardware Um host pode ter vrias mquinas virtuais sendo executadas Vrios sistemas operacionais diferentes coexistindo no mesmo host Facilidade de backup e restore Otimizao do processamento Setup prtico e rpidoA praticidade tambm pode ser usada contra voc !
Virtualizao e Computao Forense
As mais conhecidas
Virtualizao e Computao Forense
Basicamente ... Possuem uma console para gerenciamento das VMs As VMs so arquivos (Configs, Memria e Disco) Permitem dar pause em uma VM Permitem descartar modificaes feitas depois de um ponto de marcao Permitem adicionar devices virtuais que se conectam aos devices reais do host
Virtualizao e Computao Forense
Nas Corporaes Grande aumento no uso de servidores virtualizados Redundncia de servios Ambientes de homologao Concentrao de servidores com baixa carga de processamento Apoio em estratgias de recuperao de desastres Separao de camadas Distribuio de appliances virtuais
Virtualizao e Computao Forense
Mudana de cenrio implica ...
de tcnicas e ferramentas
Virtualizao e Computao Forense
Virtualizao na Computao Forense Forense em Mquinas Virtuais Mquinas Virtuais como ferramentas de Investigao Mquinas Virtuais X Peritos
Virtualizao e Computao Forense
Forense em Mquinas Virtuais O ambiente de investigao composto por uma ou mais mquinas virtuais Operao de Dead Acquisition mais rpida; Possibilidade de Operao de semi-live Acquisition; Memory Acquisition muito mais simples e rpida; Possibilidade de live analysis sem modificaes (uso do snapshot em produo)Virtualizao e Computao Forense
VM como ferramenta forense Forense de Malware Anlise dinmica de imagem forense Pesquisa de Artefatos Appliances Virtuais
Virtualizao e Computao Forense
VMs em Malware Forensics Anlise de Malware Reengenharia x Tempo
Anlise Esttica x Anlise Dinmica Uso de VMs na Anlise Dinmica de Malware
Virtualizao e Computao Forense
VMs na Anlise Dinmica de Imagens Forenses Imagens Forenses Dead Analysis Anlise Dinmica de Imagem Forense Inicializao pela imagem Abordagem Read-Only Perspectiva do Usurio Ferramentas disponveis
LiveView Projeto da Carnegie Mellon University Cria uma VM compatvel com o VMWare
Virtualizao e Computao Forense
VMs na Anlise Dinmica de Imagens Forenses - II Possibilidade de uso em Resposta a Incidentes e Live Analysis LiveView permite criar VMs para discos rgidos da mquina Read-Only Pode ser usado em conjunto com FResponse para minimizar interaes com o ambiente comprometido
Virtualizao e Computao Forense
VMs na Pesquisa de Artefatos Percia == Anlise de Artefatos (Vestgios) Testes para determinar artefatos Preparar a mquina demanda muito tempo Vrios SOs Mquina precisa ser desmontada ao final
Mquinas Virtuais resolvem o problema
Virtualizao e Computao Forense
Appliances Virtuais para Forense Mquinas Virtuais pr-configuradas Softwares especficos Automount, swap, Journaling e outras funcionalidades desligadas Facilidade de distribuio Melhor opo do que Live CDs para ferramentas baseadas em bancos de dados PyFlag PTK
SANS SIFT VM Brasileira para Computao Forense
Virtualizao e Computao Forense
Mquinas Virtuais X Peritos VMs especficas para atividades maliciosas Os vestgios diretos ficam todos dentro de um mesmo container Wipe do container == Adeus vestgios
Peritos
Pensamento 3D !
Evidncias no esto apenas no HD Corolrio de Harlan Carvey:Ausncia de evidncias uma evidncia
Vestgios de presena de VMs no host
Virtualizao e Computao Forense
ConclusoVirtualizao cresce em utilizao e esse crescimento traz, a reboque, a necessidade de adaptao do Perito em Computao Forense s novas potencialidades e ameaas.
Virtualizao e Computao Forense
Referncias F-Response http://www.f-response.com/ Live View http://liveview.sourceforge.net/ SANS SIFT https://computerforensics2.sans.org/community/downlo ads/ PyFlag http://www.pyflag.net/cgi-bin/moin.cgi PTK http://ptk.dflabs.com/ QEmu http://www.qemu.org/ VMWare http://www.vmware.com/
Virtualizao e Computao Forense
Referncias II XEN http://www.xen.org/ Virtual Box http://www.virtualbox.org/ Virtual PC http://www.microsoft.com/windows/vir tual-pc/ Hyper V http://www.microsoft.com/windowsser ver2008/en/us/hyperv-main.aspx
Virtualizao e Computao Forense
Sugestes de Leitura
http://forcomp.blogspot.com http://www.e-evidence.info
Virtualizao e Computao Forense
Obrigado !
inv.forense arroba gmail ponto com (Tony Rodrigues)
Virtualizao e Computao Forense