Computerbeveiliging - Hoe je bad guys buiten de deur houdt

USB writte blocker

12-01-2011, 16:45 door Mathijs1987, 15 reacties
Beste forumleden,

Ik ben op zoek naar een goedkope hardware matige oplossing of Software matige oplossing om op een forensische verantwoordelijke wijze een image te maken van de een USB stick.


Heeft er iemand een suggestie.

Groet
Reacties (15)
12-01-2011, 16:54 door Anoniem
Tik USB write blocker maar eens in Google, genoeg linkjes voor jouw.

Of vraag het gelijk hier: http://www.digitaalonderzoeker.nl
Wel eerst aanmelden.


:-)
12-01-2011, 17:56 door Syzygy
Je moet dus applicatie hebben die bit voor bit kopieert ongeacht de data.
12-01-2011, 17:59 door Anoniem
wiebetech heeft zonder twijfel beste prijs/kwaliteit verhoudingen.

Maar je kan ook je systeem booten (of ander systeem) met een forensisch verantwoorde Live Linux zoals Deft of SMART Linux. Houdt ook stand in de rechtbank indien nodig. Wel keurig documenteren.

succes
12-01-2011, 18:01 door Anoniem
Door Syzygy: Je moet dus applicatie hebben die bit voor bit kopieert ongeacht de data.
Inderdaad op bit niveau zonder dat er enige aanpassingen worden gedaan op de huidige media.
Zal dadelijk een kijkje nemen op : http://www.digitaalonderzoeker.nl

Iemand anders nog suggesties ?
12-01-2011, 18:26 door MrTre
Wintaylor for windows met FTK Imager, en anders Cain Live CD.

www.caine-live.net
13-01-2011, 08:38 door Anoniem
Zoek je nou naar een programma zoals DD? Of zoek je naar een USB writte blocker?
13-01-2011, 11:20 door Anoniem
Ik zou inderdaad wintaylor nemen. Heb je meteen een hele verzameling forensische tools.
13-01-2011, 11:48 door benjamin1555
Hi,


Step 1 – Go to Start > Run and type in regedit.

Step 2 – Navigate to HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet and highlight the Control
key. The CurrentControlSet key has system information about the current configuration of the machine.
The system keeps a backup of this key. You will see the current and backup listed as ControlSet001 and 002 in this example. The select key will show which is valid. The key CurrentControlSet is the one being used at this moment and is the one you want to modify.

Step 3 – Right click on Control and select New > Key. Name the key StorageDevicePolicies.

Step 4 – Right click on StorageDevicePolicies and select DWORD. Name the value WriteProtect.

Step 5 – Right click (or double click) on WriteProtect and select Modify. To write protect USB devices select 1 as the value. To turn off write protection, change this value to 0.


This is what software writeblocker do under Windows! It's the same like hardware writeblockers.
You can download some of the free writeblockers for Windows but the same you can use Backtrack 4 Forensic Mode, because this mode use another INITrd so the suspect harddrive will not be loaded. You need first to setup the harddrive of the suspect in the fstab to mount only readonly. Or you should use the command mount -o ro /dev/.....

If you use command cat /proc/partitions you can see the partitions, so you can find the device.
To make a bitcopy you can use DD, if you want to do the DD over TCP/IP you can use DD with Netcat.

I'm pleased to help you!

Best regards,
Benjamin
13-01-2011, 12:25 door [Account Verwijderd]
[Verwijderd]
13-01-2011, 12:36 door Anoniem
DCFLDD op Linux lijkt me het makkelijkst. Gebruik ik zelf ook.
Als je toevallig ubuntu gebruikt moet je er wel op letten dat auto-mount niet aan staat. Kun je veranderen bij gconf-editor en dan nautilus -> preferences. Daar staat iets van auto mount.
Daarbij moet je dan ook weer opletten dat je dat doet als gewone gebruiker en als root, anders werkt het ook niet geweldig.
Groeten,

PDO'er
13-01-2011, 16:54 door Prlzwitsnovski
Door Anoniem: DCFLDD op Linux lijkt me het makkelijkst. Gebruik ik zelf ook.
Als je toevallig ubuntu gebruikt moet je er wel op letten dat auto-mount niet aan staat. Kun je veranderen bij gconf-editor en dan nautilus -> preferences. Daar staat iets van auto mount.
Daarbij moet je dan ook weer opletten dat je dat doet als gewone gebruiker en als root, anders werkt het ook niet geweldig.
Groeten,

PDO'er
Klopt helemaal.

In Ubuntu kun je in dat menu (gconf-editor -> nautilus -> preferences.) het automatisch mounten van een USB-stick uitzetten. Zolang je een stick niet mount wordt er niks heen geschreven en kun je er wel met DD, DCFLDD, of een andere variant hier een bit-voor-bit kopie van maken.

Ik vraag me af waarom deze reactie een -1 rating had.
13-01-2011, 18:34 door Anoniem
ja ik zou ook gewoon zeggen automatisch mounten uitzetten en een block-level reading tool zoals dd gebruiken
13-01-2011, 19:42 door d4mn
/bin/dd
13-01-2011, 19:45 door Anoniem
je kan toch gewoon dd gebruiken?!

usb stick of diskdrive 1 op 1 kopiëren van de ene naar de andere:
dd if=/dev/sda of=/dev/sdb bs=512

of de hele hele usb stick naar een file/img:
dd if=/dev/sda of=mijn_kopie.img bs=512
13-01-2011, 20:48 door Didier Stevens
Met mijn open-source tool Ariad kan je (o.a.) het schrijven naar een USB stick in Windows blokkeren:
http://blog.didierstevens.com/programs/ariad/

En voor een goedkope hardware matige methode kan je deze micro controller gebruiken:
http://blog.didierstevens.com/2009/12/30/detecting-eicar-with-a-net-micro-controller/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.