Search

Meer resultaten...

Generic filters
1
1
1
Jarno Baselier > Security > OSForensics V6 – Preview

OSForensics V6 – Preview


Een tijdje terug hebben jullie een volledige review kunnen lezen van OSForensics V5. Nu zijn de heren van PassMark Software (het bedrijf welke OSForensics ontwikkeld) zo vriendelijke geweest om me een registered trail toe te sturen van de nieuwste OSForensics V6.0 Build 5. Ik was al aardig enthousiast over V5 dus ik ben heel erg benieuwd welke nieuwe ontwikkelingen doorgevoerd zijn in de nieuwe versie van OSForensics. Lezen jullie mee?

Laten we beginnen met een kleine recap. OSForensics is een Windows-based forensische toolkit. De OSForensics toolkit biedt een mooie geïntegreerde case opbouw en controle, diverse tools voor live-aquisition forensics en non-live forensics en de mogelijkheid om de toolkit te installeren op een bootable USB drive. OSForensics is een betaalde tool waarbij de prijs/kwaliteit verhouding prima in orde is. Je krijgt veel waar voor je geld.

Licentiesleutels voor versie 5 kunnen nog wel gebruikt worden voor V6 Build 1 t/m3. Vanaf build 4 moet er een nieuwe licentiesleutel aangeschaft worden. Gebruikers met paid support ontvangen automatisch een nieuwe licentiesleutel voor de final release. Gebruikers zonder paid support kunnen gebruik maken van een discount upgrade.

De installatie van OSForensics V6 is net zoals V5 straightforward. Je kunt V6 installeren bovenop V5. Al je settings en cases worden dan gewoon overgenomen. Je verliest dus geen data.

In V6 zijn er een aantal functies toegevoegd, uitgebreid en zijn er diverse tweaks gemaakt om de performance te verbeteren.

Als je OSForensics V6 start zien we de bekende interface met aan de linkerkant de shortcuts naar de diverse tools. Laten we de screens van V5 en V6 eens naast elkaar leggen en de verschillen vergelijken.

Op het eerste gezicht zien we slecht 2 belangrijke verschillen:

  • +Auto Triage Tool (vervanger van de Triage Wizard)
  • +Install PFX Certificate Tool

Qua interface is de assistent onderin het scherm vervangen voor een informatieballon zonder agent “poppetje”. Dit is echter niet de enige verandering. Er zijn veel van dit soort kleine veranderingen doorgevoerd om de interface nog overzichtelijker, duidelijker en stabieler te maken. Denk hierbij b.v. een het toepassen van meer kleurcoderingen (versleutelde bestanden), het weergeven van meldingen zoals het “weet u zeker dat u wilt afsluiten” bevestigingsscherm bij het afsluiten van de applicatie, timeout preventie zodat het systeem niet in slaap valt wanneer OSForensics vanaf USB gedraaid wordt. Ook is de debug logging in OSForensics V6 sneller gemaakt en minder crash gevoelig doordat is overgeschakeld naar een nieuwe logging library (g3log).

Laten we eens kijken naar diverse verbeteringen van mijn favoriete tools:

Auto Triage
Auto Triage is dezelfde tool als de Triage Wizard uit de vorige releases. Het doel van Auto Triage is om gemakkelijk een case aan te maken en data te indexeren. Auto Triage is fantastisch voor niet-forensisch personeel om toch snel forensische data vast te leggen van een fysieke schijf. Auto Triage werkt niet op imagebestand. Ik weet nog dat ik de vorige keer wat problemen ondervond met de Triage Wizard. Dat kwam omdat een printer op mijn computer een “null description” retourneerde. Dit probleem werd toen snel verholpen. We zullen eens kijken of we nu zonder problemen een Auto Triage kunnen uitvoeren.

Na het starten van de scan gaat het dumpen van de data, aanmaken van de case en het genereren van de rapportages vanzelf. Alvorens Auto Triage het proces start wordt er gecontroleerd of er voldoende ruimte is. Dit is een welkome aanvulling omdat je voorheen de kans liep dat de schijf halverwege het proces volgelopen was en het proces stopte.

Het hele proces duurt nog geen 5 minuten. Nieuw is de optie om ook systemfiles op te nemen in de image. Verder werkt Auto Triage zoals vanouds. Geen schokkende veranderingen maar dat is met deze volledige tool helemaal niet nodig. Graag had ik nog de optie gehad om de hele disk naar een image te dumpen (indien de gewenste disk niet de disk is waar het actieve OS op draait want anders zijn er veel locked files en is het geen goede image meer).

Case Management
Het “Case Management” onderdeel is in deze release flink onder handen genomen:

Een fijne toevoeging is de “Export Case” functie. Deze optie stelt de gebruiker in staat om de compleet opgebouwde case te exporteren. Op die manier kunnen we alle dumps, bestanden, rapporten e.d. uit het pakket halen om later eventueel weer te importeren of om deze bestanden te importeren in een ander pakket.

Ook worden alle case onderdelen zoals reports, exports en dumps netjes overzichtelijk in groepen weergegeven in de case manager. Op die manier heb je snel toegang tot diverse documenten en onderdelen van je case.

Wat ook een welkome toevoeging is tijdens het aanmaken of aanpassen van een case is de optie om USB Write-block aan- of uit te schakelen. Wanneer je deze setting later veranderd komt de applicatie met een duidelijke popup met de vraag om aangesloten USB-apparaten los te koppelen / opnieuw te verbinden zodat de instellingen van kracht worden. De USB Write-block is een setting voor forensisch onderzoek op USB devices. Als de USB Write-block optie ingeschakeld is dan is het onmogelijk om data naar de USB drive te schrijven zodat een goede forensische image gemaakt kan worden.

Verder zijn er nog meer kleine en fijne aanpassingen gemaakt in Case Management waaronder nieuwe dropdown lists (Offense) en meer mogelijkheden voor het genereren van rapportages zoals encrypted PDF rapportages. Ook kunnen rapportages uitgebreid worden met additionele afbeeldingen om ze nog completer en professioneler te maken.

Index Creation
Met het maken van de index worden alle onderdelen van het bewijsmateriaal geïndexeerd. Na indexatie kun je gemakkelijk door de index bladeren en snel door de index zoeken. Ben je op zoek naar bepaalde sporen o.i.d. dan heb je na het aanmaken van de index een duidelijk overzicht en snelle zoekresultaten. Ook voor het aanmaken van een index zijn een aantal verbeteringen toegepast. Hoewel het aanmaken van een index in V5 al relatief snel was, V6 doet het nog een heel stukje sneller. Dat komt doordat er gebruik gemaakt wordt van een nieuwe indexering engine (Zoom V8). Deze maakt simpelweg gebruik van meerdere threads (default 5 maar dit is handmatig in te stellen tot een maximum van 10) waardoor er meer tegelijkertijd geïndexeerd kan worden. Indexatie gaat nu dubben zo snel en in sommige gevallen 3x zo snel. Ook zijn er nieuwe bestanden toegevoegd welke geïndexeerd kunnen worden.

De nieuwe mogelijkheden zijn dus het indexeren van media bestanden, executables en binaries. Zoals je ziet kun je zelfs OCR (Optical Character Recognition) toepassen op afbeeldingen zodat de tekst in die afbeeldingen leesbaar gemaakt wordt en opgenomen wordt in de zoekindex. Uiteraard is voor een succesvolle OCR trace ook een duidelijke afbeelding nodig. Dit alles zijn fantastische aanvullingen voor een complete index.

Zoals hierboven al omschreven is er een ingebouwde mogelijkheid voor het optimaliseren van het geheugen waardoor indexatie vele malen sneller kan gaan dan in V5. Je kunt zelf het aantal threads instellen, hoeveel bestanden geïndexeerd moeten worden en of de RAM drive gebruikt mag worden voor temp files. Het overzicht aan de rechterkant geeft weeg hoeveel RAM geheugen er vrij moet zijn voor de gekozen opties en dus de snelste indexatie.

Tijdens indexatie krijg je per thread een duidelijk overzicht welke bestanden er verwerkt worden.

Aan het doorzoeken (Search Index) is niet veel veranderd. Deze is nog net zo krachtig als in V5 en voor mijn gevoel worden resultaten sneller getoond. Om dit zeker te weten zou ik een benchmark moeten uitvoeren.

File Name Search
De File Name Search, waarmee je alle bestanden vanuit je project of vanaf andere media kunt vinden op basis van specifieke zoekopdrachten is niet drastisch veranderd. Een welkome aanvulling is dat weergaveopties zoals de kolombreedte bewaard wordt zodat je de volgende keer als je File Name Search gebruikt meteen de gewenste weergave hebt. Ook zijn shortcuts toegevoegd (.lnk) aan de preview lijst. Voorheen was het niet mogelijk om een grote selectie bestanden te on-markeren. V6 geeft wel de “Uncheck All” functie.

Ook zijn er een aantal bugs verbeterd met betrekking tot het zoeken in de OSForensics hash-database.

Deleted Files
De Deleted Files module is special gemaakt om verwijderde bestanden te herstellen. Hoe nauwkeuriger het medium doorzocht wordt des te meer bestanden kunnen worden teruggevonden en des te langer de zoekopdracht duurt. Je kunt instellen hoe nauwkeurig OSForensics naar verwijderde bestanden moet zoeken. Je kunt nu zelfs je zoekopdracht verfijnen door een minimale en maximale bestandsgrootte mee te geven met de zoekopdracht.

Ook hier, en in meerdere weergaves binnen V6 wordt de weergave opgeslagen. Sorteer je een specifieke kolom of maak je een kolom groter of kleiner dan wordt dit opgeslagen binnen de OSForensics configuratie waardoor je de volgende keer meteen gebruik maakt van dezelfde weergave.

Daarnaast had deze module last van diverse bugs zoals buffer overrun wanneer er op $I30 slack entries gezocht werd of het genereren van een “uncaught exception error” bij het laden van sommige MFT’s. Al deze errors zijn eruit en foutmeldingen worden nog accurater naar de error logs geschreven.

Raw Disk Viewer
De Raw Disk Viewer laat de RAW data zien van het medium. Zo kun je per sector de inhoud analyseren zodat alle data binnen en buiten de grenzen van het operating system bekeken kan worden. Met de Raw Disk Viewer is het dus ook mogelijk om vrije ruimte en file slack space te onderzoeken.

De Raw Disk Viewer heeft in V6 ook een aantal mooie verbeteringen gekregen. Allereerst is er een “Disk Info” button toegevoegd welke meer informatie over de disk geeft zoals het formaat, het aantal clusters, sectorgrootte etc.

Vervolgens is er een Data Decode button welke meer informatie geeft over geselecteerde data. Op welke sector en in welk cluster bevindt zich de data. Wat is het pad van de data op het medium. Wat is de ASCII en Unicode string van de geselecteerde data etc.

Wanneer in de Data Decoder op een pad geklikt wordt, wordt de content geopend in de “Internal Viewer” voor verdere analyse:

Overige Verbeteringen
Er zijn nog heel veel meer verbeteringen waar ik erg blij mee ben. De Registry Viewer kan reports van register hives maken (momenteel alleen de Software hive). System Information maakt nieuwe tabs aan voor elk resultaat waardoor resultaten beter inzichtelijk blijven en beter te vergelijken zijn. Webpagina’s kunnen geëxporteerd worden. Drives welke door BitLocker versleuteld zijn kunnen nu geformatteerd worden. Er is een “Quick Hash Set” optie bijgekomen om snel een hashlist aan te maken op basis van een bestaande hashlist. De Internal Viewer kan nu omgaan met EFS bestanden en er is een HEX viewer aan toegevoegd. En voor het aanmaken van een USB Bootable drive kan nu gebruik gemaakt worden van WinPE10.

En bovenal zijn er heel veel kleine bugs aangepakt, zijn diverse handelingen vele malen sneller en wordt er meer informatie vastgelegd. OSForensics V6 maakt een aantal flinke stappen en neemt hiermee weer een kleine voorsprong op zijn concurrentie. Zelfs in deze Beta was het pakket ontzettend stabiel en heb ik geen enkele crash ervaren. Er zijn wat mij betreft geen nadelen aan de nieuwe OSForensics. Op alle vlakken is het pakket vooruit gegaan. Dit is hoe een goede softwareupgrade eruit moet zien. OSForensics maakt zijn beloftes waar!

Phishing / Spam Checker:
Have you received a strange mail and do you want to make a better assessment? Is it phishing or spam? Use my "CheckForPhishing" tool!
Check your email
Laatst geüploade video:
Bekijk de meest recente video hier of bekijk alle video's op mijn:
YouTube kanaal
Top