| lnx4n6.be The Belgian Computer Forensic Website |
|
| Title: Handleiding exacte forensische kopie via het netwerk |
| Subject: netwerk forensiche kopie |
| Author: Geert Van Acker |
| Date: 27 Nov 2005 |
| Version: 1.0 |
| Translation: |
| Licence: Creative Commons |
Naast het nemen van exacte forensische kopies van IDE naar IDE (en/of SATA), IDE naar USB of FireWire, bestaat er nog een krachtige mogelijkheid, namelijk het nemen van een forensische kopie over het netwerk.
Indien de computer van de verdachte/slachtoffer niet over USB 2.0 of FireWire aansluitingen beschikt en het demonteren van de harde schijf niet aangewezen is, kan deze methode een oplossing bieden.
In dit document wordt gebruik gemaakt van de FCCU GNU/Linux Forensic Boot CD versie 8.1. Deze werkwijze is ook mogelijk met het Windows OS, doch valt buiten het bereik van deze handleiding.Enkele conventies die gebruikt worden binnen dit document:
Commando's worden steeds vet en schuin afgedrukt, voorafgegaan door het spoorwegteken (#), het spoowegteken staat voor de prompt en dient dus niet ingetypt te worden.
Wanneer in het document de benaming "/dev/hdx" (indien USB/FireWire te vervangen door "/dev/sdx" of "/dev/ubx") gebruikt wordt, bedoelen wij de target harde schijf waarop wij een exacte kopie gaan plaatsen ("doel" harde schijf), wanneer "/dev/hdy" (indien USB/FireWire te vervangen door "/dev/sdy" of "/dev/uby") gebruikt wordt, is dit de harde schijf waarvan we een exacte kopie willen nemen ("bron" harde schijf).
Twee (2) FCCU GNU/Linux Forensic Boot CD versie 8.1
Target harde schijf
Computer met mogelijkheid om een target harde schijf op aan te sluiten (Interventiekit, draagbare pc via USB/FireWire aansluiting, ...).
Netwerkkabel (liefst crossed linked, evt hub of switch).
Indien nodig "wipen" we eerst de target harde schijf (als we de exacte
kopie naar een bestand wegschrijven, dus niet "disk to disk", is het
niet nodig om eerst te wipen).
Vervolgens maken we met het commando fdisk de partitie aan (1 primaire partitie over de hele oppervlakte van de harde schijf)
Nadat de partitie aangemaakt is, moeten we de computer waar de target harde schijf aangekoppeld is herstarten, dit om de nieuwe partitietabel in de kernel te laden.
De partitie moet nog voorzien worden van een bestandssysteem:
We gebruiken de TCP/IP suite om de verbinding te maken tussen de twee computers. De fysieke verbinding kan gebeuren met een "crossed link" kabel of eventueel via twee "straight" ethernet kabels met hub of switch ertussen.
De twee computers moeten geconfigureerd worden binnen hetzelfde netwerk. Gebruik hiervoor de voorziene ranges (bijvoorbeeld 192.168.0.0).
Op de pc waar de target harde schijf aangekoppeld is:
Op de pc van de verdachte/slachtoffer:
Test nu de netwerkverbinding met behulp van het "ping" commando. Op de pc waar de target harde schijf aangekoppeld is:
Op de pc van de verdachte/slachtoffer:
We maken gebruik van de commando's "dd" en "netcat" om een exacte forensische kopie te nemen.
Eerste stap is een netcat te openen op de computer waar de target harde schijf aangekoppeld is. Dit zal een poort openen (poort 2000 in ons voorbeeld) in luisterstand (-l), alle data die het ontvangt visualiseren (pipebench) en wegschrijven (bit-to-bit) naar een bestand op de target harde schijf.
De volgende stap is de forensische kopie van de harde schijf van de verdachte/slachtoffer doorsturen.
Check of de grootte van de kopie overeenkomt met de grootte van de harde schijf waarvan we een kopie genomen hebben.
Ontkoppel de partitie (unmounten)
Om de computers af te sluiten:
This work is licensed under a Creative
Commons Attribution-NonCommercial-ShareAlike 2.5 License.
