The Coroner's Toolkit (TCT) - это набор инструментов с широкими функциональными возможностями. Мы собираемся обратить особое внимание на наиболее часто используемые функции. Чтобы узнать подробную информацию о ТСТ, обратитесь на сайт http://www.porcupine.org/forensics. Задача ТСТ и системного вскрытия в целом заключается в том, чтобы извлечь из взломанной системы как можно больше информации. Многие пользователи пытаются получить только информацию определенного вида, но они совершают ошибку. Например, если система была взломана путем нападения на rcp.statd, пользователи подумают, что нужно искать только данные, напрямую относящиеся к нападению. Вас очень удивит то, какую информацию можно случайно обнаружить и насколько она окажется полезной. Вместо того чтобы вскрывать и анализировать конкретный набор сведений, мы рекомендуем попытаться собрать как можно больше информации, а затем получить общую картину.
А теперь несколько слов об отношении к вещам. Когда вы ищете что-то конкретное, ваши шансы очень малы. Потому что среди всех вещей в мире вы ищете только одну из них. Когда вы ищете все что угодно, ваши шансы возрастают. Потому что среди всех вещей в мире вы определенно найдете хоть что-то1.
Первый этап сбора данных заключается в применении grave-robber - инструмента, который собирает невероятное количество полезной информации о взломанной системе, включая информацию о работе системных процессов, регистрационные файлы, файлы конфигурации, контрольные суммы MD5, время MAC и файлы предыстории. Этот процесс происходит автоматически. Собранные данные можно затем использовать для анализа. Например, если у вас взломали систему, при помощи grave-robber можно быстро собрать важные сведения, а затем послать их кому-нибудь для анализа.
Мы будем использовать утилиту grave-robber для сбора информации во взломанной системе на базе Linux. При запуске grave-robber мы дадим задание собирать данные начиная с раздела /mnt, в котором находятся образы. Однако необходимо соблюдать осторожность; нам не нужен анализ собственной доверенной системы. Для запуска процесса сбора данных мы используем следующий синтаксис:
Затем grave-robber пройдет через всю структуру файлов в разделе /mnt, выделит важную информацию и сохранит ее в /forensies/data. Вы уже знаете, как анализировать большую часть этой информации. В частности, этот инструмент соберет все важные регистрационные файлы взломанной системы и скопирует их в /forensics/data. Как мы уже видели, системные журналы могут снабдить нас обширными сведениями, например о системных действиях или удаленных соединениях. Этот инструмент также собирает файлы конфигурации, такие как/etc/hosts и/etc/syslog. conf, и файлы предыстории. Вся эта информация имеет отношение к процессу системного вскрытия.
Инструмент grave-robber также собирает информацию, предназначенную именно для ТСТ. Это контрольные суммы MD5 для всех файлов, а также время MAC всех файлов. Контрольные суммы MD5 могут пригодиться, если у вас есть база данных, с которой их можно сравнить. Например, такие утилиты, как Tripwire, создадут базу данных контрольных сумм MD5 для всех файлов доверенной системы. После взлома системы контрольные суммы MD5 можно сравнить с известной доверенной базой данных, чтобы определить, были ли изменены какие-то файлы. Корпорация Sun Microsystems сделала это для своей коммерческой операционной системы Solaris. Пользователи могут зайти на http://sunsolve.Sun.COM/ pub-cgi/fileFingerptints.pl и найти контрольные суммы MD5 бинарных файлов, распространяемых вместе с Solaris. Эту информацию можно использовать для сравнения с MD5, собранными при помощи grave-robber.
Время MAC - это атрибуты, назначающиеся каждому файлу и хранящиеся в inode файла1. Эти атрибуты можно использовать для определения порядка, в котором были использованы файлы. Такая информация необычайно важна, поскольку ее можно применить для определения действий, произведенных в системе, аналогично перехвату команд пользователя. Информация собирается при помощи grave-robber, что дает вам возможность узнать о действиях взломщика, полагаясь только на атрибуты MAC.
