자기 집에서 시작한 포렌시크~ 분석 시작편~

4870 단어 LinuxlvmForensicsDigitalForensics

개시하다


HDD를 가까스로 보전했습니다. 그러니까 분석도 좀 해주세요.
그래서 나는 계속 할 것이다.
Autopsy 및 SIFT Workstation을 사용합니다.
  • SIFT는 파일 시스템의 수동 해결입니다.
  • Autopsy에서 자동으로 해결되지 않는 LVM을 사용했는지 여부가 주로 표시됩니다.
  • Autopsy는 EXT4 또는 EXT와 같은 대응 파일 시스템을 분석합니다.
  • GUI로 쉽게 만들 수 있습니다.

    • E01 파일 설치(SIFT Workstation)


    이 명령을 실행할 때 장치 파일 (단일 파일) 이/mnt/ewf/ewf1에 자동으로 마운트될 수 있습니다
    # ewfmount /media/sf_forensics/WD-WXG1A2048823.E01 /mnt/ewf
ewfmount 20140608
#

    /mnt/ewf/ewf1의 파티

    # fdisk -l /mnt/ewf/ewf1
Disk /mnt/ewf/ewf1: 149.1 GiB, 160041885696 bytes, 312581808 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x00098212

Device          Boot  Start       End   Sectors   Size Id Type
/mnt/ewf/ewf1p1 *      2048    499711    497664   243M 83 Linux
/mnt/ewf/ewf1p2      501758 312580095 312078338 148.8G  5 Extended
/mnt/ewf/ewf1p5      501760 312580095 312078336 148.8G 8e Linux LVM

#
    LVM을 잘 사용했기 때문에 E01 파일을 Autopsy에 직접 넣어도 해석이 불가능하다.
    또한 LVM 관련 명령은 SIFT에서 기본 입력 + 기본적으로 인터넷을 나갈 수 없기 때문에 아래의 명령으로 인터넷에 연결하여 LVM계의 명령을 취한다.
    # dhclient
# apt install lvm2

    LVM(logical volume manager)


    한 마디로 하면 LVM이 아니라 ext 같은 파일 시스템이 표현하고자 한다
    LVM에 포함된 파일 시스템을 테이블에 배치하는 작업을 수행합니다.
    ewf1에 따라 순환 설비 제작
    # losetup /dev/loop0 /mnt/ewf/ewf1
    루프 장치 마운트
    # kpartx -a /dev/loop0
    루프 루프 장치의 파티션 정보 보기
    # fdisk -l -u /dev/loop0
Disk /dev/loop0: 149.1 GiB, 160041885696 bytes, 312581808 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: dos
Disk identifier: 0x00098212

Device       Boot  Start       End   Sectors   Size Id Type
/dev/loop0p1 *      2048    499711    497664   243M 83 Linux
/dev/loop0p2      501758 312580095 312078338 148.8G  5 Extended
/dev/loop0p5      501760 312580095 312078336 148.8G 8e Linux LVM
    방금 본 파일 구역과 같습니다!
    즉, 성공적으로 마운트되었으므로 LVM에서 볼 수 있음
    LVM의 정보를 하나하나 보기 (pvscan의 PV는Physical Volume의 생략)
    root@siftworkstation -> /mnt 
# pvscan
  PV /dev/mapper/loop0p5   VG ubuntu-vg       lvm2 [148.81 GiB / 0    free]
  Total: 1 [148.81 GiB] / in use: 1 [148.81 GiB] / in no VG: 0 [0   ]
root@siftworkstation -> /mnt
    LVM의 논리적 볼륨은 이렇습니다.
    inactive이기 때문에 lvchange에서 논리 볼륨을 사용하도록 설정합니다.
    # lvscan
  inactive          '/dev/ubuntu-vg/root' [144.88 GiB] inherit
  inactive          '/dev/ubuntu-vg/swap_1' [3.93 GiB] inherit

# lvchange --available y /dev/ubuntu-vg/root /dev/ubuntu-vg/swap_1

# lvscan
  ACTIVE            '/dev/ubuntu-vg/root' [144.88 GiB] inherit
  ACTIVE            '/dev/ubuntu-vg/swap_1' [3.93 GiB] inherit
    축하합니다. 논리 음량을 사용할 수 있습니다!
    # parted /dev/ubuntu-vg/root print
Model: Linux device-mapper (linear) (dm)
Disk /dev/dm-3: 156GB
Sector size (logical/physical): 512B/512B
Partition Table: loop
Disk Flags: 

Number  Start  End    Size   File system  Flags
 1      0.00B  156GB  156GB  ext4
    와, ext4다.
    swap_1은 뭐랄까, 어쨌든 들고 있는 느낌.
    # dd if=/dev/ubuntu-vg/root of=/media/sf_writable/root bs=1G status=progress
155558346752 bytes (156 GB, 145 GiB) copied, 2620.5 s, 59.4 MB/s
144+1 records in
144+1 records out
155558346752 bytes (156 GB, 145 GiB) copied, 2620.69 s, 59.4 MB/s

# dd if=/dev/ubuntu-vg/swap_1 of=/media/sf_writable/swap bs=1G status=progress
4223664128 bytes (4.2 GB, 3.9 GiB) copied, 45.6079 s, 92.6 MB/s
3+1 records in
3+1 records out
4223664128 bytes (4.2 GB, 3.9 GiB) copied, 45.7875 s, 92.2 MB/s
    아무튼 Autopsy에게 EXT4의 인상을 먼저 맛보게 해주세요.

    벌컥벌컥 먹고 있다.
    끝.
    아마 다음은 해석편일 거예요.
    이 파일 시스템이 암호화되었는지 의심스럽다
    스캔한 경로 이름을 봤는데'/home/user.encerypt'같은 게 나왔어요.
    이것은
    다음분석편

    참고물


    [Linux] kpartx로 리턴 장치를 간단하게 마운트합니다
    다른 PC에서 분리된 디스크의 LVM 볼륨을 설치하는 방법
    VM 볼륨 설치 방법
    장면에 광선 추가 - 법선 정의 및 BasicEffect 사용
    python 대상에 대한 봉인, 구조 및 분석 방법

    좋은 웹페이지 즐겨찾기

    개발자 우수 사이트 수집

    개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다
    best100-homepage