Title: Handleiding exacte forensische kopie via het netwerk
Subject: netwerk forensiche kopie
Author: Geert Van Acker
Date: 27 Nov 2005
Version: 1.0
Translation:
Licence: Creative Commons

Handleiding exacte forensische kopie via het netwerk

Voorwoord

Naast het nemen van exacte forensische kopies van IDE naar IDE (en/of SATA), IDE naar USB of FireWire, bestaat er nog een krachtige mogelijkheid, namelijk het nemen van een forensische kopie over het netwerk.

Indien de computer van de verdachte/slachtoffer niet over USB 2.0 of FireWire aansluitingen beschikt en het demonteren van de harde schijf niet aangewezen is, kan deze methode een oplossing bieden.

In dit document wordt gebruik gemaakt van de FCCU GNU/Linux Forensic Boot CD versie 8.1. Deze werkwijze is ook mogelijk met het Windows OS, doch valt buiten het bereik van deze handleiding.

Enkele conventies die gebruikt worden binnen dit document:

Commando's worden steeds vet en schuin afgedrukt, voorafgegaan door het spoorwegteken (#), het spoowegteken staat voor de prompt en dient dus niet ingetypt te worden.

Wanneer in het document de benaming "/dev/hdx" (indien USB/FireWire te vervangen door "/dev/sdx" of "/dev/ubx") gebruikt wordt, bedoelen wij de target harde schijf waarop wij een exacte kopie gaan plaatsen ("doel" harde schijf), wanneer "/dev/hdy" (indien USB/FireWire te vervangen door "/dev/sdy" of "/dev/uby") gebruikt wordt, is dit de harde schijf waarvan we een exacte kopie willen nemen ("bron" harde schijf).

1. Benodigdheden:

Twee (2) FCCU GNU/Linux Forensic Boot CD versie 8.1

Target harde schijf

Computer met mogelijkheid om een target harde schijf op aan te sluiten (Interventiekit, draagbare pc via USB/FireWire aansluiting, ...).

Netwerkkabel (liefst crossed linked, evt hub of switch).

2. Voorbereiden van de target harde schijf

Indien nodig "wipen" we eerst de target harde schijf (als we de exacte
kopie naar een bestand wegschrijven, dus niet "disk to disk", is het niet nodig om eerst te wipen).

# shred -z -n 0 -v /dev/hdx

Vervolgens maken we met het commando fdisk de partitie aan (1 primaire partitie over de hele oppervlakte van de harde schijf)

# fdisk /dev/hdx

Nadat de partitie aangemaakt is, moeten we de computer waar de target harde schijf aangekoppeld is herstarten, dit om de nieuwe partitietabel in de kernel te laden.

# shutdown -r now

De partitie moet nog voorzien worden van een bestandssysteem:

# mkfs.ext3 /dev/hdx1
De laatste stap is het bestandssysteem aankoppelen binnen onze boomstructuur:
# mount /dev/hdx1 /mnt/test

3. Netwerkverbinding

We gebruiken de TCP/IP suite om de verbinding te maken tussen de twee computers. De fysieke verbinding kan gebeuren met een "crossed link" kabel of eventueel via twee "straight" ethernet kabels met hub of switch ertussen.

De twee computers moeten geconfigureerd worden binnen hetzelfde netwerk. Gebruik hiervoor de voorziene ranges (bijvoorbeeld 192.168.0.0).

Op de pc waar de target harde schijf aangekoppeld is:

# ifconfig eth0 192.168.0.1

Op de pc van de verdachte/slachtoffer:

# ifconfig eth0 192.168.0.2

Test nu de netwerkverbinding met behulp van het "ping" commando. Op de pc waar de target harde schijf aangekoppeld is:

# ping 192.168.0.2

Op de pc van de verdachte/slachtoffer:

# ping 192.168.0.1

4. Exacte forensische kopie

We maken gebruik van de commando's "dd" en "netcat" om een exacte forensische kopie te nemen.

Eerste stap is een netcat te openen op de computer waar de target harde schijf aangekoppeld is. Dit zal een poort openen (poort 2000 in ons voorbeeld) in luisterstand (-l), alle data die het ontvangt visualiseren (pipebench) en wegschrijven (bit-to-bit) naar een bestand op de target harde schijf.

# netcat -l -p 2000 -w 5 | pipebench > /mnt/test/image.dd

De volgende stap is de forensische kopie van de harde schijf van de verdachte/slachtoffer doorsturen.

# dd if=/dev/hdy conv=noerror,sync | pipebench | netcat 192.168.0.1 2000

Check of de grootte van de kopie overeenkomt met de grootte van de harde schijf waarvan we een kopie genomen hebben.

# ls -lh /mnt/test/image.dd

Ontkoppel de partitie (unmounten)

# umount /mnt/test

Om de computers af te sluiten:

# shutdown -h now


Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.