Design and Implementation of a Forensic Documentation Tool for Interactive Command-line Sessions



Ähnliche Dokumente
OSD-Branchenprogramm. OSD-Version Was ist neu? EDV-Power für Holzverarbeiter

MetaQuotes Empfehlungen zum Gebrauch von

Standard Daten-Backup-Script

Dokumentation owncloud PH Wien

MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 4 auf Mac OS

Die Rückgabe kann über folgende, von uns getestete Programme / Apps vorgenommen werden: Adobe Digital Editions Sony Reader for PC Bluefire Reader

Was ist PDF? Portable Document Format, von Adobe Systems entwickelt Multiplattformfähigkeit,

SJ OFFICE - Update 3.0

AutoTexte und AutoKorrektur unter Outlook verwenden

Success! Bestellausgabe

Vermeiden Sie es sich bei einer deutlich erfahreneren Person "dranzuhängen", Sie sind persönlich verantwortlich für Ihren Lernerfolg.

Internes Web-Portal der AK-Leiter

Updatehinweise für die Version forma 5.5.5

SharePoint Demonstration

Software Engineering. Zur Architektur der Applikation Data Repository. Franz-Josef Elmer, Universität Basel, HS 2015

Prozesse. Stefan Janssen. Alexander Sczyrba

2.1 Briefkopf Klicken Sie im Menü Einstellungen auf den Button Briefkopf. Folgendes Formular öffnet sich:

Um zu prüfen welche Version auf dem betroffenen Client enthalten ist, gehen Sie bitte wie folgt vor:

PC-Kaufmann Supportinformation - Proxy Konfiguration für Elster

Es sollte die MS-DOS Eingabeaufforderung starten. Geben Sie nun den Befehl javac ein.

2. Word-Dokumente verwalten

TechNote. Produkt: TWINFAX 7.0 (ab CD_24), TWINFAX 6.0 Modul: SMTP, T611, R3 Kurzbeschreibung: Briefpapier- und Mailbodyunterstützung

ARAkoll 2013 Dokumentation. Datum:

Beschreibung UTF-8 Codierung

Die aktuelle Version des SPIEGEL-Bestseller-Widgets können Sie auf unserer Website unter Entwicklertools herunterladen.

Programm GArtenlisten. Computerhinweise

INHALT. 2. Zentrale Verwaltung von NT-, und 2003-Domänen. 3. Schnelle und sichere Fernsteuerung von Servern und Arbeitsstationen

EDV-Hausleitner GmbH Dokumentation Online Bestellungen

X Anmelden am System. X System herunterfahren. X Grundlegendes zur Shell. X Das Hilfesystem. X Dateioperationen. X Bewegen im Verzeichnisbaum

Für AX 4.0, den letzten Hotfix rollup einspielen. Der Hotfix wurde das erste Mal im Hotfix rollup eingeschlossen:

Aktivierungsanleitung

Anleitung zum Bestellformular für Geschäftsdrucksachen UZH

ITF2XML. Transferservice. Version 1.1. Tel.: 044 / Fax: 044 / CH-8005 Zürich

Metadaten bei der Digitalisierung von analogen archivalischen Quellen. Kathrin Mileta, Dr. Martina Wiech

Datensicherung. Beschreibung der Datensicherung

SEP 114. Design by Contract

Konvertierung von Smap3D Norm- und Wiederholteilen für SolidWorks 2015

Xesar. Die vielfältige Sicherheitslösung

Neuen Steuersatz anlegen

AirKey Das Handy ist der Schlüssel

MetaQuotes Empfehlungen zum Gebrauch von MetaTrader 5 auf Mac OS

IBM Software Demos Tivoli Provisioning Manager for OS Deployment

Business-Rule-Management als Instrument des Software-Reengineering

Kurzanleitung. Toolbox. T_xls_Import

KURZANLEITUNG MSDAS DMS SYSTEM - SILVERDAT II SCHNITTSTELLE

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

INSTALLATIONSANLEITUNG

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

Steuererklärung mit dem PC. Computeria-Urdorf 10. Februar 2010

Word-Vorlagen-System mit Outlookanbindung

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Die ersten Schritte in BITE

GRAF-SYTECO. Handbuch. Zeichensatzgenerator für AT-Geräte. Erstellt: November SYsteme TEchnischer COmmunikation

Benutzerdokumentation Hosted Backup Cloud Access

Wiederkehrende Bestellungen. Tipps & Tricks

Anleitung zum Bestellformular für Visitenkarten UZH

Software Projekt 2 / Gruppe Knauth Lernziele:

AirKey. Das Smartphone ist der Schlüssel

NTR-Support Die neue Fernwartung

1. Einschränkung für Mac-User ohne Office Dokumente hochladen, teilen und bearbeiten

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Verwendung des Terminalservers der MUG

Über die Internetseite Hier werden unter Download/aktuelle Versionen die verschiedenen Module als zip-dateien bereitgestellt.

RGS Homepage Arbeiten im Administratorbereich (Backend)

Tel.: Fax: Ein Text oder Programm in einem Editor schreiben und zu ClassPad übertragen.

ACHTUNG: Es können gpx-dateien und mit dem GP7 aufgezeichnete trc-dateien umgewandelt werden.

Migration NVC 5.x auf NEM/NPro (Migration eines bestehenden, produktiven NVC Verteilservers auf NEM/NPro)

SSH Authentifizierung über Public Key

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung

SEPA-Anleitung zum Release 3.09

mobilepoi 0.91 Demo Version Anleitung Das Software Studio Christian Efinger Erstellt am 21. Oktober 2005

Dokumentation für die software für zahnärzte der procedia GmbH Onlinedokumentation

Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10. Technische Informationen (White Paper)

Powerline Netzwerk SICHERHEITS EINSTELLUNGEN. ALL1683 USB Adapter. und. ALL1682 Ethernet bridge. ALLNET Powerline Configuration Utility

Prozesse und Logs Linux-Kurs der Unix-AG

Bkvadmin2000 Peter Kirischitz

DER BESSER INFORMIERTE GEWINNT!

BSV Ludwigsburg Erstellung einer neuen Internetseite

Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2

Barcode Master. Barcode Generator für PC Windows und MAC OS. Bedienungsanleitung und Handbuch. Version 1.1. Dr.J.Willrodt /

Bitte beachten Sie die Installations-/Systemvoraussetzungen und freigegebenen Betriebssysteme.

Bearbeiten elektronische Rechnungen (Invoices)

Einsatzbearbeitung im Sanitätsdienst

Die Online-Meetings bei den Anonymen Alkoholikern. zum Thema. Online - Meetings. Eine neue Form der Selbsthilfe?

Wie importiere ich mehrere Dateien gleichzeitig?

Mit der RoeTest-Software können Barcodes wie folgt erstellt werden:

Versionsverwaltung mit SVN

Konvertieren von Settingsdateien

FlashAir. Tool zur Firmwareaktualisierung Version Bedienungsanleitung

OPERATIONEN AUF EINER DATENBANK

FL1 Hosting Technische Informationen

Version White Paper ZS-TimeCalculation und die Zusammenarbeit mit dem iphone, ipad bzw. ipod Touch

Anleitung zur Verwendung der VVW-Word-Vorlagen

Installationsanleitung. Update ATOSS SES 2.40 für Windows ATOSS Server

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Anleitung BFV-Widget-Generator

Einrichten einer Festplatte mit FDISK unter Windows 95/98/98SE/Me

Dokumentation IBIS Monitor

Transkript:

Design and Implementation of a Forensic Documentation Tool for Interactive Command-line Sessions Abschlussvortrag 15. März 2010

Einsatzgebiet Protokollierung von Terminalsitzungen Im Zuge forensischer Ermittlungen Umfassende und detaillierte Aufzeichnung der durchgeführten Tätigkeiten Dokumentation für den Ermittler selbst mögliche Amtsnachfolger unabhängige Gutachter o.ä.

Verwendung von script Einsatzbeispiel script Example $ script -t typescript 2> timing Script started, file is typescript $ dd if=/dev/sda nc 10.10.1.1 1234... $ logout Script done, file is typescript

Verwendung von script Was tut script? Example $ script Script started, file is typescript $ ps faux... 3704? S / usr / bin /x- terminal - emulator 3705 pts /4 Ss \_ -bash 3843 pts /4 S + \_ script 3844 pts /4 S + \_ script 3845 pts /7 Ss \_ bash - i 3878 pts /7 R + \_ ps faux Terminal-Emulator pts/4 script pts/7 bash

Ausgabeformat Typescript Example 1:1-Ausgabe der als Kindprozess laufenden Software Inklusive Steuerzeichen etc. ^[[1;32mscy@ ~ $^[[0m echo test^m test^m

Ausgabeformat Timingdaten Example ASCII-Daten Zu wartende Zeit in Sekunden; Anzahl auszugebender Bytes 0.163965 117 0.038713 1 9.803904 1 0.175984 1 0.023397 2...

Ausgabeformat Schwächen Nur Bildschirmausgabe wird protokolliert, Eingaben überhaupt nicht Tab-Completion? ^C/^D/^M? Timinginformationen werden in separater Datei gespeichert Keine Informationen über die Laufzeitumgebung Zeichenkodierung Umgebungsvariablen Fenstergröße...

Die Neuentwicklung: forscript Ziele der Bachelorarbeit Ausführliche Dokumentation des Verhaltens von script, Aufzeigen seiner Schwächen Gestalten eines neuen Dateiformates, das forensischen Ansprüchen genügt Entwickeln einer Software, die in diesem Format protokolliert Dokumentieren dieser Software nach den Prinzipien des literate programming

Grundlegendes Bestandteile einer forscript-datei Ein einziger chronologisch fortlaufender Datenstrom, enthält: Ausgaben der Clientsoftware Eingaben des Benutzers Metainformationen die Datei strukturierend den Datenstrom ergänzend

Datentypen Ausgaben der Clientsoftware Identisch zu script Steuerzeichen werden 1:1 übernommen Für maximale Authentizität werden keinerlei Änderungen vorgenommen Keine Umkodierung in Unicode etc. Ausnahme: Escaping von Bytes mit Sonderfunktion Rekonstruktion/Wiedergabe: Aufgabe der lesenden Software, die ursprüngliche Situation zu erkennen, z.b. anhand Umgebungsvariablen

Datentypen Eingaben des Benutzers Durch vorangestelltes shift out, shift out (0x0e 0x0e) signalisiert Unveränderte Eingabebytes (Ausnahme: Escaping) Druckbare Zeichen Cursorbewegungen Tastenkombinationen Sondertasten... Abschluss durch shift in (0x0f)

Datentypen Metainformationen Durch vorangestelltes shift out (0x0e 0x0e) und ein Typ-Byte signalisiert Festgelegte Typ-Bytes, aber in künftigen Versionen erweiterbar Dateiformat-Version Anfang einer neuen Sitzung Umgebungsvariablen Fenstergröße Sprache und Zeichensatz/Encoding Timinginformationen... Terminiert durch shift in (0x0f)

Eigenschaften Escaping Example shift out (0x0e) und shift in (0x0f) werden durch vorangestelltes data link escape (0x10) escaped data link escape muss folglich auch escaped werden: durch sich selbst 0x4e 0x0f 0x00 0x61 0x74 0x10 0x4e 0x10 0x0f 0x00 0x61 0x74 0x10 0x10

Eigenschaften Zeitmessung Hauptschleife: Warten auf 1 Benutzereingaben 2 Clientausgaben 3 Signale (Fenstergröße verändert, Client beendet) Vor Bearbeiten eines jedes Ereignisses wird Zeitdifferenz in Ausgabedatei geschrieben

Implementierung Standards forscript hält sich strikt an Unix-übergreifende Standards C 99 POSIX.1-2001 System V r4 keine BSD-Funktionen Lauffähig auf Linux und NetBSD, möglicherweise auch auf anderen Auf OS X bislang nicht lauffähig, da dort clock_gettime() fehlt Kann aber emuliert oder ersetzt werden

Implementierung Neuerungen script etwa 1997 geschrieben, neuere Library-Funktionen existieren: select() statt mehreren Prozessen posix_openpt() statt race-behaftetem Durchprobieren von PTYs clock_gettime() mit monotonem Zeitverlauf forscript ignoriert SIGSTOP des Childs -a mit Timing unterstützt Nur 1 forken vereinfachter Code

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback