The Autopsy Forensic Browser
2003/08/26
伊原 秀明(Port139)
The Autopsy Forensic Browser の役割
The Sleuth Kit コマンド群
ファイルシステム
イメージファイル
dls, dcat, dstat, dcalc,
ils, icat, istat, ifind,
fsstat md5, sha1, mactime,
mmls, sorter, hfind, file
シェル
Autopsy
GUI
ブラウザ
© Hideaki Ihara(Port139).
2
日本語対応URL
• Autopsy ヘルプ日本語訳
http://www.monyo.com/technical/unix/TASK/autopsyhelp-ja/
• UTF-8 output patch for task-1.60/sleuthkit-1.6x
http://www.monyo.com/technical/unix/TASK/
• Autopsy UTF-8対応Patch
http://www.asahi-net.or.jp/~uu8m-kbys/autopsy/
© Hideaki Ihara(Port139).
3
Autopsyインストール順序
1.
2.
3.
4.
5.
6.
7.
8.
Sleuthkitを展開(tar zxvf filename.tar.gz)
Autopsyを展開(tar zxvf filename.tar.gz)
Sleuthkitのフォルダへ移動(cd sleuthkit-xx)
コンパイル(make), 終了後に親フォルダへ移動(cd ..)
“Evidence Locker”用に任意のフォルダを作成する
データや調査結果(ログなど)の保存先となるフォルダ
(mkdir evidence)
Autopsyのフォルダへ移動(cd autopsy-xx)
コンパイル(make)
質問事項へ入力(次スライド参照)
Sleuthkitの絶対パス
NSRLデータベースの有無(y/n)
データの保存先の絶対パス
© Hideaki Ihara(Port139).
4
Autopsyインストール入力項目
• Sleuth Kitを先にインストールしておくこと
• Autopsyインストール中の入力事項
• Enter the directory where you installed it:
/home/port139/sleuthkit-1.70
• Have you purchased or downloaded a copy of the
NSRL (y/n) [n]
n
• Enter the directory that you want to use for the
Evidence Locker:
/home/port139/evidence
© Hideaki Ihara(Port139).
5
Autopsyの利用方法(図)
The SleuthKit&Autopsy
実行環境
調査用PC
ブラウザで接続
ブラウザへ結果を送信
安全のため、閉じたネットワークを構築
(物理的な安全も確保)
ブラウザを操作し調査
© Hideaki Ihara(Port139).
6
Autopsyの起動(1)
• コマンドライン
autopsy [-C] [-d evid_locker] [-p port]
[remoteaddr]]
• 例)8080へ192.168.0.1からの接続を許可
autopsy –p 8080 192.168.0.1
• クッキーを利用しない場合は-Cを指定
以下の形式でアクセス可能になる
autopsy –C –p 8080 192.168.0.1
http://localhost.localdomain:8080/autopsy
© Hideaki Ihara(Port139).
7
Autopsyの起動(2)
• JAVAスクリプトが有効な場合、警告メッセー
ジが表示される
WARNING: Your browser currently has Java
Script enabled
• IEでは『アクティブスクリプト』を“無効”に設定
• 調査対象イメージに含まれる危険なスクリプ
トなどを実行しない為!
© Hideaki Ihara(Port139).
8
Autopsyの設定(1)
• 『New Case』を選択し新規にケースを作成
© Hideaki Ihara(Port139).
9
Autopsyの設定(2)
ケース(ディレクトリ)名
ケースの簡単な説明
調査員(ログイン)名
© Hideaki Ihara(Port139).
10
Autopsyの設定(3)
ケースの一覧
ホストの追加
© Hideaki Ihara(Port139).
11
Autopsyの設定(4)
ホスト名
簡単な説明
タイムゾーン
秒数調整
ハッシュ データ
ベースのパス
© Hideaki Ihara(Port139).
12
Autopsyの設定(5)
イメージの追加
© Hideaki Ihara(Port139).
13
Autopsyの設定(6)
解析するイメージのパス
ファイルへのリンク作成か,
コピー、移動かを指定
ファイルシステムを選択
マウント(解析)時のパスを指定
MD5ハッシュ値の計算,確認
© Hideaki Ihara(Port139).
14
Autopsyの設定(7)
© Hideaki Ihara(Port139).
15
Autopsyの機能
•
•
•
•
•
•
File Analysis
Keyword Searching
File Type Categories
Image Details
Meta Data Analysis
Data Unit Analysis
© Hideaki Ihara(Port139).
16
Meta Data Analysis
• MFTエントリを指定しデータを表示
MFTエントリ番号の指定
エントリ情報の表示
© Hideaki Ihara(Port139).
アロケーション(割当)リストの表示
17
Data Unit Analysis
クラスタ番号
表示するクラスタ数
クラスタの内容
© Hideaki Ihara(Port139).
18
削除ファイルの確認・復元
削除ファイルの表示
削除されたファイル(復元不可)
© Hideaki Ihara(Port139).
19
File Type Sortings
画像の抽出(サムネイル作成)
拡張子とファイルタイプの検証
© Hideaki Ihara(Port139).
20
File Type Sortings結果ファイル
• ケースフォルダーホストフォルダーoutput
sorter-イメージファイル名/
• HTML形式で保存される
index.htmlを参照
• Sorterフィルタのカスタマイズ
/sleuthkitのフォルダ/share/sorter/*.sort
Windows 用=windows.sort
© Hideaki Ihara(Port139).
21
Keyword Searching(1)
大・小文字の区別なし
検索対象
ASCII文字列の抽出
正規表現
未割当領域のロード
“日付”形式の検索
“IP”形式の検索
© Hideaki Ihara(Port139).
22
Keyword Searching(2)
Stringsコマンドの実行結果
を.strファイルとして保存
未割当領域を.dlsファイルと
して保存(Slack含まず)
© Hideaki Ihara(Port139).
23
Keyword Searching(3)
• “日本語”の抽出
-日本語文字コード対応コマンドを利用
• jstrings(たかはし氏版)
http://www.monyo.com/technical/products/jstrings/
• jstrings(はせがわ氏版)
Shift_JIS/CP932/ISO-2022-JP/UTF-16/EUC-JP
http://www.alles.or.jp/~hasepyon/
© Hideaki Ihara(Port139).
24
Timeline(1)
MAC timeを利用したファイルの分類機能
bodyファイルの作成
タイムラインの閲覧
タイムラインの作成
© Hideaki Ihara(Port139).
25
Timeline(2)
イメージの選択(複数指定可能)
収集データの選択
ファイル名の指定
© Hideaki Ihara(Port139).
26
Timeline(3)
入力ファイルの指定
開始日時の指定
終了日時の指定
出力ファイルの指定
© Hideaki Ihara(Port139).
27
Timeline(4)
表示する年・月
時系列に表示
変化したタイムスタンプ
© Hideaki Ihara(Port139).
28
Timeline(5)
• NTFSの場合
• 書き込み時刻(Written):
ファイルが最後に書き込まれた時刻
• アクセス時刻(Accessed):
ファイルが最後にアクセスされた時刻
• 変更時刻(Created):
MFT エントリが最後に変更された時刻
© Hideaki Ihara(Port139).
29
ハッシュ データベース(1)
• ファイルのMD5値を利用してDBを作成
• Alert Database
既知の bad ファイルのハッシュ
• Ignore Database
既知の問題ないファイル(known to be good)
のハッシュ
• NSRL
日本語OS環境では余り意味が無い
© Hideaki Ihara(Port139).
30
ハッシュ データベース(2)
• ハッシュファイルの準備
• データベース ファイルを用意する
(例:good-md5.db)
• 形式(MD5値 ファイル名)
518cfcf8e0c7b133d365ddaa22916052 *c:\\WINDOWS\\notepad.exe
• hfindコマンドでインデックスを作成
hfind -i md5sum good-md5.db
Extracting Data from Database (good-md5.db)
Valid Database Entries: 1
Invalid Database Entries (headers or errors): 0
Index File Entries : 1
エラーを確認
Sorting Index (good-md5.db-md5.idx)
© Hideaki Ihara(Port139).
31
ハッシュ データベース(3)
• ホスト設定ファイル(.aut)にデータベースを登
録する
• ‘exclude_db’または‘alert_db’ヘッダを指定
• 例)
exclude_db ‘/home/port139/evidence/good-md5.db’
• Autopsyの再起動により有効になる
© Hideaki Ihara(Port139).
32
ハッシュ データベース(4)
インデックスの再構築
ハッシュ値の検索
© Hideaki Ihara(Port139).
33
ハッシュ データベース(5)
ハッシュデータベースは“File Type”で利用
ハッシュデータベースに含まれるファイルを除外指定
© Hideaki Ihara(Port139).
34
ハッシュ データベース(6)
ハッシュ値の一致により除外
されたファイル数
拡張子不一致だが
除外されたファイル
© Hideaki Ihara(Port139).
35
ハッシュ データベース(7)
• ハッシュ データベースが利用されるのは、
Sorterでのフィルタ時のみ
• File Analysis、Timeline などの表示へは影響
しない
© Hideaki Ihara(Port139).
36
ハッシュデータベース 除外
• 代替データストリーム(a.txt:notepad.exe)
除外される
• 拡張子不一致ファイル
除外される
• 暗号化されたファイル
除外されない
• 圧縮されたファイル
除外されない(圧縮されていなければ除外)
© Hideaki Ihara(Port139).
37
ファイルのエクスポート
対象ファイルを選択
エクスポート(Export)を選択
任意のファイル名と拡張子を
指定して保存する © Hideaki Ihara(Port139).
38
レジストリのエクスポート
• レジストリファイルのパス(例:Windows 2000)
%Systemroot%\System32\Config
• ファイルを選択しエクスポート(export)をクリック
• ダウンロード ダイアログから保存先を指定
• Regedt32.exeを起動(XP以降はregedit.exe)
• HKLMを選択
• “ハイブのロード”を実行
• ダウンロードしたレジストリファイルを指定
• キー名として任意のキー名を指定
• アクセス権がない場合には許可を与える
© Hideaki Ihara(Port139).
39
Autopsyで登録した項目の削除方法
• ケースの削除
対応するケースのフォルダを削除
• ホストの削除
対応するホストのフォルダを削除
• イメージの削除
対応するイメージを削除
設定ファイル(host.aut)から項目を削除
© Hideaki Ihara(Port139).
40
Autopsy設定・ログ ファイル
• ケース設定ファイル
case.aut
investigators.txt
• ホスト設定ファイル
host.aut
• ログファイル
autopsy.log(接続ログ、ケースオープン等)
case.log(ケースにおける操作)
© Hideaki Ihara(Port139).
41
ダウンロード

Autopsy