Feds bảo vệ việc thu giữ máy tính xách tay
của người ủng hộ Wikileaks
Feds bảo vệ việc tịch thu máy tính xách tay của người ủng hộ WikiLeaks Bởi Kevin Poulsen ngày 28
tháng 7 năm 2011 Bộ Tư pháp hôm thứ Năm đã phản đối đơn kiện của một người ủng hộ Wikileaks và
là bạn của kẻ rò rỉ bị cáo buộc Bradley Manning về việc thu giữ máy tính xách tay của anh ta khơng có
bảo đảm, lập luận rằng họ giữ nguyên máy trong 49 ngày dài chỉ vì anh ta từ chối cung cấp mật khẩu và
vì cấu hình Linux / Windows khởi động kép của anh ta đã đánh thuế khả năng pháp y của các đặc vụ liên
bang.
David Maurice House là một trong số những người bạn của Manning ở khu vực Boston, người đã được
các đặc vụ liên bang phỏng vấn sau vụ bắt giữ vào tháng 5 năm 2010 của Manning. Khi House được trả
tự do, các đặc vụ đã tịch thu máy tính xách tay của anh ta, một ổ đĩa ngón tay cái và một máy ảnh kỹ
thuật số. ICE đã giữ thiết bị trong 49 ngày, cuối cùng chỉ trả lại khi ACLU thay mặt House gửi cho họ
một bức thư mạnh mẽ.
Bộ Tư pháp thừa nhận rằng nó đã lưu giữ máy tính xách tay của House lâu hơn 30 ngày thường được
phép theo quy định khám xét biên giới, nhưng cho biết họ đã giữ nó khơng lâu hơn mức cần thiết để
hồn thành phân tích pháp y và sao chép ổ cứng.
Việc thiếu quyền truy cập mật khẩu buộc các chuyên gia máy tính của ICE phải dành thêm thời gian trên
máy tính xách tay của ơng House ", chính phủ viết (.pdf), đồng thời cho biết thêm rằng các đại lý cũng
yêu cầu thêm thời gian vì máy tính xách tay của ơng House đang chạy cả Linux và Windows, trong khi
cơ quan này đã quen để tìm kiếm các máy Windows hoặc Macintosh vani.
Theo "ngoại lệ tìm kiếm biên giới" của luật hình sự Hoa Kỳ, khách du lịch quốc tế có thể bị khám xét mà
không cần lệnh khi họ nhập cảnh vào Hoa Kỳ. Dưới thời chính quyền Bush và Obama, các nhân viên
thực thi pháp luật đã tích cực sử dụng quyền lực này để tìm kiếm máy tính xách tay của khách du lịch,
đôi khi sao chép ổ cứng trước khi trả lại máy tính cho chủ nhân của nó.


MƠ ĐUN MỤC TIÊU
Biến động thơng tin

Chức năng thơng báo tin nhắn: MD5

Mạng và xử lý thơng tin

Tìm nạp trước các tệp

Khơng biến động thơng tin

Quy trình phân tích tĩnh

Kết xuất bộ nhớ

Phân tích bảng xuất

Phân tích cú pháp bộ nhớ quá trình

Các loại siêu dữ liệu

Bên trong sổ đăng ký

Hiểu biết sự kiện

Thơng tin hệ thống

Phân tích cú pháp nhật ký IIS, nhật ký
FTP, và nhật ký Firewall

Hoạt động người dùng
Phân tích cài đặt đăng ký
điểm khơi phục


Đánh giá các sự kiện quản lý tài
khoản
Tìm kiếm với trình xem sự kiện

Bộ nhớ đệm, Cookie, và
lịch sử phân tích

Cơng cụ điều tra số.


MƠ ĐUN LƯU LƯỢNG
Thu thập thơng tin
biến động

Bộ nhớ đệm,
Cookie, và lịch
sử phân tích

Thu thập thơng
tin khơng biến
động

phân tích tệp
windows

bộ đệm MD5

Các sự kiện
kiểm tốn khác


Phân tích bộ
nhớ Windows

Phân tích
pháp y của
nhật ký sự
kiện

Phân tích sổ
đăng ký
windows

Điều tra siêu dữ
liệu

Vấn đề về
mật khẩu
Windows

Công cụ
điều tra số

Nhật ký dựa
trên văn bản


BIẾN ĐỘNG THƠNG TIN
-Thơng tin biến động có thể dễ
dàng được sửa đổi hoặc bị mất khi
hệ thống tắt hoặc khởi động lại.

-Nó giúp xác định thời gian hợp lý
của sự cố bảo mật và người dùng
sẽ phải chịu trách nhiệm.
- Dữ liệu biến động nằm trong
thanh ghi, "bộ nhớ đệm và RAM.

Biến động thông tin bao gồm:
-Thời gian hệ thống
-Người dùng đã đăng nhập
-Mở tập tin
-Thông tin mạng
-Kết nội mạng
-Xử lý thơng tin
-Ánh xạ quy trình đến cổng
-Xử lý bộ nhớ
-Tình trạng mạng
-Nội dung khay nhớ tạm thời
-Dịch vụ/ điều khiển thông tin
-lịch sử câu lệnh
-Các ổ đĩa được ánh xạ
-Chia sẻ.


Thời gian hệ thống
-Cung cấp nhiều bối cảnh cho thông tin được thu thập sau này
trong quá trình điều tra
-Hỗ trợ phát triển dịng thời gian chính xác của các sự kiện đã
xảy ra trên hệ thống
-Thời gian hoạt động của hệ thống cung cấp ý tưởng về thời
điểm nỗ lực khai thác có thể đã thành cơng



Người Dùng Đã Đăng Nhập
I.

Thu thập thông tin về người dùng đã đăng nhập vào hệ thống, cả cục bộ và hệ thống

II. Ghi lại bối cảnh của một quá trình đang chạy, chủ sở hữu của tệp hoặc thời gian truy cập
cuối cùng vào tệp
Cơng cụ và dịng lệnh để xác định
người dùng đã đăng nhập:
-PsLoggedOn
-net sessions
-LogonSessions


Người Dùng Đã Đăng Nhập: Cơng Cụ PsLoggedOn
Nó hiển thị tên của người dùng đã đăng nhập cục bộ cũng như từ xa, chẳng hạn như
thông qua chia sẻ được ánh xạ.
Cú pháp: psloggedon [- ] [-1] [-x] [\\computername | username]


Người Dùng Đã Đăng Nhập: Net Sessions
Command
Nó cung cấp thơng tin về tên người dùng và IP được sử dụng để truy cập
hệ thống thông qua phiên đăng nhập từ xa và loại máy khách mà họ đang
truy cập hệ thống


Người dùng đã đăng nhập: Cơng cụ

LogonSessions
Nó liệt kê các phiên
đăng nhập hiện đang
hoạt động và nếu -p
tùy chọn được chỉ
định, nó sẽ liệt kê các
quy trình đang chạy
trong mỗi phiên


Mở Tập Tin
• Thu thập thơng tin về tập tin đã được mở bởi kẻ xâm nhập sử dụng đăng nhập từ xa
• Cơng cụ và dịng lệnh đã sử dụng để mở thông tin của một tệp:


Mở Tập Tin: net file Command
⮚ lệnh tệp net hiển thị tên của tất cả các tệp được chia sẻ đang mở trên máy chủ và số
lượng tệp khóa trên mỗi tệp
⮚ Cú pháp tệp lệnh: net file [ID [/close]]


Mở tập tin: PsFile tính thiết thực

⮚ Sử dụng tiện ích PsFile để liệt kê hoặc đóng các tệp được mở từ xa
⮚ Cú pháp: psfile [\\RemoteComputer [-u Username [-p Password]]] [[Id | path] [-c]]


Mở Tập Tin: Câu lệnh Openfiles
⮚ truy vấn lệnh openfiles hoặc hiển thị
tệp đang mở và cũng truy vấn, hiển thị

hoặc ngắt kết nối tệp do người dùng
mạng mở
⮚ Cú pháp lệnh của Openfiles:
⮚ OPENFILES /parameter [arguments]
⮚ Giải thích:
⮚ OPENFILES /Disconnect
⮚ OPENFILES /Query
⮚ OPENFILES /Local01


Thơng Tin Mạng (Cont’d)
- Khi những kẻ xâm nhập có được quyền truy cập từ xa vào một hệ
thống, chúng muốn biết các hệ thống khác có sẵn trên mạng mà hệ
thống chúng đã xâm nhập có thể '' nhìn thấy ''.
-Khi kết nối được thực hiện với các hệ thống khác bằng cách sử
dụng giao tiếp NetBIOS, hệ thống sẽ duy trì một danh sách các hệ
thống khác mà chúng đã '' nhìn thấy ''
-Bằng cách xem nội dung của bảng tên đã lưu trong bộ nhớ cache,
các nhà điều tra có thể xác định rằng các hệ thống khác đã bị ảnh
hưởng


Thơng Tin Mạng
-Bộ đệm ẩn bảng tên NetBios duy trì
danh sách các kết nối được thực hiện
với các hệ thống khác bằng NetBIOS
-Nó chứa tên và địa chỉ IP của hệ
thống từ xa
-Bạn có thể sử dụng tiện ích dịng
lệnh có sẵn của Windows nbtstat để

xem bộ đệm ẩn bảng tên NetBIOS
-Nbtstat với -c chuyển đổi hiển thị bộ
đệm ẩn bảng tên NetBIOS

Cú pháp câu lệnh của nbtstat là:


Kết Nối Mạng(Cont’d)
▪ Thu thập thông tin liên quan đến các kết nối
mạng đến và từ hệ thống bị ảnh hưởng, điều này
cho phép bạn xác định vị trí:
▪ Kẻ tấn công đã ghi nhật ký
▪ IRCbot giao tiếp
▪ Sâu đăng nhập vào câu lệnh và điều khiển máy
chủ

▪ Netstat là 1 công cụ để thu thập thông tin liên quan
đến các kết nối mạng. Nó cung cấp tầm nhìn đơn giản
của kết nối TCP và UDP và thống kê trạng thái và lưu
lượng mạng của họ.
▪

1. Netstat với -ano switch hiển thị các các kết nối TCP và
UDP, lắng nghe các cổng, và định danh


Các Kết Nối Mạng
2. Netstat với -r switch hiển thị bảng định tuyến và hiển thị các tuyến
liên tục được kích hoạt trên hệ thống



Xử Lý Thơng Tin (Cont’d)
▪ Khảo sát q trình xử lý đang chạy trên một hệ thống có khả năng bị xâm phạm và thu thập thơng tin
từ trình quản lý tác vụ.
▪ -Khơng phải tất cả thơng tin có thể nhìn thấy trên trình quản lý tác vụ, thơng tin vơ hình sẽ được thu
thập bao gồm:
▪ đường dẫn đầy đủ đến hình ảnh có thể
cắt bỏ (tệp .exe)
▪ Dịng lệnh được sử dụng để khởi chạy
quy trình, nếu có
▪ Khoảng thời gian mà q trình đã được
chạy
▪ Bối cảnh bảo mật / người dùng mà quy
trình đang chạy
▪ Q trình đã tải những mơ-đun nào
▪ Nội dung bộ nhớ của quá trình


Xử Lý Thông Tin (Cont’d)
Các công cụ và lệnh được sử dụng
để
thu thập thơng tin chi tiết về quy
trình
bao gồm:

▪ Danh sách là một tiện ích gốc được
bao gồm trong cài đặt Windows XP
Pro và Windows 2003
▪ Nó cung cấp cho việc định dạng đầu
ra, với các lựa chọn giữa các định dạng

bảng, CSV, và danh sách
▪ Danh sách công việc với / v Switch:
▪ / v chuyển đổi cung cấp thơng tin về quy
trình được liệt kê, bao gồm tên hình ảnh,
PID, tên và số phiên cho quy trình

▪
▪