Wat nou als iets crasht? RAM eerst dus.

Dag cxniox,

De informatie is niet al te duidelijk, dus ik ga er wat van proberen te bakken (:

Ik ga ervan uit dat je een stukje malware wil analyseren (digital forensics) en dat er dus een PC/Laptop is geïnfecteerd.
En nu wil je weten of dat je eerst de rechten om het schrijven van data naar de HDD moet wijzigen of dat je eerst een memory dump moet maken?

De eerste stap in digital forensics is dat je zeker weet dat je geïnfecteerde machine NIET aangesloten zit aan een computernetwerk. Schakel alle netwerkkaarten uit, haal netwerkkabels eruit en zorg dat ook Wireless geen signaal kan ontvangen.

Misschien dat je wat dieper in details wilt treden? Dan denk ik dat we jou beter kunnen helpen. Ik moest de topic 3 keer opnieuw lezen voordat ik hem daadwerkelijk begreep (:

Dit is mijn vraag inderdaad. De reden hoeft niet direct malware te zijn, iedere vorm van (cyber)crime. Het gaat om het integer veiligstellen van de data

Als ik eerst een memorydump maak, pas ik dan niet bepaalde files/timestamps op het systeem aan? Vandaar dat mij de ideale volgorde leek: eerst de writeblocker voor de harddisk, vervolgens de memory dump maken.

Op internet lees ik het echter vaak andersom, ik ben benieuwd of iemand me kan uitleggen waarom dit is.

Dit is mijn vraag inderdaad. De reden hoeft niet direct malware te zijn, iedere vorm van (cyber)crime. Het gaat om het integer veiligstellen van de data

Als ik eerst een memorydump maak, pas ik dan niet bepaalde files/timestamps op het systeem aan? Vandaar dat mij de ideale volgorde leek: eerst de writeblocker voor de harddisk, vervolgens de memory dump maken.

Op internet lees ik het echter vaak andersom, ik ben benieuwd of iemand me kan uitleggen waarom dit is.[/quote]
1) Als PC op slot spring ben je fucked (geen RAMdump).
2) Als iets crasht ben je fucked (geen RAMdump).
3) De kans dat er dingen op de HDD gebeuren is kleiner dan de kans dat er "relevante" data uit RAM-geheugen overschreven wordt.
4) De HDD-blockers van politie/Fox-IT zijn hardware apparaten, de HDD moet dus losgekopelt worden. Dan wil je de stroom eraf hebben, en dat betekent dat je RAM-geheugen weg is. (Andere volgorde is dan vrij lastig).
5) Software write-blockers overschrijven RAM-geheugen, kans op overschrijving van relevante data.

Ik ben geen expert, maar dit heb ik uit mijn notities gehaald van een gastcollege van Fox-IT. Does this make sense?
Verder vroeg ik mij af waarop je baseert dat een RAM-dump timestamps aanpast?

als je eerst een harddisk write blocker toepast, heb je binnen no time een bluescreen te pakken en sterft je pc.

eerst een memorydump op een usbstick, zodat je de memorydump niet over een weggegooid maar te recoveren bestand heenschrijft.

die usbstick voer je daarna natuurlijk wel ik in een systeem dat uitgaat van gecompromitterde usbsticks. ;-)

Duidelijk.

Bij het maken van een memorydump pas je GEEN bestanden aan op de HDD.
Het kan zijn dat reeds lopende processen dat wel doen, maar het maken van een memorydump gaat zo snel dat dit in de praktij niet zo'n groot probleem is. Natuurlijk is het wel zaak dat je de dump op een ander medium bewaart dan de HDD in kwestie.

Vervolgens kun je je op de HDD storten. Naar mijn ervaring werkt het het beste wanneer je deze overzet op een ander (VEILIG!) systeem zonder internetverbinding. Werk nooit met de originele data, maar altijd met een kopie ervan.

Het enige probleem zou schijf-encryptie kunnen zijn, maar daar heb je dan ook die memorydump éérst voor gemaakt natuurlijk.


Hopelijk zijn al je vragen beantwoord inmiddels, zo niet, dan weet je ons wel te vinden ;)

Groet, anon 12:12


NB 1] Mocht je in het vervolg refereren aan een webpagina, link er dan even naartoe.
NB 2] Het is voor ons wat makkelijker als je duidelijk vermeld in je posts dat je de TS bent, of je nu inlogt met je gebruikersnaam of anoniem reageert.