[Sec] IT Forensics

Pagina: 1 2 Laatste
Acties:

Onderwerpen


Acties:
  • 0 Henk 'm!

  • Virtugon
  • Registratie: December 2002
  • Laatst online: 27-03-2023

IT Forensics


Inleiding


IT Forensics is een sterk opkomend gebied. Uiteraard bestaat het al een tijdje, maar is sinds kort ook echt onder de aandacht gekomen binnen het bedrijfsleven en het onderwijs.

Voor dit specifieke vakgebied bestaat natuurlijk ook specifieke software. De industrie wordt gedomineerd door een aantal pakketten, maar er is meer software en scripts op de markt.

Graag hoor ik van iedereen welke software jullie gebruiken voor (live) forensics en wat jullie bevindingen hierover zijn. Verder wil ik in dit topic ook graag tips en ervaringen uitwisselen, zeker gezien er nog niet veel vakspecialisten zijn op dit gebied binnen de ICT community.

Software


Dataverwerking(Live) Data AcquisitieMalware analyseNatuurlijk zijn er nog veel meer softwarepakketen en handige scripts aanwezig op het grote Interweb. Graag hoor ik dus jullie mening over de verschillende software en vul ik de bovenstaande lijst aan.

Hardware


TreCorder
Afbeeldingslocatie: http://www.dataduplication.co.uk/images/trecorder.jpg
Een mobiel forensisch laboratorium.

WiebeTech HotPlug
Afbeeldingslocatie: http://www.wiebetech.com/fonts/thumb.php?h=170&w=170&pic=/images/products/HotPlug_TM/HotPlug.jpg
Deze toolkit bevat alle noodzakelijke middelen om een computer te transporteren zonder deze uit te schakelen.
Zie ook dit en dit filmpje.

Interessante boeken


Real Digital Forensics
Afbeeldingslocatie: http://www.bol.com/imgbase0/BOOKCOVER/FC/0/3/2/1/2/0321240693.gif
ISBN10: 0321240693
ISBN13: 9780321240699

File System Forensic Analysis
Afbeeldingslocatie: http://www.bol.com/imgbase0/BOOKCOVER/FC/0/3/2/1/2/0321268172.gif
ISBN10: 0321268172
ISBN13: 9780321268174

Malware Forensics
Afbeeldingslocatie: http://www.bol.com/imgbase0/BOOKCOVER/FC/1/5/9/7/4/159749268X.gif
ISBN10: 159749268X
ISBN13: 9781597492683

Windows Forensic Analysis
Afbeeldingslocatie: http://www.bol.com/imgbase0/BOOKCOVER/FC/1/5/9/7/4/159749156X.gif
ISBN10: 159749156X
ISBN13: 9781597491563

EnCase Computer Forensics
Afbeeldingslocatie: http://www.bol.com/imgbase0/BOOKCOVER/FC/0/4/7/0/1/0470181451.gif
ISBN10: 0470181451
ISBN13: 9780470181454

Handige links

[ Voor 38% gewijzigd door Virtugon op 21-10-2008 14:37 . Reden: Boeken toegevoegd ]

"A loaf that attempts to twist it's own fate is not a loaf at all, but is, in fact, a pretzel."


Acties:
  • 0 Henk 'm!

  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 18:06

sh4d0wman

Attack | Exploit | Pwn

Ik heb even dat HotPlug filmpje bekeken en het is een leuk product.
Het nadeel is dat ik nu dus mijn computer rechtstreeks op een stopcontact zal gaan aansluiten, die USB key werkt zeker alleen als autorun nog enabled is?

Wat betreft forensics: ik heb er wel eens naar gekeken, de verschillende programma's enzo. Voor prive gebruiker is het eigenlijk point en click met diverse programma;s en je hebt een goed resultaat.
Zodra je het professioneel gaat gebruiken wordt het een stuk complexer.
Met name het zoeken naar data leek mij vrij complex. Gelukkig zijn er op diverse plaatsen hele verzamelingen hashes te vinden,bijvoorbeeld van alle Windows bestanden.

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.


Acties:
  • 0 Henk 'm!

  • Virtugon
  • Registratie: December 2002
  • Laatst online: 27-03-2023
In het tweede filmpje laten ze zien hoe ze een wandcontactdoos uit de muur slopen en re-wiren :)

De USB key wordt niet gezien als een Mass-Storage Device maar als een HID en het enige wat dat ding doet is om de X seconden een toetsaanslag simuleren (ik geloof de shift toets) zodat de PC niet in stand-by vliegt tijdens transport. Je moet er maar op komen :)

Data carving kan vrij lastig zijn, FTK en EnCase kunnen gelukkig veel (hidden) files vinden en ze kunnen beide ook werken met hashtabellen om bekende bestanden (bijvoorbeeld kinderporno afbeeldingen of bekende Windows System files) te vinden of uit te sluiten.
Uiteraard heeft ieder pakket zijn eigen manier van carven, daarom kun je soms met het ene pakket bepaalde dingen terug vinden in bewijsmateriaal die je met het andere weer niet ziet en vice versa. Best irritant soms.

"A loaf that attempts to twist it's own fate is not a loaf at all, but is, in fact, a pretzel."


Acties:
  • 0 Henk 'm!

  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 14-05 09:00

Pim.

Aut viam inveniam, aut faciam

Dit topic sluit 100% aan op mijn vakgebied en ik zal dit topic dan ook met belangstelling volgen :)

Voor de info:

Ik doe dit werk ongeveer 2,5 jaar en heb opleidingen gevolgd bij de politieacademie, Fox-IT, Dataexpert en Guidance (EnCase) de opleingen:

• Basis training digitaal rechercheren
• Digitaal rechercheren in minder complexe zaken (9 maanden !)
• FTK
• EnCase intermediate
• EnCase Advanced
• Basis linux :P
• UGO (Uitlezen GSM Onderzoek)

Ik heb net mijn EnCAse Certified Examiner examen fase II opgestuurd en wacht nog op de uitslag ervan. Het examen bestaat uit twee gedeeltes (fase I en II), 180 vragen (faseI) en een paracticum (faseII)

En binnen dit vakgebied stopt het opleiden nooit natuurlijk.

De zaken waar ik me mee bezig houd zijn voornamelijk strafrechtzaken, ik ga die hier niet te veel uitdiepen natuurlijk ;)

Ik ben benieuwd hoe druk dit hier gaat worden :P

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME


Acties:
  • 0 Henk 'm!

  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 14-05 09:00

Pim.

Aut viam inveniam, aut faciam

Virtugon schreef op zondag 10 augustus 2008 @ 20:20:
Data carving kan vrij lastig zijn, FTK en EnCase kunnen gelukkig veel (hidden) files vinden en ze kunnen beide ook werken met hashtabellen om bekende bestanden (bijvoorbeeld kinderporno afbeeldingen of bekende Windows System files) te vinden of uit te sluiten.
Uiteraard heeft ieder pakket zijn eigen manier van carven, daarom kun je soms met het ene pakket bepaalde dingen terug vinden in bewijsmateriaal die je met het andere weer niet ziet en vice versa. Best irritant soms.
Op zich moet ik zeggen dat ik over het algemeen dezelfde resultaten tegen kom bij het gebruik van FTK en EnCase. Het zou niet best zijn als er veel verschil in zat tussen de beide proggies.
Er is een behoorlijke grote community aan het werk met forensics en die zouden moord en brand schreeuwen als de resultaten zo ver uit elkaar zouden liggen dat ze op die manier niet meer bruikbaar zijn in een rechtbank

Data carving is natuurlijk maar een gedeelte van het werk het interpreteren van de aangetroffen data is de echte klus.
Bij een steeds groter wordend aanbod van zaken en pure data op een HD is slim zijn minimaal net zo belangrijk als de kwaliteit van de programmatuur

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME


Acties:
  • 0 Henk 'm!

Anoniem: 143916

*is mogelijk beetje reclame maar wel heel toepasselijk

Op de HSzuyd in Heerlen wordt de opleiding NFR(Network Forensics Researcher) gegeven, deze opleiding is samen met fox-it opgezet...

Het heeft verder niet mijn ding, maar aangezien ik Network Infrastructure Design doe krijg ik de basis research vakken ook...

ik zal dit topic dan ook zeker blijven volgen ;)

[ Voor 7% gewijzigd door Anoniem: 143916 op 10-08-2008 22:34 ]


Acties:
  • 0 Henk 'm!

  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 18:06

sh4d0wman

Attack | Exploit | Pwn

KMAR? Nooit aan gedacht dat die ook het nodige met IT forensics doen maar uiteraard wel logisch :P Ben toch benieuwd naar 1 ding, in hoeverre worden jullie nu met encryptie belemmerd in forensics? Hierbij heb ik het niet over brakke implementaties zoals bijvoorbeeld een wachtwoord ergens opgeschreven of een key op een floppy welke gewoon nog in de pc steekt.

[licht offtopic]
Lang geleden heb eens een nieuwsitem gezien welke ging over electronisch oorlogsvoering. Hier kan ik in NL niks over vinden, niet bij KMAR, AIVD of waar dan ook. Heb jij enig idee welke dienst in NL zich hier mee bezig houd? Ik kan me niet voorstellen dat wij hier niks in doen ;)
[/offtopic]

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.


Acties:
  • 0 Henk 'm!

  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 14-05 09:00

Pim.

Aut viam inveniam, aut faciam

sh4d0wman schreef op zondag 10 augustus 2008 @ 22:36:
KMAR? Nooit aan gedacht dat die ook het nodige met IT forensics doen maar uiteraard wel logisch :P Ben toch benieuwd naar 1 ding, in hoeverre worden jullie nu met encryptie belemmerd in forensics? Hierbij heb ik het niet over brakke implementaties zoals bijvoorbeeld een wachtwoord ergens opgeschreven of een key op een floppy welke gewoon nog in de pc steekt.
Encryptie is nog steeds geen heel groot probleem omdat de gemiddelde burger niet de ongemakken wil dragen aangezien veiligheid en gebruiksgemak elkaars tegenpolen zijn (in die spagaat zit Windows nog altijd)

Ik kom bij kinderporno zaken af en toe encryptie tegen maar meestal is er op de rest van de computer dan wel genoeg te vinden om die containers niet nodig te hebben.

De algoritmes zijn over het algemeen prima maar worden in sommige gevallen slecht toegepast, denk aan de NTLM hashes in het register. Daar is dan soms wat winst te halen door te kijken welke encryptie gebruikt is en of het makkelijk in een cracking suite te brengen is (PRTK bijv.)
Zodra de implementatie van de encryptie goed is en er geen easy ingang is zijn er de bekende dingetjes die we proberen zoals een indexlist van de HD maken exporteren en bruteforcen of een rainbow table attack.

Ik denk dat met de snel vorderende stand van zaken (gebruik van salt) die optie op een gegeven moment ook geen nut meer hebben.
[licht offtopic]
Lang geleden heb eens een nieuwsitem gezien welke ging over electronisch oorlogsvoering. Hier kan ik in NL niks over vinden, niet bij KMAR, AIVD of waar dan ook. Heb jij enig idee welke dienst in NL zich hier mee bezig houd? Ik kan me niet voorstellen dat wij hier niks in doen ;)
[/offtopic]
Hier houdt ik me niet mee bezig en als ik AIVD /MIVD lees denk ik niet dat ik het hier zou neer gooien ;)

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME


Acties:
  • 0 Henk 'm!

  • Raven
  • Registratie: November 2004
  • Niet online

Raven

Marion Raven fan

Pim. schreef op zondag 10 augustus 2008 @ 22:19:
* Pim. is digitaal rechercheur bij de Kmar. Dit topic sluit 100% aan op mijn vakgebied en ik zal dit topic dan ook met belangstelling volgen :)

Voor de info:

Ik doe dit werk ongeveer 2,5 jaar en heb opleidingen gevolgd bij de politieacademie, Fox-IT, Dataexpert en Guidance (EnCase) de opleingen:

• Basis training digitaal rechercheren
• Digitaal rechercheren in minder complexe zaken (9 maanden !)
• FTK
• EnCase intermediate
• EnCase Advanced
• Basis linux :P
• UGO (Uitlezen GSM Onderzoek)

Ik heb net mijn EnCAse Certified Examiner examen fase II opgestuurd en wacht nog op de uitslag ervan. Het examen bestaat uit twee gedeeltes (fase I en II), 180 vragen (faseI) en een paracticum (faseII)

En binnen dit vakgebied stopt het opleiden nooit natuurlijk.

De zaken waar ik me mee bezig houd zijn voornamelijk strafrechtzaken, ik ga die hier niet te veel uitdiepen natuurlijk ;)

Ik ben benieuwd hoe druk dit hier gaat worden :P
Op wat voor niveau zijn die opleidingen? HBO/MBO?

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


Acties:
  • 0 Henk 'm!

Anoniem: 143916

NFR in Heerlen is HBO opleiding, duurt 4 jaar en is een afstudeerrichting van de NID

Acties:
  • 0 Henk 'm!

  • Raven
  • Registratie: November 2004
  • Niet online

Raven

Marion Raven fan

Crap... Dat gaat dus niet lukken.
Zit na 5 jaar nog altijd @ MBO, waar ik ondertussen totaal geen zin meer aan heb om meerdere redenen...

[ Voor 71% gewijzigd door Raven op 11-08-2008 01:14 ]

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


Acties:
  • 0 Henk 'm!

Anoniem: 143916

afhankelijk van je richting op MBO kan je net als ik 1 jaar vrijstelling krijgen...
de duurt de opleiding nog maar 3 jaar...

ik moet wel zeggen dat ik HBO veel veel leuker/vetter/intresanter/boeiender vind als MBO(Netwerkbeheerder)

[ Voor 47% gewijzigd door Anoniem: 143916 op 11-08-2008 01:38 ]


Acties:
  • 0 Henk 'm!

Anoniem: 160587

Mooi, ik ga dit topic zeker in de gaten houden.
Ik ben nu net begonnen aan niveau 3 leerjaar 2 na het behalen van me niveau 2 diploma.

En ik heb dan ook altijd al dit soort werk willen doen, nog een paar jaar en dan richting Heerlen :9~
Can't wait!

Die power hot swap ziet er interessant uit, alleen vraag me af waarom er in het tweede filmpje nog een stekker zat in het stopcontact. Of was dat van de UPS?

Acties:
  • 0 Henk 'm!

Anoniem: 143916

die 2de stekker is idd van de hotplug

Acties:
  • 0 Henk 'm!

Anoniem: 178962

Pim. schreef op zondag 10 augustus 2008 @ 23:14:
[...]
Encryptie is nog steeds geen heel groot probleem omdat de gemiddelde burger niet de ongemakken wil dragen aangezien veiligheid en gebruiksgemak elkaars tegenpolen zijn (in die spagaat zit Windows nog altijd)
Maar sinds Windows Vista niet meer? Mits er een TPM chip op de hardware aanwezig is (iets wat al een tijdje standaard is bij alle zakelijke notebook lijnen) is het heel eenvoudig BitLocker te gebruiken.

Dit is zeer gebruikersvriendelijk en in combinatie met bijvoorbeeld een wachtwoord en een USB certificaat key ook erg veilig.

Al neem ik aan dat je in jouw vakgebied wel een voorsprong hebt daar de gemiddelde tegenpartij een achterstand heeft op het gebied van hersencapaciteit?

Dat hotplug is wel echt vet, ik zat al bij dat 1e filmpje te denken: Dat gaat nooit werken met een Nederlandse stekker, die zijn zo ontworpen dat dat gewoon onmogelijk is omdat dat gevaarlijk is. Maar daar is gewoon weer een mooie fix voor.

Alleen raakt die gast iedere keer het niet geisoleerde deel van z'n schroevendraaier aan 8)7
Of misschien zit er een doorzichtige isolatie op, dat heb ik wel eens gezien, maar lijkt er niet op.

[ Voor 21% gewijzigd door Anoniem: 178962 op 11-08-2008 02:53 ]


Acties:
  • 0 Henk 'm!

  • Yor
  • Registratie: Januari 2004
  • Laatst online: 11-06 16:19

Yor

Yor1313#2571

Pim. schreef op zondag 10 augustus 2008 @ 23:14:
[...]


Encryptie is nog steeds geen heel groot probleem omdat de gemiddelde burger niet de ongemakken wil dragen aangezien veiligheid en gebruiksgemak elkaars tegenpolen zijn (in die spagaat zit Windows nog altijd)

Ik kom bij kinderporno zaken af en toe encryptie tegen maar meestal is er op de rest van de computer dan wel genoeg te vinden om die containers niet nodig te hebben.

De algoritmes zijn over het algemeen prima maar worden in sommige gevallen slecht toegepast, denk aan de NTLM hashes in het register. Daar is dan soms wat winst te halen door te kijken welke encryptie gebruikt is en of het makkelijk in een cracking suite te brengen is (PRTK bijv.)
Zodra de implementatie van de encryptie goed is en er geen easy ingang is zijn er de bekende dingetjes die we proberen zoals een indexlist van de HD maken exporteren en bruteforcen of een rainbow table attack.

Ik denk dat met de snel vorderende stand van zaken (gebruik van salt) die optie op een gegeven moment ook geen nut meer hebben.


[...]


Hier houdt ik me niet mee bezig en als ik AIVD /MIVD lees denk ik niet dat ik het hier zou neer gooien ;)
Ik hou dit topic ook eens in de smiezen...mocht Pim ooit eens met pensioen gaan...;)

http://yor.minitroopers.com


Acties:
  • 0 Henk 'm!

  • Eijkb
  • Registratie: Februari 2003
  • Laatst online: 29-06 16:10

Eijkb

Zo.

Wordt er voor dit soort beroepen ook gezocht naar mensen met veel ervaring op IT gebied maar zonder een politie vooropleiding? Werk inmiddels 10 jaar in de ICT, eerste 5 jaar bij grote internationale banken op mainframe en de laatste 5 jaar als technisch verantwoordelijke bij een hoster. Veel ervaring op security, methodieken en internet. Lijkt me best een goede basis voor een digitaal rechercheur.

.


Acties:
  • 0 Henk 'm!

  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 14-05 09:00

Pim.

Aut viam inveniam, aut faciam

Raven schreef op zondag 10 augustus 2008 @ 23:56:
[...]

Op wat voor niveau zijn die opleidingen? HBO/MBO?
Ligt aan de functie die je wilt bekleden.

Binnen de politie bestaan 3 niveaus:

• recherche ondersteuner (ik denk vmbo/MBO)
• digitaal rechercheur (minimaal MBO)
• vakexpert digitale recherche (HBO)
Anoniem: 178962 schreef op maandag 11 augustus 2008 @ 02:42:
[...]

Maar sinds Windows Vista niet meer? Mits er een TPM chip op de hardware aanwezig is (iets wat al een tijdje standaard is bij alle zakelijke notebook lijnen) is het heel eenvoudig BitLocker te gebruiken.

Dit is zeer gebruikersvriendelijk en in combinatie met bijvoorbeeld een wachtwoord en een USB certificaat key ook erg veilig.
Heb je wel een geprobeerd bitlocker te installeren ?? :P
Om te beginnen moet het bij install, dan heeft bijna niemand een TPM device dus zou er een USB stick te vinden moeten zijn die je weer de toegang geeft en niemand neemt de moeite.

Het meeste zorgen maak ik me om dingen als truecrypt, geen headers en footers, hoge mate van encryptie en zelfs nog de mogelijkheid van hidden containers.
Al neem ik aan dat je in jouw vakgebied wel een voorsprong hebt daar de gemiddelde tegenpartij een achterstand heeft op het gebied van hersencapaciteit?
Of dat zo is laat ik in het midden maar gelukkig is niet elke verdachte zo op de hoogte van computers als hier op GOT :)
Je moet het maar zo zien, de politie vangt de domme en niet zo slimme boeven, de slimme jongens kunnen truukjes genoeg uithalen om geen sporen achter te laten. Gebruik bijv. eens een live cd..... weg sporen (op de computer, niet ergens anders natuurlijk).
Yor schreef op maandag 11 augustus 2008 @ 03:59:
[...]
Ik hou dit topic ook eens in de smiezen...mocht Pim ooit eens met pensioen gaan...;)
Dat duurt nog wel even :P
Eijkb schreef op maandag 11 augustus 2008 @ 08:30:
Wordt er voor dit soort beroepen ook gezocht naar mensen met veel ervaring op IT gebied maar zonder een politie vooropleiding? Werk inmiddels 10 jaar in de ICT, eerste 5 jaar bij grote internationale banken op mainframe en de laatste 5 jaar als technisch verantwoordelijke bij een hoster. Veel ervaring op security, methodieken en internet. Lijkt me best een goede basis voor een digitaal rechercheur.
Ja, daar wordt naar gezocht.
De politie en Kmar hebben bijna hun eigen vijver met ICT geschoolde mensen (of wannabees) leeg gevist en de functies kunnen soms niet meer gevuld worden.

Bij de Kmar zijn er in Den Haag en Apeldoorn vacatures en de politie door het hele land wel. Vaak is het alleen een kwestie van het met personeelszaken regelen dat er iemand van buiten aangenomen mag worden (in Apeldoorn kan dat nu).
In het begin zal het loon niet gelijk staan aan dat in de ICT maar dat is een keuze.

Zo heb ik gesolliciteerd naar de functie van vakexpert bij de Noordelijke Recherche Eenheid in Groningen, ik was ook aangenomen maar heb om redenen die ik hier niet post de functie (zelf) afgezegd


Het worden van bijzonder opsporingsambtenaar is niet moeilijk, je hoeft geen jaar naar school (fulltime) zoals ik dat moest :P

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME


Acties:
  • 0 Henk 'm!

  • Virtugon
  • Registratie: December 2002
  • Laatst online: 27-03-2023
Over encryptie gesproken. Het is mogelijk om de encryptie keys uit het geheugen van een computer te lezen, zelfs als deze gelockt is, in stand-by staat of net uit is gezet.

Klik hier voor een filmpje over cold boot attacks.

En wat dacht je van Firewire. Dankzij het feit dat deze toegang heeft tot DMA kun je m.b.v. Firewire ook het geheugen uitlezen (link) of andere leuke dingen, denk bijvoorbeeld maar aan Winlockpwn.

"A loaf that attempts to twist it's own fate is not a loaf at all, but is, in fact, a pretzel."


Acties:
  • 0 Henk 'm!

  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 14-05 09:00

Pim.

Aut viam inveniam, aut faciam

Virtugon schreef op maandag 11 augustus 2008 @ 09:31:
Over encryptie gesproken. Het is mogelijk om de encryptie keys uit het geheugen van een computer te lezen, zelfs als deze gelockt is, in stand-by staat of net uit is gezet.

Klik hier voor een filmpje over cold boot attacks.

En wat dacht je van Firewire. Dankzij het feit dat deze toegang heeft tot DMA kun je m.b.v. Firewire ook het geheugen uitlezen (link) of andere leuke dingen, denk bijvoorbeeld maar aan Winlockpwn.
Sfinxed it, surf it, done it :P

Het dunpen van geheugen via firewire is nog niet zo makkelijk als het lijkt. Ik heb hele verschillende ervaringen er mee. Om te beginnen lijkt het voor een groot gedeelte af te hangen aan de firewire controller op je onderzoeksmachine, daarnaast heb je een 50% kans dat de pc van de verdachte bevriest :|

Als het wel lukt is het best een kick :)

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME


Acties:
  • 0 Henk 'm!

  • Raven
  • Registratie: November 2004
  • Niet online

Raven

Marion Raven fan

Anoniem: 143916 schreef op maandag 11 augustus 2008 @ 01:37:
afhankelijk van je richting op MBO kan je net als ik 1 jaar vrijstelling krijgen...
de duurt de opleiding nog maar 3 jaar...

ik moet wel zeggen dat ik HBO veel veel leuker/vetter/intresanter/boeiender vind als MBO(Netwerkbeheerder)
Tijdje MK-Computer Interface Techniek (MBO4) gedaan, kwam niet verder dan halverwege 2e jaar, en heb voor de vakantie Medewerker Beheer ICT (MBO3) afgerond.
offtopic:
Maar nog altijd niet van school gehoord of ik geslaagd ben... :(

Zou ik met deze studie-achtergrond evt die kant op kunnen?
Pim. schreef op maandag 11 augustus 2008 @ 09:04:
[...]


Ligt aan de functie die je wilt bekleden.

Binnen de politie bestaan 3 niveaus:

• recherche ondersteuner (ik denk vmbo/MBO)
• digitaal rechercheur (minimaal MBO)
• vakexpert digitale recherche (HBO)
Keej.

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


Acties:
  • 0 Henk 'm!

  • The Realone
  • Registratie: Januari 2005
  • Laatst online: 19:26
Anoniem: 143916 schreef op zondag 10 augustus 2008 @ 22:33:
*is mogelijk beetje reclame maar wel heel toepasselijk

Op de HSzuyd in Heerlen wordt de opleiding NFR(Network Forensics Researcher) gegeven, deze opleiding is samen met fox-it opgezet...

Het heeft verder niet mijn ding, maar aangezien ik Network Infrastructure Design doe krijg ik de basis research vakken ook...

ik zal dit topic dan ook zeker blijven volgen ;)
Leek mij in eerste instantie ook niks, ik begon over 2 weken ook aan de NID opleiding in Heerlen. Maar wellicht dat het mijn interesse nog kan wekken. Heb je de afgelopen maanden eens een beetje ingelezen over dat hele gebeuren en het heeft mijn aandacht wel getrokken. Ook dit topic weer...we zullen eens kijken over een jaar of 2! :)

Acties:
  • 0 Henk 'm!

Anoniem: 143916

ik heb nu een half jaar NID/NFR gehad, en nu weet ik het echt zeker... ik hield eerst ook nog beiden opties open, maar nu weet ik het zeker...
Ik ga lekker de Design kant op

*ik zal dit vanavond nog wel even onderbouwen

[ Voor 12% gewijzigd door Anoniem: 143916 op 11-08-2008 13:12 ]


Acties:
  • 0 Henk 'm!

Anoniem: 178962

Pim. schreef op maandag 11 augustus 2008 @ 09:04:
Heb je wel een geprobeerd bitlocker te installeren ?? :P
Om te beginnen moet het bij install, dan heeft bijna niemand een TPM device dus zou er een USB stick te vinden moeten zijn die je weer de toegang geeft en niemand neemt de moeite.

Het meeste zorgen maak ik me om dingen als truecrypt, geen headers en footers, hoge mate van encryptie en zelfs nog de mogelijkheid van hidden containers.
Ja ik gebruik zelf bitlocker, was erg eenvoudig.

Mijn notebook, Toshiba Tecra M9, ongeveer een jaar oud heeft een TPM erin zitten.

Toen ik de notebook voor het eerst aanzette vroeg hij om een USB stick (die had ik er al voor aangeschaft), na het insteken van de stick en invullen van een wachtwoord werd het certificaat aangemaakt en de schijf beveiligd.

Nu is dat wel deels met hulp van Toshiba software, maar de encryptie zelf wordt volledig gedaan door Bitlocker. Zonder de stick en mijn wachtwoord doet ie dus helemaal niets en is als het goed is de schijf echt onleesbaar voor buitenstaanders.

Acties:
  • 0 Henk 'm!

  • Pinyin
  • Registratie: September 2002
  • Laatst online: 30-06 22:35
Ik volg de opleiding NID aan de HSZuyd - Heerlen met als afstudeerrichting NFR.
In Januari begint mijn afstudeertraject, welke bedrijven zouden volgens jullie interessant kunnen zijn voor een afstudeerder?

De opleiding pushed nogal richting Fox-IT, maar dat bedrijf spreekt me niet zo aan. Ze plaatsen zich nogal op een voetstuk & ik vraag me af of dat wel zo terecht is... Kan iemand hier iets over zeggen?

Acties:
  • 0 Henk 'm!

  • Equator
  • Registratie: April 2001
  • Laatst online: 08-07 17:41

Equator

Crew Council

#whisky #barista

UIt eigen ervaring kan in je zeggen dat Fox-iT zich niet zelf op dat voetstuk plaatst. Ze worden er op geplaatst door grote spelers in de markt.(ministeries en grote bedrijven) Ik ken de eigenaren persoonlijk. Beiden komen bij het NFI vandaan, en zijn gespecialiseerd in IT forensics. Ze hebben gewoonweg het gat in die markt gevonden en er samen ingesprongen.

Verder is Fox-iT een club met een heleboel jonge enthousiaste medewerkers met heel er g veel inhoudelijke kennis. Ik persoonlijk zou daar wel stage willen lopen. (Als dat nog een issue zou zijn ;) )

[ Voor 12% gewijzigd door Equator op 11-08-2008 15:27 . Reden: lakdnkahfkahk -> leesbare text ;) ]


Acties:
  • 0 Henk 'm!

  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 11-07 15:19
Ik doe momenteel de opleiding Particulier Digitaal Onderzoeker op het ROC ASA te utrecht.
Begin binnenkort aan mijn vierde jaar daar alweer.
Heb tot nu toe nog alleen wat gespeeld met ftk.
Ben benieuwd wat we in het laatste jaar allemaal gaan krijgen.
De eerste paar jaar waren voornamelijk spelen met linux en disk images maken enz.
Weet iemand nog boeken of programma`s die je echt moet kennen of waar van kennis goed van pas komt in het echt werkveld ?
Ben zelf wel benieuwd namelijk wat nu echt skills & programmas zijn die je moet kennen.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


Acties:
  • 0 Henk 'm!

  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 03-06 16:38

Nvidiot

notepad!

Twee aanraders om te lezen:
http://www.amazon.com/Win...ing-Toolkit/dp/159749156X
http://www.amazon.com/Rea...er-Security/dp/0321240693

Vooral de eerste gebruik ik nog regelmatig om even dingen in op te zoeken als ik precies wil weten hoe iets zit.

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)


Acties:
  • 0 Henk 'm!

  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 11-07 15:19
die eerste heb ik zelf ook in mun bezit als ik het goed heb.
Hij ziet er hetzelfde uit als een boek dat ik heb idd een goed boek zeer leerzaam.
En het tweede boek ook al :P
maar was eerder benieuwd naar welke tools naast het standaard encase en/of ftk worden gebruikt

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


Acties:
  • 0 Henk 'm!

  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 14-05 09:00

Pim.

Aut viam inveniam, aut faciam

* Pim. heeft net een mail gekregen dat hij EnCase Certified Examiner is *O* *O* *O* *O*

Iedereen die werkelijk de forensische opsporing in wil kan ik het EnCE examen (iig het boek) aanraden. Ik moet zeggen dat het één van de grootste uitdagingen is geweest die ik gehad heb :)

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME


Acties:
  • 0 Henk 'm!

  • BCC
  • Registratie: Juli 2000
  • Laatst online: 22:30

BCC

Waar heb je dat gedaan? En waar heb je het boek vandaan?

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.


Acties:
  • 0 Henk 'm!

  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 14-05 09:00

Pim.

Aut viam inveniam, aut faciam

Ik heb fase 1 (de 180 vragen) in Las Vegas gedaan tijdens de CEIC en fase 2 thuis (daar staat 2 maanden voor)

edit: het boek heb ik via via gekregen :P

[ Voor 16% gewijzigd door Pim. op 11-08-2008 22:06 ]

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME


Acties:
  • 0 Henk 'm!

Anoniem: 143916

Gefeliciteerd :+

Acties:
  • 0 Henk 'm!

  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 03-06 16:38

Nvidiot

notepad!

lordgandalf schreef op maandag 11 augustus 2008 @ 18:50:
die eerste heb ik zelf ook in mun bezit als ik het goed heb.
Hij ziet er hetzelfde uit als een boek dat ik heb idd een goed boek zeer leerzaam.
En het tweede boek ook al :P
maar was eerder benieuwd naar welke tools naast het standaard encase en/of ftk worden gebruikt
Het is erg nuttig om een scripting taal als Perl of Python ofzo te kennen. Het komt vaak voor dat Encase of FTK net niet doet wat je wilt doen, als je dan even een scriptje kunt klussen om het werk voor je te doen is dat erg handig.

@Pim. Gefeliciteerd :)

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)


Acties:
  • 0 Henk 'm!

  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 14-05 09:00

Pim.

Aut viam inveniam, aut faciam

Verder geen IT forensic mensjes hier ??

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME


Acties:
  • 0 Henk 'm!

Anoniem: 70162

/\ /\ /\ ikke niet :P
ben hard bezig om opgeleid te worden tot professioneel it'er, maar mijn interesses liggen toch vooral bij de zaken waar al dat moois ooit voor bedacht is. en dat zal voor meer mensen gelden :)
Pim. schreef op maandag 11 augustus 2008 @ 09:04:
[...]


Of dat zo is laat ik in het midden maar gelukkig is niet elke verdachte zo op de hoogte van computers als hier op GOT :)
hoelang gaat dat duren denk je?

vroegah liet iedere boef overal z'n DNA achter, en nog vroegah z'n vingerafdrukken.
is tegenwoordig al een stuk minder.


ik kan me zo voorstellen dat inmiddels iedere boef wel weet dat als je stoute dingen doet op een computer, dat er dan op z'n minst een probleem ontstaat. of niet?

[ Voor 16% gewijzigd door Anoniem: 70162 op 16-08-2008 01:34 ]


Acties:
  • 0 Henk 'm!

  • Jazzper
  • Registratie: Juli 2001
  • Laatst online: 29-03 15:34

Jazzper

BB4E^Guerilla

ha, leuk topic. Ik heb enkele jaren terug (jaar of 6?) een keer een site gevonden die volgens mij een wervingssite voor het NFI was. Ik weet de naam niet meer maar volgens mij sherlock of holmes.nl (geen grap ;)) Hmm Google biedt weinig uitkomst en geen zin om te zoeken nu. Vond het allemaal machtig interessant. Leuk topic om te volgen dus voor mij en ik zal de blogs ook eens doornemen.

webstek // Urenwerk - horlogeblog // mijn fotogear en beste fotos // Instagram @jazzper_nl


Acties:
  • 0 Henk 'm!

  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 11-07 15:19
Perl is idd een leuk taaltje om veel dingen te doen in een korte tijd.
Python ben ik nog niet erg bekend mee ken wel wat ervan maar nog niet genoeg :P

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


Acties:
  • 0 Henk 'm!

  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 14-05 09:00

Pim.

Aut viam inveniam, aut faciam

Anoniem: 70162 schreef op zaterdag 16 augustus 2008 @ 01:33:

hoelang gaat dat duren denk je?

vroegah liet iedere boef overal z'n DNA achter, en nog vroegah z'n vingerafdrukken.
is tegenwoordig al een stuk minder.


ik kan me zo voorstellen dat inmiddels iedere boef wel weet dat als je stoute dingen doet op een computer, dat er dan op z'n minst een probleem ontstaat. of niet?
Gaat niet gebeuren, als je ziet hoeveel sporen er nu al terug te vinden zijn waar niemand weet van heeft en er van uit gaande dat een beetje crimineel niet verwacht dat hij de politie achter zich aan krijgt gaat dat altijd wel zo blijven denk ik.

Alleen de echte IT boyz (en pedo's) weten hoe je goed beveiligd en de IT'er is niet per definitie doelgroep :+
Jazzper schreef op zaterdag 16 augustus 2008 @ 01:41:
ha, leuk topic. Ik heb enkele jaren terug (jaar of 6?) een keer een site gevonden die volgens mij een wervingssite voor het NFI was. Ik weet de naam niet meer maar volgens mij sherlock of holmes.nl (geen grap ;)) Hmm Google biedt weinig uitkomst en geen zin om te zoeken nu. Vond het allemaal machtig interessant. Leuk topic om te volgen dus voor mij en ik zal de blogs ook eens doornemen.
Holmes.nl :)

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME


Acties:
  • 0 Henk 'm!

  • Stoney3K
  • Registratie: September 2001
  • Laatst online: 20:50

Stoney3K

Flatsehats!

Leuk om dit eens te lezen en te weten wat er achter steekt.

Wat ik me trouwens al lang afvraag, en vooral met de huidige politieke situatie (war on terrorism enzo): Hoeveel moeite gaan IT-opsporingsambtenaren doen voor welk vergrijp? Ik heb menig verhaal gehoord van invallen aan de hand van BREIN op universiteiten en LAN-parties, en de betreffende schrikreacties van gamers en andere tweakers hierop... vooral de bedachte oplossingen om dat soort invallen te verijdelen en het bedenken van iedereen hoe ver een en ander ging om uit te vogelen of user x werkelijk warez, films en MP3's op zijn disk had staan.

Ik kan me prima voorstellen dat een forensisch instituut voor een zwaarder vergrijp meer moeite zal doen: In een onderzoek naar een of andere warez-groep zullen jullie niet gauw terugvallen op het uitlezen van het achtergebleven magnetisme op een harddisk, terwijl ik me zoiets voor een terrorisme-verdenking of een kinderporno-verspreider wel voor kan stellen.

Kun je wat meer uitleg geven over welke methodes waarvoor gebruikt worden, of mag je daar om veiligheidsredenen geen uitspraak over doen?
Ik zal als voorzorg alvast mijn harddisk in de magnetron schuiven :P

Zet het daar maar neer! -- It's time to party like it's 1984 -- Soundcloud


Acties:
  • 0 Henk 'm!

  • Pim.
  • Registratie: Mei 2001
  • Laatst online: 14-05 09:00

Pim.

Aut viam inveniam, aut faciam

Stoney3K schreef op zaterdag 16 augustus 2008 @ 18:14:
Leuk om dit eens te lezen en te weten wat er achter steekt.

Wat ik me trouwens al lang afvraag, en vooral met de huidige politieke situatie (war on terrorism enzo): Hoeveel moeite gaan IT-opsporingsambtenaren doen voor welk vergrijp? Ik heb menig verhaal gehoord van invallen aan de hand van BREIN op universiteiten en LAN-parties, en de betreffende schrikreacties van gamers en andere tweakers hierop... vooral de bedachte oplossingen om dat soort invallen te verijdelen en het bedenken van iedereen hoe ver een en ander ging om uit te vogelen of user x werkelijk warez, films en MP3's op zijn disk had staan.
Je moet nu geen dingen door elkaar gaan halen he ;)
Er zijn landelijk gelden voor anti-terroristme beschikbaar gesteld en daar worden door verschillende instanties gebruik van gemaakt voor verschillende doelen (zoals digitale recherche)
BREIN is een publieke organisatie die, in mijn ogen te veel rechten heeft verkregen de afgelopen jaren. BREIN doet dan ook geen strafrechtelijke onderzoeken al doen ze dat graag blijken.
Ik kan me prima voorstellen dat een forensisch instituut voor een zwaarder vergrijp meer moeite zal doen: In een onderzoek naar een of andere warez-groep zullen jullie niet gauw terugvallen op het uitlezen van het achtergebleven magnetisme op een harddisk, terwijl ik me zoiets voor een terrorisme-verdenking of een kinderporno-verspreider wel voor kan stellen.
Kun je wat meer uitleg geven over welke methodes waarvoor gebruikt worden, of mag je daar om veiligheidsredenen geen uitspraak over doen?
Ik zal als voorzorg alvast mijn harddisk in de magnetron schuiven :P
Een forensisch instituut zal altijd naar de waarheid zoeken aangezien hun geloofwaardigheid elke keer weer op het spel staat.
Om te beginnen is digitale recherche een ondersteunende sport, net als financieel en technische recherche.
De methodes die gebruikt worden zijn over het algemeen wel te vergelijken maar worden per niveau natuurlijk ingewikkelder. Je moet bij elk onderzoek de vraag stellen welke informatie je wilt hebben en die informatie komt normaal gesproken uit het recherche proces.
En specifieke methodes ... sjah, dat kan het onderzoeken van de PC zijn, bevragingen bij internetproviders, nazoeken van logbestanden, email onderzoek enz enz.

"The trouble with quotes from the Internet is that you can never know if they are genuine." - Elvis Presley | Niet met me eens ? DM ME


Acties:
  • 0 Henk 'm!

  • Stoney3K
  • Registratie: September 2001
  • Laatst online: 20:50

Stoney3K

Flatsehats!

Pim. schreef op zaterdag 16 augustus 2008 @ 20:27:
[...]
Je moet nu geen dingen door elkaar gaan halen he ;)
Er zijn landelijk gelden voor anti-terroristme beschikbaar gesteld en daar worden door verschillende instanties gebruik van gemaakt voor verschillende doelen (zoals digitale recherche)
BREIN is een publieke organisatie die, in mijn ogen te veel rechten heeft verkregen de afgelopen jaren. BREIN doet dan ook geen strafrechtelijke onderzoeken al doen ze dat graag blijken.
[...]
Ik kan me herinneren dat de lui van BREIN toch een jaar of twee geleden bijzondere opsporingsbevoegdheid gekregen hebben? Of is dat alleen maar een potje scare tactics van hun kant uit geweest, toen de P2P-netwerken zo gigantisch aan het groeien waren?
Een forensisch instituut zal altijd naar de waarheid zoeken aangezien hun geloofwaardigheid elke keer weer op het spel staat.
Om te beginnen is digitale recherche een ondersteunende sport, net als financieel en technische recherche.
De methodes die gebruikt worden zijn over het algemeen wel te vergelijken maar worden per niveau natuurlijk ingewikkelder. Je moet bij elk onderzoek de vraag stellen welke informatie je wilt hebben en die informatie komt normaal gesproken uit het recherche proces.
En specifieke methodes ... sjah, dat kan het onderzoeken van de PC zijn, bevragingen bij internetproviders, nazoeken van logbestanden, email onderzoek enz enz.
Dat bedoelde ik dus, het is inderdaad de vraag wat voor informatie je uit een methode krijgt en wat je daar uiteindelijk aan hebt.
De methodes die jij noemt beschouw ik al als redelijk duidelijk, sinds dat uiteraard gewoon klassiek detective-werk is. Maar ik kan me herinneren dat er hier op Tweakers ook een redelijk lang draadje ter lering ende vermaak gelopen heeft, waarin de hypothetische situatie zich voordeed dat er een inval van recherche/politie/wat dan ook aan zat te komen (je zag de bus bij wijze van al voor de deur parkeren) en je hele hebben en houden m.b.t. hardware werd meegenomen. Wat zou je doen?
Needless to say, alle enigszins data-destructieve methodes van het simpele "FORMAT C:" tot harddisks in de magnetron tot lompere methodes met hamers en hydraulische persen hebben de revue wel gepasseerd. Het was best interesting reading :)

Uiteraard is het wel zo, dat als je dat soort trucs uithaalt om je data permanent te vernietigen omdat je niet wil dat het in overheidshanden valt, je serieus al weet wat je aan het doen bent en fout zit. En dan heb ik het niet over een simpel filesharing-servertje op je lokale LAN-party, maar de echt lompe zaken die niet door de beugel kunnen.

Een gerelateerde issue (maar iets voor een ander draadje) is het tegenwoordige beleid op Amerikaanse luchthavens om laptops bij binnenkomst en uitgang op te starten, en te kijken welke data er op staat (malicious of niet). Er is ook al aardig over gebabbeld hoe ver de douaniers in dat geval mogen gaan en hoe je het beste je échte privé data (zoals familiefoto's, liefdesbrieven, enz...) uit de handen van die lui kan houden. Ook een leuk onderwerp :)

Zet het daar maar neer! -- It's time to party like it's 1984 -- Soundcloud


Acties:
  • 0 Henk 'm!

Anoniem: 178962

Het aanzetten van de laptop is enkel om te bekijken of het wel echt een laptop is en de accu geen verborgen explosief is (een explosief is eenvoudig te maken in de vorm en met de bestanddelen van een normale computer accu).

Bij het aanzetten sta je altijd zelf bij (ze vragen het meestal gewoon aan je of je em even aan wil zetten) en zodra ze iets van een opstart scherm zien mag ie weer uit. Dat heeft echt niets te maken met de data die erop staat. Alsof ze daar tijd voor hebben om naar te kijken.

Acties:
  • 0 Henk 'm!

  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 11-07 15:19
Voor zover ik weet is BREIN nog altijd een particuliere organisatie en voorzover ik weet hebben ze geen opsporingsbevoegdheden.
En over de te volgen stappen tijdens een onderzoek dat hangt af van het onderzoek.
Maar je probeert idd altijd de waarheid te achterhalen en als daar een reconstructie van data op een hdd voor aan de pas moet komen kan het voorkomen dat dat gebeurt.
Maar dat is allemaal afhankelijk naar wat je zoekt.
Imho. zouw je bij een warez groep juist de hdd`s onderzoeken op gewiste bestanden en hdd`s die "leeg" zijn bekijken op data die deze hebben bevat omdat daar bewijzen kunnen liggen.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


Acties:
  • 0 Henk 'm!

  • PromoX
  • Registratie: Februari 2002
  • Laatst online: 23-06 13:58

PromoX

Flying solo

Anoniem: 178962 schreef op zaterdag 16 augustus 2008 @ 23:40:
Bij het aanzetten sta je altijd zelf bij (ze vragen het meestal gewoon aan je of je em even aan wil zetten) en zodra ze iets van een opstart scherm zien mag ie weer uit. Dat heeft echt niets te maken met de data die erop staat. Alsof ze daar tijd voor hebben om naar te kijken.
Blijkbaar hebben ze dat wel, ook al gaat het dan misschien om een selecte groep:
nieuws: Douane Schiphol doorzoekt mobiele telefoons en laptops

Het zou me niet verbazen dat er landen zijn die bij een grotere groep (uitgebreidere) controles uitvoert.

And I'm the only one and I walk alone.


Acties:
  • 0 Henk 'm!

  • Yor
  • Registratie: Januari 2004
  • Laatst online: 11-06 16:19

Yor

Yor1313#2571

lordgandalf schreef op zondag 17 augustus 2008 @ 00:36:
Voor zover ik weet is BREIN nog altijd een particuliere organisatie en voorzover ik weet hebben ze geen opsporingsbevoegdheden.
En over de te volgen stappen tijdens een onderzoek dat hangt af van het onderzoek.
Maar je probeert idd altijd de waarheid te achterhalen en als daar een reconstructie van data op een hdd voor aan de pas moet komen kan het voorkomen dat dat gebeurt.
Maar dat is allemaal afhankelijk naar wat je zoekt.
Imho. zouw je bij een warez groep juist de hdd`s onderzoeken op gewiste bestanden en hdd`s die "leeg" zijn bekijken op data die deze hebben bevat omdat daar bewijzen kunnen liggen.
De NS is ook een particuliere organisatie en toch hebben bijna alle conducteurs wel opsporingsbevoegheid.
Je hoeft niet persé in dienst van de Overheid te zijn om opsporingsbevoegheid te hebben.

http://yor.minitroopers.com


Acties:
  • 0 Henk 'm!

Anoniem: 178962

PromoX schreef op zondag 17 augustus 2008 @ 01:14:
[...]

Blijkbaar hebben ze dat wel, ook al gaat het dan misschien om een selecte groep:
nieuws: Douane Schiphol doorzoekt mobiele telefoons en laptops

Het zou me niet verbazen dat er landen zijn die bij een grotere groep (uitgebreidere) controles uitvoert.
Dat was maar een pilot, dus een kleine proef onder een heel select aantal personen.

Grootschalig zoiets toepassen gebeurt niet en kan ook niet al was het maar om juridische redenen.

In de VS vragen ze dus wel vaak om laptops aan te zetten (mij al een paar keer overkomen) maar dat duurt echt maar een paar sec, zodra het bios scherm in beeld komt mag de laptop alweer uit. De reden voor deze test is dus om te kijken of het wel echt een laptop is en heeft niets met data te maken.

Al mogen ze het schijnbaar wel, als je internet mag geloven. Majah volgens mij mag US customs ongeveer alles...

[ Voor 5% gewijzigd door Anoniem: 178962 op 17-08-2008 01:57 ]


Acties:
  • 0 Henk 'm!

  • PromoX
  • Registratie: Februari 2002
  • Laatst online: 23-06 13:58

PromoX

Flying solo

Anoniem: 178962 schreef op zondag 17 augustus 2008 @ 01:53:
[...]

Dat was maar een pilot, dus een kleine proef onder een heel select aantal personen.
Maar die houden ze dan toch zeker wel om te kijken of het werkt en zo ja, het uiteindelijk op grotere schaal toe te gaan passen? Het lijkt mij overigens dat Nederland het niet zelf bedacht heeft en het idee overgewaaid is uit andere landen waar dit soort controles alwel op reguliere basis uitgevoerd worden of heb ik dat mis?

[ Voor 3% gewijzigd door PromoX op 17-08-2008 02:02 ]

And I'm the only one and I walk alone.


Acties:
  • 0 Henk 'm!

  • Stoney3K
  • Registratie: September 2001
  • Laatst online: 20:50

Stoney3K

Flatsehats!

Anoniem: 178962 schreef op zondag 17 augustus 2008 @ 01:53:
[...]
In de VS vragen ze dus wel vaak om laptops aan te zetten (mij al een paar keer overkomen) maar dat duurt echt maar een paar sec, zodra het bios scherm in beeld komt mag de laptop alweer uit. De reden voor deze test is dus om te kijken of het wel echt een laptop is en heeft niets met data te maken.
En dan nog kan ik me in deze dagen met herprogrammeerbare BIOSsen en ACPI controllers best een pure software-based oplossing bedenken waarmee je de laptop normaal kan gebruiken, totdat je op je Windows desktop een icoontje aanklikt, een paar seconden later -> accu short-circuit en BAM!

Ik kan me voorstellen dat dat in zijn eentje niet zo gruwelijk veel schade doet, maar het is misschien een redelijk beangstigend vooruitzicht voor 'malware-terrorisme'. Als alle laptops aan boord van een vliegtuig tegelijk zonder tussenkomst van de bedoelde gebruiker in de hens kunnen vliegen, dan heb je immers wel een behoorlijk probleem.

Zet het daar maar neer! -- It's time to party like it's 1984 -- Soundcloud


Acties:
  • 0 Henk 'm!

  • MuisM4t
  • Registratie: Mei 2007
  • Niet online
Dan mogen die terroristen wel een flinke voorraad BIOSsen schrijven, voor al die verschillende soorten laptops in één vliegtuig.

Los van de vraag hoe ze die BIOSsen erop gaan zetten.

Acties:
  • 0 Henk 'm!

  • unclero
  • Registratie: Juni 2001
  • Laatst online: 09-07 15:42

unclero

MB EQA ftw \o/

Pim. schreef op zaterdag 16 augustus 2008 @ 01:04:
Verder geen IT forensic mensjes hier ??
Nope. Vlak voor het einde van mijn studie wel door wat kameraden bij de politie een vacature onder me neus geschoven gekregen. Zag er wel interessant uit, totdat ik bij de arbeidsvoorwaarden kwam :/.
Stoney3K schreef op zondag 17 augustus 2008 @ 04:52:
En dan nog kan ik me in deze dagen met herprogrammeerbare BIOSsen en ACPI controllers best een pure software-based oplossing bedenken waarmee je de laptop normaal kan gebruiken, totdat je op je Windows desktop een icoontje aanklikt, een paar seconden later -> accu short-circuit en BAM!
Je denkt te moeilijk. ;)
Een IPC'tje en een circuitje die een scherm aanstuurt (even een BIOS en Windows opstartscherm simuleren) plus batterijen neemt misschien de helft van de inhoud van een laptop in. Kun je de andere helft vullen met plakken semtex. Of je bouwt een accu na op basis van AA batterijen, het hoeft maar een minuut te draaien. De ruimte die je over houd in het accu-compartiment kun je met andere dingen vullen.

Quelle chimère est-ce donc que l'homme? Quelle nouveauté, quel monstre, quel chaos, quel sujet de contradiction, quel prodige!


Acties:
  • 0 Henk 'm!

  • Stoney3K
  • Registratie: September 2001
  • Laatst online: 20:50

Stoney3K

Flatsehats!

unclero schreef op woensdag 20 augustus 2008 @ 10:19:
Je denkt te moeilijk. ;)
Een IPC'tje en een circuitje die een scherm aanstuurt (even een BIOS en Windows opstartscherm simuleren) plus batterijen neemt misschien de helft van de inhoud van een laptop in. Kun je de andere helft vullen met plakken semtex. Of je bouwt een accu na op basis van AA batterijen, het hoeft maar een minuut te draaien. De ruimte die je over houd in het accu-compartiment kun je met andere dingen vullen.
Dat zal wel functioneren, maar zal gelijk bij de eerste de beste X-Ray scan bij een beveiligingspoortje door de mand vallen. Dus dat zal nooit aan boord van een kist komen :)

Zet het daar maar neer! -- It's time to party like it's 1984 -- Soundcloud


Acties:
  • 0 Henk 'm!

  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 18:06

sh4d0wman

Attack | Exploit | Pwn

Je hoeft ook niet je hele laptop vol te stoppen met semtex, net genoeg om door de vliegtuig wand te komen. Hier nog een leuk artikel over airline security: http://www.i-hacked.com/content/view/267/2/

Maar we dwalen enigzins af van de topic start ;)

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.


Acties:
  • 0 Henk 'm!

  • unclero
  • Registratie: Juni 2001
  • Laatst online: 09-07 15:42

unclero

MB EQA ftw \o/

*wist*

Ja, laten we ontopic gaan ;).

[ Voor 95% gewijzigd door unclero op 20-08-2008 17:14 ]

Quelle chimère est-ce donc que l'homme? Quelle nouveauté, quel monstre, quel chaos, quel sujet de contradiction, quel prodige!


Acties:
  • 0 Henk 'm!

  • Virtugon
  • Registratie: December 2002
  • Laatst online: 27-03-2023
De Windows Incident Response blog heeft weer een interessant artikeltje geplaatst over "Browser Artifact Analysis". link

Verder ligt eindelijk het boek "Malware Forensics: Investigating and Analyzing Malicious Code" in de schappen. Ik heb een begin gemaakt in dit boek en ik moet zeggen dat het wel een goed geschreven en zeer interessant boek is tot dusver.

"A loaf that attempts to twist it's own fate is not a loaf at all, but is, in fact, a pretzel."


Acties:
  • 0 Henk 'm!

  • Onbekend
  • Registratie: Juni 2005
  • Laatst online: 19:37

Onbekend

...

Ik lees het bericht nieuws: Microsoft voegt privacymodus toe aan IE8
en moest gelijk aan dit topic denken.

Volgens mij is alleen een verkooppraatje. Als je illegale sites opzoekt blijft er altijd wel iets achter op de computer in de vorm van verwijderde cookies of zou dat alleen maar gebruik maken van het ram?

Trouwens, de ISP kan ook geraadpleegd worden over de opgevraagde pagina's en bestanden. Dus het is eigenlijk alleen maar voor de mensen die niet verder denken, denk ik. :)

Speel ook Balls Connect en Repeat


  • Michaelg
  • Registratie: Februari 2006
  • Laatst online: 11-07 19:49
Leuk topic dit,

Ik ben zelf sinds een paar maanden klaar met me MBO N4 opleiding PDR - Particulier Digitaal Rechercheur, en heb binnen die opleiding ook nog een apart examen moeten halen namenlijk PO - Particulier Onderzoeker.
Ik heb het 2 jarige traject in Rotterdam gedaan omdat ik al een N3 diploma Medewerker Beheer ICT had.

Nu ben ik klaar met de opleiding ben, heb ik het idee dat ong 75% van de lessen echt totale onzin was. Er wordt veel te weinig tijd besteed aan de software pakketten die er zijn om bewijs materiaal te onderzoeken. En teveel tijd in de security kant gestoken.

Na het eerste jaar ben ik begonnen met stage en daar begon het echte leerproces eigenlijk. Ik kreeg de mogelijkheid om veel met FTK te werken, en hierin ook cursussen te volgen (mijn begeleider geeft die cursussen). Ook ben ik meerdere malen mee geweest naar klanten om daar data veilig te stellen. Meekijken met zaken, en proberen mee te denken met de onderzoeker was echt geweldig en heb ik ook enorm veel van geleerd.

En dan ben je klaar met je studie...en wat dan. Ik heb ervoor gekozen om toch door te gaan met me HBO opleiding maar dan in een iets andere richting, namelijk HBO Rechten.
Dit om mijn juridische vaardigheden uit te breiden en om kennis te krijgen van zowel het technische als het juridische gedeelte van een Digitaal Onderzoeker. Volgens mijn stage-begeleider was dit een goede keuze omdat het een totaal nieuwe markt betreft en ik dan kennis van beide kanten zou hebben.

Tip voor mensen die ook zitten te denken aan de opleiding PDR (tegenwoordig alweer PDO volgens mij) te volgen:

De stof op school stelt niet zoveel voor en verheug je daar ook niet teveel op. Zorg voor een goed stage adres waar je zaken kan behandelen die relevant zijn met de opleiding. En daar begint de fun pas echt.

https://www.youtube.com/channel/UCb9hDbClUJUNw_a0v7qCBKA | https://www.strava.com/athletes/33148913


Acties:
  • 0 Henk 'm!

  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 03-06 16:38

Nvidiot

notepad!

Onbekend schreef op dinsdag 26 augustus 2008 @ 11:13:
Ik lees het bericht nieuws: Microsoft voegt privacymodus toe aan IE8
en moest gelijk aan dit topic denken.

Volgens mij is alleen een verkooppraatje. Als je illegale sites opzoekt blijft er altijd wel iets achter op de computer in de vorm van verwijderde cookies of zou dat alleen maar gebruik maken van het ram?

Trouwens, de ISP kan ook geraadpleegd worden over de opgevraagde pagina's en bestanden. Dus het is eigenlijk alleen maar voor de mensen die niet verder denken, denk ik. :)
http://webwereld.nl/artic...8-laat-sporen-achter.html

Klinkt dus leuk, maar werkt dus niet goed genoeg om je te verbergen voor een forensisch onderzoeker. :)

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)


Acties:
  • 0 Henk 'm!

  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 18:06

sh4d0wman

Attack | Exploit | Pwn

Ik ben recent ook wat bezig met forensics maar loop tegen een probleem aan. Misschien dat jullie mij van tips kunnen voorzien :P

Probleem: ik heb een Creative Zen 2 GB MP3 speler met ingebouwd flash memory welke via USB met de computer verbonden kan worden. Ik wil een image van deze player maken. In FTK Imager kan ik echter dit device niet terug vinden aangezien het geen driveletter krijgt maar onder music device oid zichtbaar is.

Weten jullie hoe ik van deze player een image kan maken? Wellicht via linux/helix met dd? Daar ben ik alleen niet zo in thuis :X

[ Voor 3% gewijzigd door sh4d0wman op 08-10-2008 09:56 ]

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.


Acties:
  • 0 Henk 'm!

  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 11-07 15:19
Michaelg schreef op donderdag 28 augustus 2008 @ 11:43:
Leuk topic dit,

Ik ben zelf sinds een paar maanden klaar met me MBO N4 opleiding PDR - Particulier Digitaal Rechercheur, en heb binnen die opleiding ook nog een apart examen moeten halen namenlijk PO - Particulier Onderzoeker.
Ik heb het 2 jarige traject in Rotterdam gedaan omdat ik al een N3 diploma Medewerker Beheer ICT had.

Nu ben ik klaar met de opleiding ben, heb ik het idee dat ong 75% van de lessen echt totale onzin was. Er wordt veel te weinig tijd besteed aan de software pakketten die er zijn om bewijs materiaal te onderzoeken. En teveel tijd in de security kant gestoken.

Na het eerste jaar ben ik begonnen met stage en daar begon het echte leerproces eigenlijk. Ik kreeg de mogelijkheid om veel met FTK te werken, en hierin ook cursussen te volgen (mijn begeleider geeft die cursussen). Ook ben ik meerdere malen mee geweest naar klanten om daar data veilig te stellen. Meekijken met zaken, en proberen mee te denken met de onderzoeker was echt geweldig en heb ik ook enorm veel van geleerd.

En dan ben je klaar met je studie...en wat dan. Ik heb ervoor gekozen om toch door te gaan met me HBO opleiding maar dan in een iets andere richting, namelijk HBO Rechten.
Dit om mijn juridische vaardigheden uit te breiden en om kennis te krijgen van zowel het technische als het juridische gedeelte van een Digitaal Onderzoeker. Volgens mijn stage-begeleider was dit een goede keuze omdat het een totaal nieuwe markt betreft en ik dan kennis van beide kanten zou hebben.

Tip voor mensen die ook zitten te denken aan de opleiding PDR (tegenwoordig alweer PDO volgens mij) te volgen:

De stof op school stelt niet zoveel voor en verheug je daar ook niet teveel op. Zorg voor een goed stage adres waar je zaken kan behandelen die relevant zijn met de opleiding. En daar begint de fun pas echt.
Ik moet binnenkort op 4 november ook mun PO examen halen. Ben nu 4de jaars PDO en onze school zei dat ze de eerste waren in nederland.
Maar zoals ik uit je verhaal begrijp heb je een versneld traject gedaan ???

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


Acties:
  • 0 Henk 'm!

  • Michaelg
  • Registratie: Februari 2006
  • Laatst online: 11-07 19:49
lordgandalf schreef op woensdag 08 oktober 2008 @ 20:00:
[...]


Ik moet binnenkort op 4 november ook mun PO examen halen. Ben nu 4de jaars PDO en onze school zei dat ze de eerste waren in nederland.
Maar zoals ik uit je verhaal begrijp heb je een versneld traject gedaan ???
Ja inderdaad, ik heb het versnelde traject gedaan omdat ik al een N3 diploma in de ICT heb.

Suc6 met je examen PO. Denk er niet te moeilijk over, het belangrijkste is dat je de vragen goed leest, en niet intrapt in valkuilen.

https://www.youtube.com/channel/UCb9hDbClUJUNw_a0v7qCBKA | https://www.strava.com/athletes/33148913


Acties:
  • 0 Henk 'm!

  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 11-07 15:19
Michaelg schreef op donderdag 09 oktober 2008 @ 00:12:
[...]


Ja inderdaad, ik heb het versnelde traject gedaan omdat ik al een N3 diploma in de ICT heb.

Suc6 met je examen PO. Denk er niet te moeilijk over, het belangrijkste is dat je de vragen goed leest, en niet intrapt in valkuilen.
i know we krijgen les van mensen die het examen maken.
Toen ik begon hadden ze nog geen versneld traject

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


Acties:
  • 0 Henk 'm!

  • Equator
  • Registratie: April 2001
  • Laatst online: 08-07 17:41

Equator

Crew Council

#whisky #barista

sh4d0wman schreef op woensdag 08 oktober 2008 @ 09:45:
Ik ben recent ook wat bezig met forensics maar loop tegen een probleem aan. Misschien dat jullie mij van tips kunnen voorzien :P

Probleem: ik heb een Creative Zen 2 GB MP3 speler met ingebouwd flash memory welke via USB met de computer verbonden kan worden. Ik wil een image van deze player maken. In FTK Imager kan ik echter dit device niet terug vinden aangezien het geen driveletter krijgt maar onder music device oid zichtbaar is.

Weten jullie hoe ik van deze player een image kan maken? Wellicht via linux/helix met dd? Daar ben ik alleen niet zo in thuis :X
Booten met een linux versie en dan met 'dd' een image maken..
dd /dev/sda1 /temp/sda1.img


Waarbij /dev/sda1 dan het device is die je moet hebben. via 'dmesg | less' kan je er wel achterkomen welk device je moet hebben..

Maar als er eventueel 'bewijs materiaal' op staat zou ik er wel voor zorgen dat je de usb stick nooit 'mount'.

Ik heb nog niet met Helix gewerkt, maar daar moet dat ook mee kunnen lijkt me..

Acties:
  • 0 Henk 'm!

  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 18:06

sh4d0wman

Attack | Exploit | Pwn

Bedankt voor de info! Ik ga me even verder inlezen en eerst alles veilig testen op een andere mp3speler. Heb al wel uitgevonden hoe het bestandsysteem in elkaar zou moeten zitten.

Ik mis in de topic start nog interessante boeken. Wat kunnen jullie aanraden? Zelf zag ik de volgende boeken:
- Certified Hacking Forensic Investigator
- File System Forensic Analysis ISBN: 0321268172
- Windows Forensic Analysis ISBN: 159749156X
- EnCase Computer Forensics ISBN: 0470181451

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.


Acties:
  • 0 Henk 'm!

  • Michaelg
  • Registratie: Februari 2006
  • Laatst online: 11-07 19:49
Real digital forensics - ISBN: 0-321-24069-3

https://www.youtube.com/channel/UCb9hDbClUJUNw_a0v7qCBKA | https://www.strava.com/athletes/33148913


Acties:
  • 0 Henk 'm!

  • Yor
  • Registratie: Januari 2004
  • Laatst online: 11-06 16:19

Yor

Yor1313#2571

Kwam op mijn rondje het volgende tegen:

http://www.pp24.nl/TV-rep...tionale-ENFSC-conferentie

Misschien leuk voor de kenners?

http://yor.minitroopers.com


Acties:
  • 0 Henk 'm!

  • Virtugon
  • Registratie: December 2002
  • Laatst online: 27-03-2023
sh4d0wman schreef op woensdag 15 oktober 2008 @ 08:43:
Ik mis in de topic start nog interessante boeken. Wat kunnen jullie aanraden
Ik heb een aantal boeken toegevoegd aan de startpost.

Ik zie veel mensen praten over hun opleiding en hun ervaringen. Zijn er misschien ook mensen die wat willen delen over hun praktijkervaring? Leuke cases waar je geanonimiseerd het eea van vrij mag geven misschien?

"A loaf that attempts to twist it's own fate is not a loaf at all, but is, in fact, a pretzel."


Acties:
  • 0 Henk 'm!

  • loser180
  • Registratie: Maart 2002
  • Laatst online: 06-07 06:34
Michaelg schreef op donderdag 28 augustus 2008 @ 11:43:
Leuk topic dit,

Ik ben zelf sinds een paar maanden klaar met me MBO N4 opleiding PDR - Particulier Digitaal Rechercheur, en heb binnen die opleiding ook nog een apart examen moeten halen namenlijk PO - Particulier Onderzoeker.
Ik heb het 2 jarige traject in Rotterdam gedaan omdat ik al een N3 diploma Medewerker Beheer ICT had.

Nu ben ik klaar met de opleiding ben, heb ik het idee dat ong 75% van de lessen echt totale onzin was. Er wordt veel te weinig tijd besteed aan de software pakketten die er zijn om bewijs materiaal te onderzoeken. En teveel tijd in de security kant gestoken.

Na het eerste jaar ben ik begonnen met stage en daar begon het echte leerproces eigenlijk. Ik kreeg de mogelijkheid om veel met FTK te werken, en hierin ook cursussen te volgen (mijn begeleider geeft die cursussen). Ook ben ik meerdere malen mee geweest naar klanten om daar data veilig te stellen. Meekijken met zaken, en proberen mee te denken met de onderzoeker was echt geweldig en heb ik ook enorm veel van geleerd.

En dan ben je klaar met je studie...en wat dan. Ik heb ervoor gekozen om toch door te gaan met me HBO opleiding maar dan in een iets andere richting, namelijk HBO Rechten.
Dit om mijn juridische vaardigheden uit te breiden en om kennis te krijgen van zowel het technische als het juridische gedeelte van een Digitaal Onderzoeker. Volgens mijn stage-begeleider was dit een goede keuze omdat het een totaal nieuwe markt betreft en ik dan kennis van beide kanten zou hebben.

Tip voor mensen die ook zitten te denken aan de opleiding PDR (tegenwoordig alweer PDO volgens mij) te volgen:

De stof op school stelt niet zoveel voor en verheug je daar ook niet teveel op. Zorg voor een goed stage adres waar je zaken kan behandelen die relevant zijn met de opleiding. En daar begint de fun pas echt.
Heb bij MIchaelG in de klas gezeten, wat hij zegt is helemaal waar. Je stage is de belangrijkste periode uit de opleiding.
lordgandalf schreef op donderdag 09 oktober 2008 @ 15:52:
[...]


i know we krijgen les van mensen die het examen maken.
Toen ik begon hadden ze nog geen versneld traject
Succes met je examen, en bowlen in de pauze is een goede manier van ontspanning ;)

[ Voor 7% gewijzigd door loser180 op 10-11-2008 11:04 ]

Jouw naam in onder mijn Post


Acties:
  • 0 Henk 'm!

Anoniem: 280187

Ik zie dat dit topic gaat over IT Forensics.
Nu wilde ik van de mensen hier wel eens weten na hoeveel random wipes nodig zijn om de oude data van een schijf onherstelbaar te verwijderen.
Nu heb ik wel het een en ander kunnen lezen over specificaties, maar niet of dit in de praktijjk ook daadwerkelijk zorgt voor grondige data-sanitatie zodat niemand, ook op overheidsniveau, bij de vorige data kan komen.

Acties:
  • 0 Henk 'm!

  • LuckY
  • Registratie: December 2007
  • Niet online
Anoniem: 280187 schreef op maandag 10 november 2008 @ 22:27:
Ik zie dat dit topic gaat over IT Forensics.
Nu wilde ik van de mensen hier wel eens weten na hoeveel random wipes nodig zijn om de oude data van een schijf onherstelbaar te verwijderen.
Nu heb ik wel het een en ander kunnen lezen over specificaties, maar niet of dit in de praktijjk ook daadwerkelijk zorgt voor grondige data-sanitatie zodat niemand, ook op overheidsniveau, bij de vorige data kan komen.
Meestal zeggen mensen met 7 keer maar ik durf het niet met 100% zekerheid te zeggen.

Acties:
  • 0 Henk 'm!

  • LinuX-TUX
  • Registratie: December 2003
  • Laatst online: 09-07 09:44
LuckyY schreef op maandag 10 november 2008 @ 22:31:
[...]

Meestal zeggen mensen met 7 keer maar ik durf het niet met 100% zekerheid te zeggen.
Met 7 keer heb je het opzich wel gehad ja, daarna wordt het gewoon onmogelijk (lees: onnoemelijk veel trial en errors) om te gokken wat er HEEFT gestaan. Vooral als je wisselend 0 / 1 en random hebt geschreven in die 7 cyclussen

@ hieronder:
ik loop, jij loop :?
Daarbij als tip voor iedereen: gebruik niet de ongepatchde 'randomizer' van Debian destijds :Y)

[ Voor 13% gewijzigd door LinuX-TUX op 10-11-2008 23:11 ]


Acties:
  • 0 Henk 'm!

  • Onbekend
  • Registratie: Juni 2005
  • Laatst online: 19:37

Onbekend

...

Als je een harde schijf schrijf met random data, blijft in de laag daarachter nog de oude informatie achter. Je zou steeds met de zelfde "random data" de schijf moeten schrijven.
Volgens mij is het per schijf verschillend hoevaak je moet overschrijven omdat elke fabrikant per type hun eigen legering en schijfdikte, en datadichtheid gebruikt.

Om definitief van de data af te komen moet je je harde schijf vernietigen. Oftewel omsmelten tot een klompje metaal.

Speel ook Balls Connect en Repeat


Acties:
  • 0 Henk 'm!

Anoniem: 280187

Maar is het in de praktijk wel eens uitgeprobeerd om data van een harde schijf te halen die goed gewipe'd is?
En met wipen bedoel ik een met zo'n willekeurig mogelijke datastroom de schijf overschijven, en elke pass is dus niet dezelfde als de vorige.

Let wel: ik heb het hier over wat technisch (niet per definitie theoretisch) mogelijk is, en geld speelt niet direct een rol, en de overheid is bij wijze van voorbeeld geinteresseerd in deze inhoud die er voor de wipe-actie opstond.
De overheid zou dit dus terug willen halen.
Zou dat kunnen met een wipe naar de 5220.22-M standaard?

Acties:
  • 0 Henk 'm!

  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 03-06 16:38

Nvidiot

notepad!

Ik kwam een paar weken terug een aankondiging tegen van een paper die gekeken heeft naar wat er nog terug te halen is na 1 pass met alleen maar nullen. Er wordt al heel lang geroepen dat je na een zo'n wipe nog vanalles terug kunt halen, maar ik kreeg het idee uit de aankondiging dat dat zelfs met een electronenmicroscoop nog zeer tegenviel. Ik heb de volledige paper nog niet gezien helaas.

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)


Acties:
  • 0 Henk 'm!

  • Kaasje123
  • Registratie: Juli 2005
  • Laatst online: 12-07 11:42
Je hebt toch ook de gutman-pass van 35 wipes? Dat is volgens mij alleen nodig als je zwaar paranoïde bent.

Acties:
  • 0 Henk 'm!

  • LuckY
  • Registratie: December 2007
  • Niet online
Kaasje123 schreef op dinsdag 11 november 2008 @ 00:03:
Je hebt toch ook de gutman-pass van 35 wipes? Dat is volgens mij alleen nodig als je zwaar paranoïde bent.
paranoïde paranoïde sommigen mensen willen gewoon hun data niet publiekelijk hebben. :9

Verschilt die trouwens ook per os?
Want hoe verhouden mac en linux en windows zich met elkaar.
Want wie gaat er beter mee om ?
(zonder de discussie los te barsten :X)

Acties:
  • 0 Henk 'm!

  • Michaelg
  • Registratie: Februari 2006
  • Laatst online: 11-07 19:49
Anoniem: 280187 schreef op maandag 10 november 2008 @ 23:19:
Maar is het in de praktijk wel eens uitgeprobeerd om data van een harde schijf te halen die goed gewipe'd is?
En met wipen bedoel ik een met zo'n willekeurig mogelijke datastroom de schijf overschijven, en elke pass is dus niet dezelfde als de vorige.

Let wel: ik heb het hier over wat technisch (niet per definitie theoretisch) mogelijk is, en geld speelt niet direct een rol, en de overheid is bij wijze van voorbeeld geinteresseerd in deze inhoud die er voor de wipe-actie opstond.
De overheid zou dit dus terug willen halen.
Zou dat kunnen met een wipe naar de 5220.22-M standaard?
Er zit wel een heel verschil in wat theoretisch mogelijk is, en wat er in praktijk gebeurd natuurlijk. Als je 100% zeker van je zaak wilt zijn moet je de schijf door een shredder halen.
Wij weten natuurlijk ook niet welke technieken bijvoorbeeld de Amerikaanse overheid heeft om data terug te halen. Wie weet kunnen die gasten na een aantal passes het al helemaal niet meer terughalen. Maar misschien kunnen ze (indien de schijf niet fysiek beschadigd is) wel de data terughalen nadat er 100 passes overheen zijn geweest.
Voor algemeen gebruik (lees: bedrijven) zou 3 keer voldoende moeten zijn. In de praktijk hebben enorm veel data recovery tools al moeite als er 1x iets overheen is geschreven. Je moet je bij iedere wipe afvragen "voor wie wipe ik nu?" Ben ik bang dat me buurjongen een data recovery programma erover haal? Of heb ik data op mijn systeem staan waar ik de nationale veiligheid mee in gevaar kan brengen.

https://www.youtube.com/channel/UCb9hDbClUJUNw_a0v7qCBKA | https://www.strava.com/athletes/33148913


Acties:
  • 0 Henk 'm!

  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 11-07 15:19
Ik heb een paar dagen geleden mijn examen PO gemaakt.
Viel me reuze mee dacht er veel te moeilijk over.
Nu is het afwachten en hopen dat ik mun praktische gedeelte gehaald heb
Morgen en Overmorgen eens wat rond hangen op de infosecurity beurs en wat semminars volgen.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


Acties:
  • 0 Henk 'm!

  • loser180
  • Registratie: Maart 2002
  • Laatst online: 06-07 06:34
lordgandalf schreef op dinsdag 11 november 2008 @ 22:03:
Ik heb een paar dagen geleden mijn examen PO gemaakt.
Viel me reuze mee dacht er veel te moeilijk over.
Nu is het afwachten en hopen dat ik mun praktische gedeelte gehaald heb
Morgen en Overmorgen eens wat rond hangen op de infosecurity beurs en wat semminars volgen.
Persoonlijk viel die beurs mij wat tegen. Waren niet veel grote namen. Semminars waren wel ok.

Jouw naam in onder mijn Post


  • lordgandalf
  • Registratie: Februari 2002
  • Laatst online: 11-07 15:19
Ik ben ook voor de semminars gegaan want de beurs weet ik van vorig jaar is alleen het waard om te netwerken en goodies te krijgen :P
ik baal ervan dat we op school geen uitstapjes krijgen naar echte beurzen op beveiligings/forensics gebied.
zouw bijvoorbeeld wel eens naar een Chaos Communication Congress ofzo willen lijkt me wel interesant.
Heb vandaag de meest interesante semminars enz gezien over vingerafdrukken omzeilen,covert channels en hoe een virusanalist werkt en dan in 15 min die waren zeker interesant.

Steam: Profile / Socialclub: Profile / Uplay: minedwarf / Origin: lordgandalf3


Acties:
  • 0 Henk 'm!

  • deredding
  • Registratie: Februari 2004
  • Laatst online: 06-06-2021
Na 1x overschrijven van data is het met softwarematige tooltjes al niet meer te doen.
Met MFM kan de 'rest' waarde op specifieke posities van de platter worden uitgelezen, waardoor men kan zeggen dat het 'waarschijnlijk' is dat er hiervoor een 1 of 0 heeft gestaan.
Dit gegeven geeft ookal aan dat het praktisch niet mogelijk is om recovery te doen na een wipe.
Als je dan toch een stream aan 'waarschijnlijkheden' hebt gekregen is de onzekerheid dermate hoog dat je je resultaten al kan weggooien.

Die paper van Gutmann is al erg oud, en heel theoretisch, nooit een bekende praktische toepassing van tegen gekomen.
De Gutmann wipe is al helemaal niet interessant voor huidige schijven waar de datadichtheid veel te hoog is om na zo veel passes nog informatie te bevatten, dan zou een 1TB schijf dus eigenlijk 35TB data kunnen opslaan, opzich een leuk idee XD

Acties:
  • 0 Henk 'm!

Anoniem: 291869

Hallo allemaal,

Zelf ben ik ook derdejaars student van de opleiding tot Particulier Digitaal Rechercheur. Wat overigens tegenwoordig Particulier Digitaal Onderzoeker heet, maar aangezien ik nog bij de eerste groep hoor zal op mijn diploma nog rechercheur vermeld worden.

Ik heb al een stageperiode achter de rug, bij Fox-IT, en dat is gewoon een leuke/goed bedrijf met enorm veel kennis van zaken. De meeste medewerkers zijn HBO gediplomeerd, en enkele nog wel hoger.

In november moet ik ook examen doen voor de opleiding Particulier Onderzoeker. Hiermee kun je uiteindelijk je legitimatiepas aanvragen bij het ministerie van justitie, om dergelijke onderzoeken te mogen uitvoeren.

Het is een erg interressant vakgebied, maar de structuur van de opleiding, voornamelijk op het ID College is waardeloos. Er word veel geoefend in rapporteren en dergelijke, maar de vakkennis die vereist is blijft achterwegen. Hierdoor loop ik nu waarschijnlijk al heel wat achter.

De eerste aanraking met de werkelijke praktijk was bij Fox-IT. Waar de mensen raar stonden te kijken toen ze merkte dat ik nog niet zoveel kennis in huis had. Terwijl ik toen al ruim 2 jaar aan de opleiding bezig was.

Deze opleiding is overigens wel de "zwaarste" op ICT gebied (MBO niveau), je moet van alles kennis in huis hebben, netwerken, systemen, etc. En dan komen nog eens de juridische procedures en de juiste wetgeving om de hoek kijken.

Binnenkort moet ik ook starten met een tweede stageperiode. Ga proberen bij het KMar aan de slag te gaan, aangezien deze ook het een en ander te maken hebben met IT Forensics, en omdat deze gekwalificeerd zijn om goedkeuring te geven tot het examen Particulier Onderzoeker, wat door een andere onderwijsinstelling (MINERVA) word aangeboden.

Globaal heb ik even terug gelezen wat er allemaal in dit topic werd besproken, iets over het wipen, 7 passes voldoen en zijn ook de standaard van het Amerikaanse Leger. Uiteraard wel als je random data gebruikt. Hierna valt er echt niets meer terug te halen van je HD. Dit werkt veel efficienter dan vele denken, je HD in de sloot gooien, etc, allemaal zonde! Door je HD op de juiste methode te wipen, kan er geen data meer achterhaalt worden, en je kunt je HD gewoon weer opnieuw gebreuken, dat scheelt weer geld.

En waar ook veel verwarring over bestaat is wat digitale rechercheurs nou precies doen. Nou het is een stuk breder dan alleen maar computersystemen en netwerken. Ook telefoons, pda's, flash geheugens, eigenlijk alle electronica waar data op geschreven kan worden valt onder ons vakgebied. In vergelijking met de internet rechercheurs, die zich voornamelijk bezig houden met het world wide web.

Nou mochten er nog vragen/opmerkingen zijn, ik lees ze graag, en ik zal ook zeker deze topic de komende tijd in de gaten blijven houden.

Groeten,

Mike

Acties:
  • 0 Henk 'm!

  • FiXeR.nl
  • Registratie: Februari 2005
  • Niet online
Ik ga dit topic ook in de gaten. Ook ik ben bezig met als keuze vak DFO (Digitaal Forensisch Onderzoek). Tot zover vind ik het zeer interessant en heb eigenlijk al besloten dat ik wel deze kant op wil.

Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:38

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Anoniem: 291869 schreef op woensdag 18 februari 2009 @ 21:51:
Deze opleiding is overigens wel de "zwaarste" op ICT gebied (MBO niveau), je moet van alles kennis in huis hebben, netwerken, systemen, etc.
Is dat niet een beetje heel kort door de bocht? Zeker gezien je zelf stelt dat je naar 2 jaar studie nog weinig kennis had kan ik mij voorstellen dat er andere studies minstens even zwaar zijn.


Hoeveel aanzien heeft zo'n titel als digitaal rechercheur nou? Dit is een vakgebied waar het erg draait om aanzien wat betreft naam / track record en opleiding. Ik begrijp dat "digitaal rechercheur" een MBO opleiding is. Ben je niet bang links en rechts ingehaald te worden door HBO-ers / WO-ers?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

Anoniem: 70162

ik vraag me wel iets af: hoe zit het eigenlijk met de bewijslast van al dit moois?

ik kan me zo voorstellen dat als een officier van justitie een document op tafel legt, en zegt "ja, met een cold boot attack uit een achtergebleven deskjet gehaald", dat de gemiddelde rechter het dan ook niet meer weet.

beetje griezelig als dat dan allemaal met getuige-deskundige moet enzo.

Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:38

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Anoniem: 70162 schreef op woensdag 18 februari 2009 @ 22:01:
ik vraag me wel iets af: hoe zit het eigenlijk met de bewijslast van al dit moois?

ik kan me zo voorstellen dat als een officier van justitie een document op tafel legt, en zegt "ja, met een cold boot attack uit een achtergebleven deskjet gehaald", dat de gemiddelde rechter het dan ook niet meer weet.

beetje griezelig als dat dan allemaal met getuige-deskundige moet enzo.
Klopt, bovendien is het of achterhaald uit hardware, bewijslast uit logfiles (en dus makkelijk te faken etc). De bewijslast op zich lijkt mij heel moeilijk omdat je redelijk snel kan sturen op onecht verkregen bewijsmateriaal etc.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 03-06 16:38

Nvidiot

notepad!

Bor de Wollef schreef op woensdag 18 februari 2009 @ 22:04:
[...]
Klopt, bovendien is het of achterhaald uit hardware, bewijslast uit logfiles (en dus makkelijk te faken etc). De bewijslast op zich lijkt mij heel moeilijk omdat je redelijk snel kan sturen op onecht verkregen bewijsmateriaal etc.
In theorie is het mogelijk om dat soort bewijs te vervalsen, maar slechts stellen "oh, die logfile, die is vervalst" is niet genoeg. De andere partij moet dan aantonen dat het waarschijnlijk is dat de logfile is aangepast.

De getuige-deskundige is de aangewezen persoon met kennis over dit soort bewijs die de rechter in begrijpelijke taal uit moet leggen wat een 'cold boot attack' is, en waarom het bewijs dat op die manier verkregen is klopt, en wat die logfile nu precies zegt. Dat is niet iets wat je meteen even uit je mouw schudt als je net van je opleiding afkomt, maar aan de andere kant, als je in een onderzoek betrokken bent geweest weet je ook alle details en kun je dit prima uitleggen aan anderen, ook rechters.

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)


Acties:
  • 0 Henk 'm!

  • stftweaker
  • Registratie: December 2007
  • Laatst online: 23:34
leuk topic.
ik doe zelf de opleiding dpo (digitaal particulier onderzoeker) op het albeda college.
moet zeggen dat het me goed bevalt. het is er allemaal wel erg simpel. maar heb wel veel geleerd. en de po lessen is een beetje allemaal het zelfde. ik had er wel wat meer van verwacht. en dan zit ik nog maar in het 1e jaar van de opleiding. wat ik ook best erg vind en ik hoop dat dit bij andere scholen anders is, is dat het niveau zo laag is. bij mij in de klas worden er echt super lage cijfers gehaald/soms geen opdrachten ingeleverd. en dan heb ik zoiets van dat moet dan later zulk verantwoordelijk werk gaan uitoefenen. want je onderzoekt toch dingen die ander mans leven beïnvloeden.

How are you doing?


Acties:
  • 0 Henk 'm!

  • maxjuh
  • Registratie: November 2004
  • Laatst online: 19-03 15:04
Bor de Wollef schreef op woensdag 18 februari 2009 @ 22:00:
[...]


Hoeveel aanzien heeft zo'n titel als digitaal rechercheur nou? Dit is een vakgebied waar het erg draait om aanzien wat betreft naam / track record en opleiding. Ik begrijp dat "digitaal rechercheur" een MBO opleiding is. Ben je niet bang links en rechts ingehaald te worden door HBO-ers / WO-ers?
Mij is altijd verteld dat de digitale rechercheurs die er nu zitten bijna allemaal MBO'ers zijn en als ze een HBO achtergrond hebben eigenlijk altijd in een leidinggevende functie zitten. Ik zie een HBO-er ook niet dat werk uitvoeren want dat is toch gewoon met de standaard tools gegevens halen uit informatie dragers. (zoals hardeschijven, telefoons, flash cards, mp3-spelers etc...), dood saai als je het mij vraagt.

  • Yor
  • Registratie: Januari 2004
  • Laatst online: 11-06 16:19

Yor

Yor1313#2571

Pim. schreef op zondag 10 augustus 2008 @ 22:19:
* Pim. is digitaal rechercheur bij de Kmar. Dit topic sluit 100% aan op mijn vakgebied en ik zal dit topic dan ook met belangstelling volgen :)
Anoniem: 291869 schreef op woensdag 18 februari 2009 @ 21:51:

Binnenkort moet ik ook starten met een tweede stageperiode. Ga proberen bij het KMar aan de slag te gaan, aangezien deze ook het een en ander te maken hebben met IT Forensics, en omdat deze gekwalificeerd zijn om goedkeuring te geven tot het examen Particulier Onderzoeker, wat door een andere onderwijsinstelling (MINERVA) word aangeboden.


Groeten,

Mike
Wellicht kunnen jullie iets voor elkaar betekenen?

http://yor.minitroopers.com


  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 03-06 16:38

Nvidiot

notepad!

maxjuh schreef op woensdag 18 februari 2009 @ 22:25:
[...]
Mij is altijd verteld dat de digitale rechercheurs die er nu zitten bijna allemaal MBO'ers zijn en als ze een HBO achtergrond hebben eigenlijk altijd in een leidinggevende functie zitten. Ik zie een HBO-er ook niet dat werk uitvoeren want dat is toch gewoon met de standaard tools gegevens halen uit informatie dragers. (zoals hardeschijven, telefoons, flash cards, mp3-spelers etc...), dood saai als je het mij vraagt.
De kunst zit hem ook niet in het veiligstellen van de gegevens, die zit in het analyseren en combineren van informatie uit verschillende bronnen, die mogelijk met elkaar conflicteren.

Als voorbeeld: stel je webserver is gehacked en je gaat daar onderzoek naar doen, waar kun je dan allemaal informatie vinden?
  • De webserver zelf.
  • Staat er een firewall voor? Zijn daar nog logs van?
  • Is de server vanaf een intern ip adres gehacked?
  • Indien er intern DHCP gebruikt wordt moet je de logs daarvan erbij pakken om te weten welke computer het geweest is.
  • Wanneer is de server precies gehacked? Klopt die tijd wel? (Bios tijd? Doet de server aan tijdsynchronisatie?)
  • De machine vanaf waar gehacked is heeft inderdaad hacktools erop staan, maar de gebruiker van dat systeem geeft aan dat iedereen op de afdeling zijn wachtwoord heeft...
  • Zijn er logfiles van een toegangscontrolesysteem, zodat je kunt nagaan wie er aanwezig waren in het gebouw?
  • Zijn er mogelijk camerabeelden?
  • Zijn er telefoontjes gepleegd vanaf die werkplek? Weet diegene die gebeld is nog wie er toen belde?
  • Heeft de eigenaar van het account vlak voor de hackpoging nog een persoonlijk e-mailbericht gestuurd?
  • etc...
Zoals je ziet wordt een onderzoek snel erg complex.

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)


Anoniem: 291869

Eventjes over de bewijslast waarover eerder in het forum word gesproken. Om de gevonden data daadwerkelijk te kunnen gebruiken tijdens een rechtzitting moet het uiteraard wel aan een aantal voorwaarden voldoen. Alles dient namelijk op de forensisch methode uitgevoerd worden. Forensisch betekent eigenlijk niets anders als "bruikbaar in een rechtzitting".

Stel, ik ga een HD onderzoeken op de aanwezigheid van kinderporno, dan dien ik eerst een exacte kopie te maken, met deze kopie moet ik dan gaan werken. Er moet voor gezorgd worden dat de orginele data niet veranderen. Vandaar dat we gebruik maken van exacte kopies.

Maar dit is slechts een klein voorbeeld.....

Mike

  • LuckY
  • Registratie: December 2007
  • Niet online
Anoniem: 291869 schreef op donderdag 19 februari 2009 @ 13:15:
Eventjes over de bewijslast waarover eerder in het forum word gesproken. Om de gevonden data daadwerkelijk te kunnen gebruiken tijdens een rechtzitting moet het uiteraard wel aan een aantal voorwaarden voldoen. Alles dient namelijk op de forensisch methode uitgevoerd worden. Forensisch betekent eigenlijk niets anders als "bruikbaar in een rechtzitting".

Stel, ik ga een HD onderzoeken op de aanwezigheid van kinderporno, dan dien ik eerst een exacte kopie te maken, met deze kopie moet ik dan gaan werken. Er moet voor gezorgd worden dat de orginele data niet veranderen. Vandaar dat we gebruik maken van exacte kopies.

Maar dit is slechts een klein voorbeeld.....

Mike
En dan heb ik eenvoorbeeld:
Je maakt een exacte kopie, er staan een password protected folder op of encrypted folder.
Die kan je alleen vernielen (lees weghalen) door bestanden aan te passen en over te kopieren.
Hoe kan je dit dan vertellen aan de rechter, want jij zet extra data op de schijf.
Wie zegt dat jij geen pr0n eropzet?

Anoniem: 291869

Zolang je de genomen stappen uit je onderzoek op een verantwoorde wijze kunt toelichten aan de rechter gaat het eigenlijk al goed. Daarbij komt nog eens dat je bijna in alle gevallen werkt voor een bedrijf dat door de ministerie van justitie is erkend als onderzoeksbureau, waarvan ook verwacht word dat ze geen medewerkers in dienst hebben met foute bedoelingen.

Mocht er toch om welke reden dan ook twijfel ontstaan, of als de verdachte bijvoorbeeld in hoger beroeep gaat, zal het onderzoek nogmaals worden uitgevoerd maar dan door een ander erkend onderzoeksbureau.

Op dit moment zijn er in Nederland nog niet heel veel bureuas die zich bezig houden met IT forensics, Fox-IT en Hoffmann zijn vooral de koplopers. Natuurlijk overheidsinstellingen als het KMar, het KLPD en het NFI hebben hier ook al mee te maken.

Groeten,

Mike

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:38

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

maxjuh schreef op woensdag 18 februari 2009 @ 22:25:
[...]

Mij is altijd verteld dat de digitale rechercheurs die er nu zitten bijna allemaal MBO'ers zijn en als ze een HBO achtergrond hebben eigenlijk altijd in een leidinggevende functie zitten. Ik zie een HBO-er ook niet dat werk uitvoeren want dat is toch gewoon met de standaard tools gegevens halen uit informatie dragers. (zoals hardeschijven, telefoons, flash cards, mp3-spelers etc...), dood saai als je het mij vraagt.
Is het echt alleen scripts en standaard tooling gebruiken of voer je echt ook handmatige analyses etc uit?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


  • maxjuh
  • Registratie: November 2004
  • Laatst online: 19-03 15:04
Bor de Wollef schreef op donderdag 19 februari 2009 @ 19:18:
[...]


Is het echt alleen scripts en standaard tooling gebruiken of voer je echt ook handmatige analyses etc uit?
Dat zou ik niet weten... (heb ook van horen zeggen).

Acties:
  • 0 Henk 'm!

  • Nvidiot
  • Registratie: Mei 2003
  • Laatst online: 03-06 16:38

Nvidiot

notepad!

Bor de Wollef schreef op donderdag 19 februari 2009 @ 19:18:
[...]
Is het echt alleen scripts en standaard tooling gebruiken of voer je echt ook handmatige analyses etc uit?
Het komt regelmatig voor dat je van een onbekende applicatie moet uitzoeken wat voor sporen die achterlaat. Even de applicatie installeren in VMWare, wat testdata invoeren en vervolgens de disk in je analyseprogramma (FTK, Encase, Sleuthkit, ...) inladen en kijken wat je terug kunt vinden. Dit is een van de leukere kanten aan het forensische onderzoek.

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)


Acties:
  • 0 Henk 'm!

  • corné
  • Registratie: Juni 2002
  • Laatst online: 14-11-2024
Ik heb de minor computer forensics & security gevolgd en vond het allemaal wel heel interessant, maar ik ben blij dat het me werk niet is ;) We kregen onderandere een Windows XP image waaruit we zoveel mogelijk informatie moesten trekken met bepaalde tools zoals Encase etc. Enige wat me niet lukte was het password vinden van een truecrypt container :(
Heb ook een project gedaan bij het NFI. Project had overigens niet veel te maken met forensics, maar was wel leuk om daar eens te koekeloeren.

Acties:
  • 0 Henk 'm!

  • Bor
  • Registratie: Februari 2001
  • Laatst online: 23:38

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Nvidiot schreef op vrijdag 20 februari 2009 @ 10:54:
[...]

Het komt regelmatig voor dat je van een onbekende applicatie moet uitzoeken wat voor sporen die achterlaat. Even de applicatie installeren in VMWare, wat testdata invoeren en vervolgens de disk in je analyseprogramma (FTK, Encase, Sleuthkit, ...) inladen en kijken wat je terug kunt vinden. Dit is een van de leukere kanten aan het forensische onderzoek.
Maar is dat ook niet min of meer standaard tooling werk waarvoor je procedures kunt opstellen? Wat leert een opleiding je nou echt wat iemand zonder de opleiding niet of veel minder goed kan? Niet dat het gebruik van standaard tooling op zich slecht is maar je bent wel erg afhankelijk op deze manier. Schrijft men bv ook zelf analyse tools?

[ Voor 10% gewijzigd door Bor op 20-02-2009 17:28 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum


Acties:
  • 0 Henk 'm!

Anoniem: 165232

Ik ben wel benieuwt hoe een forensics expert met de volgende casus zou omgaan:

Een pc waarom vrijwel zeker een ernstige hack mee gepleegt is staat op het bureau.
De hacker had de volgende oplossing om niks achter te laten:

Fulldiskencryption met een password van 20+ characters .
Wachtwoord op de bootloader.
Keystroke encryption [Dus alles in het RAM-geheugen is ook geencrypted]
De computer kon optijd uitgezet worden dus het invriezen van het RAM is.

Daarnaast voerde de hacker zijn acties altijd als volgt uit:

Vmware opstarten
copy van vmware image maken
image na gebruik met een filedestroy tool whipen (35 x).

Hoe trekken jullie daar nog data uit? Of zit de focus dan echt op het hopelijk optijd invriezen van het ram?
Pagina: 1 2 Laatste