Disclaimer: Vi har inte utfört någon levande utredning. Detta var en del av vårt universitetsuppdrag, där vi tog på oss rollen som kriminalteknisk utredare och bestämde vilka metoder som var tillämpliga. Du är välkommen att komma med dina egna slutsatser och lösa fallet. Vi försökte följa den globala metoden och illustrerade hur en grundläggande kriminalteknisk utredningsrapport bör se ut.
Credits
Edmand Dester Thipursian – [email protected]
Sai Thogarcheti – [email protected]
Abdullah Al Fahad – [email protected]
Chintan Gurjar – [email protected]
Adam Mentsiev – [email protected]
Alams Titus Mammuan – [email protected]
Introduktion
Datorteknik är en viktig integrerad del av människans vardag, och den växer snabbt, liksom datorrelaterade brott som ekonomiska bedrägerier, obehörigt intrång, identitetsstöld och intellektuell stöld. För att motverka dessa datorrelaterade brott spelar datorkriminalteknik en mycket viktig roll. ”Computer Forensics innebär att man inhämtar och analyserar digital information för att använda den som bevis i civilrättsliga, straffrättsliga eller administrativa fall (Nelson, B., et al, 2008)”.
En Computer Forensic Investigation undersöker generellt sett de data som kan tas från datorers hårddiskar eller andra lagringsenheter med iakttagande av standardpolicyer och -procedurer för att avgöra om dessa enheter har äventyrats av obehörig åtkomst eller inte. Datorkriminaltekniska utredare arbetar som ett team för att utreda händelsen och genomföra den kriminaltekniska analysen med hjälp av olika metoder (t.ex. statiska och dynamiska) och verktyg (t.ex. ProDiscover eller Encase) för att se till att datornätverkssystemet är säkert i en organisation. En framgångsrik kriminalteknisk utredare måste känna till olika lagar och förordningar om datorbrott i sitt land (t.ex. Computer Misuse Act 1990 i Storbritannien) och olika datoroperativsystem (t.ex. Windows, Linux) och nätverksoperativsystem (t.ex. Win NT). Enligt Nelson, B., et al. (2008) är offentliga utredningar och privata utredningar eller företagsutredningar de två distinkta kategorier som faller under datorforensiska utredningar. Offentliga utredningar genomförs av statliga myndigheter och privata utredningar genomförs av privata datorkriminaltekniska team. Den här rapporten kommer att fokusera på privata utredningar, eftersom en incident inträffade på ett nystartat litet eller medelstort företag i Luton.
Denna rapport innehåller också en modell för datorutredningar, datainsamlingar och dess typer, bevisförvärv, kriminaltekniska verktyg, skadegörelseutredningar, juridiska aspekter av datorkriminaltekniska undersökningar, och slutligen innehåller den här rapporten också nödvändiga rekommendationer, motåtgärder och policyer för att se till att det här lilla eller medelstora företaget kommer att placeras i en säker nätverksmiljö.
Fallstudie
Ett nystartat små och medelstora företag i Luton med en e-förvaltningsmodell har nyligen börjat märka avvikelser i sin bokföring och sina produktregister. Företaget har gjort en första kontroll av systemets loggfiler och det finns ett antal misstänkta poster och IP-adresser med en stor mängd data som skickas utanför företagets brandvägg. De har också nyligen fått in ett antal kundklagomål som säger att det ofta visas ett konstigt meddelande under orderbehandlingen och att de ofta omdirigeras till en betalningssida som inte ser legitim ut.
Företaget använder sig av ett allmänt e-business-paket (OSCommerce) och har ett litet team på sex personer som arbetar med IT-support, men de anser sig inte ha den expertis som krävs för att genomföra en omfattande undersökning av skadlig programvara och kriminalteknisk undersökning.
I takt med den ökade konkurrensen inom det högteknologiska området är företaget angeläget om att se till att deras system inte äventyras, och de har anlitat en digital forensisk utredare för att avgöra om någon skadlig aktivitet har ägt rum och för att se till att det inte finns någon skadlig kod i deras system.
Din uppgift är att undersöka teamets misstankar och föreslå teamet hur de kan desinficera alla maskiner som drabbats av skadlig kod och se till att inga andra maskiner i deras lokaler eller i nätverket har smittats. Teamet vill också att du genomför en digital forensisk undersökning för att se om du kan spåra orsaken till problemen och vid behov förbereda ett fall mot förövarna.
Företaget använder Windows Server NT för sina servrar. Patchar appliceras av IT-supportteamet varje månad, men teamet har lagt märke till att ett antal maskiner inte verkar ha blivit patchade.
Leveransuppgifter
Din leverans i detta uppdrag är en rapport på 5 000 ord där du diskuterar hur du skulle gå tillväga för att genomföra följande:
– Utredning av skadlig programvara
– Digital forensisk utredning
Du bör diskutera en allmän översikt över den metod som du kommer att använda, och ge ett välgrundat argument för varför just den metod som valts är relevant.
Du bör också diskutera den process som du kommer att använda för att samla in bevis och diskutera de relevanta riktlinjer som måste följas vid insamling av digitala bevis.
Som en diskussion i din rapport bör du också ge en kritisk utvärdering av de befintliga verktyg och tekniker som används för digitala kriminaltekniska undersökningar eller undersökningar av skadlig kod och utvärdera deras effektivitet, genom att diskutera sådana frågor som konsekvens i de metoder som används, de färdigheter som de kriminaltekniska utredarna behöver och de problem som är kopplade till de befintliga metoderna (särskilt med avseende på avsaknaden av ett enda gemensamt globalt tillvägagångssätt för att utföra sådana undersökningar och de problem som kan uppstå när det finns ett behov av att utföra en utredning som överskrider internationella gränser).
Association of Chief Police Officers (ACPO)
Denna kriminaltekniska undersökning kommer att genomföras i enlighet med Association of Chief Police Officers (ACPO) riktlinjer och dess fyra principer. Det finns fyra ACPO-principer som berör datorbaserade elektroniska bevis. Dessa principer måste följas när en person genomför den datorforensiska utredningen. Sammanfattningen av dessa principer är följande (ACPO, 2013);
Princip 1: Princip 1: Uppgifter som lagras i en dator eller på ett lagringsmedium får inte ändras eller förändras, eftersom dessa uppgifter senare kan komma att presenteras i domstol.
Princip 2: En person måste vara tillräckligt kompetent för att kunna hantera de originaldata som finns i en dator eller på ett lagringsmedium om det är nödvändigt, och han/hon ska också kunna ge bevis som förklarar relevansen och förloppet av hans/hennes handlingar.
Princip 3: En verifieringskedja eller annan dokumentation av alla processer som tillämpas på datorbaserat elektroniskt bevismaterial bör skapas och bevaras. En oberoende tredje part bör kunna granska dessa processer och uppnå samma resultat.
Princip 4: En person som är ansvarig för utredningen måste ha det övergripande ansvaret för att redovisa att lagen och ACPO-principerna följs.
Datorutredningsmodell
Enligt Kruse II, W.G., och Heiser, J.G. (2010) är en datorutredning att identifiera bevisen, bevara dessa bevis, extrahera dem, dokumentera varje enskild process, validera dessa bevis och analysera dem för att hitta grundorsaken och ge rekommendationer eller lösningar.
”Computer Forensics is a new field and there is less standardization and consistency across the courts and industry” (US-CERT, 2012). Varje datorforensisk modell är inriktad på ett visst område, t.ex. brottsbekämpning eller elektronisk bevisupptagning. Det finns ingen enda digital forensisk utredningsmodell som är allmänt accepterad. Det var dock allmänt accepterat att ramverket för den digitala kriminaltekniska modellen måste vara flexibelt, så att det kan stödja alla typer av incidenter och ny teknik (Adam, R., 2012).
Kent, K., et.al, (2006) utvecklade en grundläggande digital kriminalteknisk utredningsmodell som kallas Four Step Forensics Process (FSFP) med Venters (2006) idé om att en digital kriminalteknisk utredning kan utföras även av icke-tekniska personer. Denna modell ger mer flexibilitet än någon annan modell, så att en organisation kan anta den mest lämpliga modellen utifrån de situationer som uppstår. Detta är skälen till att vi valde denna modell för denna undersökning. FSFP innehåller följande fyra grundläggande processer som visas i figuren:
Figur 1: FSFP Forensic Investigation Model
Källa: K. Kent, K., et.al, (2006)
Pilen ”Preserve and Document Evidence” visar att vi måste bevara och dokumentera alla bevis under utredningens gång, eftersom de i vissa fall kan lämnas in till domstolen som bevis. Vi kommer att diskutera varje process eller steg i FSFP-utredningsmodellen i följande avsnitt.
Utredningens omfattning
Utredningens omfattning i det här fallet är följande:
- För att identifiera de skadliga aktiviteterna med avseende på 5W:s (Why, When, Where, What, Who).
- Att identifiera säkerhetsbristen i deras nätverk.
- Att ta reda på konsekvenserna om nätverkssystemet äventyras.
- Att identifiera de rättsliga förfarandena, om det behövs.
- Att tillhandahålla korrigerande åtgärder för att härda systemet.
Legala utmaningar i samband med utredningen
Enligt Nelson, B., et al., (2008) är de juridiska utmaningarna innan vi påbörjar vår forensiska undersökning följande:
-
För att avgöra om det behövs hjälp av brottsbekämpande myndigheter, och om så är fallet kan de vara tillgängliga för hjälp under undersökningen, eller så måste vi lämna in undersökningsrapporten till dem i slutet av undersökningen.
-
För att få ett skriftligt tillstånd för att genomföra den forensiska undersökningen, såvida inte ett annat förfarande för godkännande av incidenthantering finns.
-
Diskutera med de juridiska rådgivarna för att identifiera de potentiella problem som kan uppstå vid en felaktig hantering av utredningarna.
-
Säkerställa att kundernas konfidentiella frågor och integritetsfrågor redovisas.
Inledande förberedelser
Det är uppenbart att innan utredningen påbörjas måste vi ha en förberedelse för att kunna genomföra utredningen effektivt. Detta anses vara en proaktiv åtgärd i utredningen (Murray, 2012). Följande steg måste tas i förberedelsefasen:
-
Samla in all tillgänglig information från bedömningen av händelsen, till exempel händelsens allvarlighetsgrad.
-
Identifiera utredningens inverkan på små och medelstora företags verksamhet, till exempel nedtid i nätverket, hur lång tid det tar att återhämta sig från incidenten, intäktsbortfall och förlust av konfidentiell information.
-
Inhämta information om nätverken, nätverksenheter som router, switchar, hubb, osv, dokumentation om nätverkstopologi, datorer, servrar, brandväggar och nätverksdiagram.
-
Identifiera de externa lagringsenheterna, t.ex. pennor, flash-enheter, externa hårddiskar, cd-skivor, dvd-skivor, minneskort och fjärrdatorer.
-
Identifiera de kriminaltekniska verktygen som kan användas i denna utredning.
-
Fånga in live-nätverkstrafik i händelse av att den misstänkta verksamheten fortfarande pågår med hjälp av ”netmon”-verktyg.
-
Dokumentera alla aktiviteter under utredningen som kan användas i domstol för att verifiera det tillvägagångssätt som följdes i utredningen.
-
Avbilda målenheternas hårddiskar och hashera dem med MD5 för dataintegritet.
Insamling
”Insamlingsfasen är den första fasen i denna process är att identifiera, märka, registrera och förvärva uppgifter från de möjliga källorna till relevanta uppgifter, samtidigt som man följer riktlinjer och förfaranden som bevarar uppgifternas integritet” (CJCSM 6510.01B, 2012). Det finns två olika typer av data som kan samlas in i en datorforensisk undersökning. De är flyktiga data och icke-flyktiga data (persistenta data). Flyktiga data är data som finns när systemet är på och raderas när det är avstängt, t.ex. Random Access Memory (RAM), register och cacheminnen. Icke-flyktiga data är data som finns i systemet när strömmen är på eller av, t.ex. dokument på HD. Eftersom flyktiga data är kortlivade måste en kriminalteknisk utredare veta hur man bäst fångar dem. Bevismaterial kan samlas in lokalt eller på distans.
Volatila data
Följande figur visar hur man fångar flyktiga data. Den kriminaltekniska arbetsstationen måste vara placerad i samma LAN som målmaskinen, i det här fallet Windows NT Server, är placerad i. Cryptcat-verktyg kan användas i den kriminaltekniska arbetsstationen för att lyssna på Windows NT-serverns port. Skapa den optiska enheten för betrodda verktyg i Windows NT-servern och öppna den betrodda konsolen cmd.exe och använd följande kommando:
cryptcat <ip address> 6543 -k key
För att fånga data på den kriminaltekniska arbetsstationen använder vi följande kommando:
cryptcat -l -p 6543 -k key >> <filnamn>
Figur 2: Uppsättning för insamling av flyktiga data
Källa: Följande tabell visar verktygen för det grafiska användargränssnittet och deras användning och resultat kan användas i datorforensiska undersökningar.
Tabell 1: Verktyg för kriminalteknisk undersökning av flyktiga data och deras användning och resultat
Källa: Reino, A., (2012)
Källa: Reino, A., (2012)
Källa: Reino, A., (2012)
Källa: Reino, A., (2012): Reino, A., (2012)
Vi använder också olika Windows-baserade verktyg för att fånga upp flyktiga data enligt följande:
HBGrays FastDump – Lokalt fysiskt minnesförvärv.
HBGrays F-Response – Fjärrförvärv av fysiskt minne
ipconfig – Insamling av detaljer om ämnets system.
netusers och qusers – Identifiering av inloggade användare
doskey/history – Insamling av kommandohistorik
netfile – Identifiering av tjänster och drivrutiner
Finalt sett är insamling av innehållet i urklippbrädan också mycket viktigt i en datorforensisk undersökning. Fler bevis kan hittas från en maskin som fortfarande är igång, så om anomalierna fortfarande finns kvar i SME kan vi hämta många viktiga bevis från de processer som körs, nätverksanslutningen och de data som lagras i minnet. Det finns många bevis när maskinen är i flyktigt tillstånd, och därför måste man se till att de drabbade datorerna inte stängs av för att samla in sådana bevis.
Non-flyktiga data
När de flyktiga uppgifterna har samlats in kommer vi att titta på de icke-flyktiga uppgifterna. Det första steget i insamlingen av icke-flyktiga data är att kopiera innehållet i hela målsystemet. Detta kallas också ”forensisk avbildning”. Avbildning hjälper till att bevara originaldata som bevis utan några fel eller förändringar i data som inträffar under den kriminaltekniska undersökningen. Forensisk avbildning skapas av forensiska verktyg som EnCase, ProDiscover och FTK. En kriminalteknisk utredare använder en skrivblockerare för att ansluta till målsystemet och kopiera hela innehållet på målenheten till en annan lagringsenhet med hjälp av något av dessa kriminaltekniska verktyg. Kloning av hårddiskar är inget annat än att göra en kopia av hela systemet. Skillnaden mellan forensisk avbildning och kloning av hårddiskar är att forensisk avbildning inte kan nås utan forensiska verktyg, men kloning av hårddiskar kan lätt nås med en monteringsenhet. Kloning av hårddiskar innehåller endast en rå avbildning, och varje bit kopieras och inget annat extra innehåll läggs till. Forensisk avbildning innehåller metadata, dvs. hash och tidsstämplar, och komprimerar alla tomma block. Forensisk avbildning hashar med MD5 eller SHA-2 för att säkerställa integriteten hos digitala bevis (Nelson, B., et al., 2008).
Datainsamling kan göras i offline-utredningar och online-utredningar. Forensisk avbildning kan göras med offlineutredning. Live-nätverkstrafik kan göras med online-utredning genom att använda ethereal- eller Wireshark-verktyg. Loggar från brandväggar, antivirusloggar och loggar från domänkontrollanter kommer att samlas in för utredningen under den icke-flyktiga datainsamlingen. Vi kommer också att samla in webbserverloggar, Windows-händelseloggar, databasloggar, IDS-loggar och programloggar. När vi har samlat in alla digitala bevis måste de dokumenteras i loggboksdokumentationen för förvaringskedjan. Chain of the custody log dokumentation ska upprätthålla bevisens integritet från början till slut av utredningen tills denna utredningsrapport kommer att presenteras (Nelson, B., et al., 2008).
För att utföra ytterligare processer måste vi avbilda disken bit för bit, vilket kommer att få tillgång till hela volymen och kopiera originalmediet, inklusive de raderade filerna. När disken är avbildad bör vi hashera allt, vilket kommer att säkerställa att uppgifterna är autentiska och att uppgifternas integritet kommer att bibehållas under hela utredningen. Hashvärdena måste registreras på flera ställen och vi måste se till att vi inte gör några ändringar i uppgifterna från det att uppgifterna samlas in till slutet av utredningen. De flesta verktyg hjälper till att uppnå detta genom att de ger tillgång till medierna i ett skrivskyddat tillstånd (SANS, 2010). Målsystemets hårddiskar, externa lagringsenheter och Windows NT-serverns hårddisk måste förvärvas för den digitala forensiska undersökningen i det här fallet.
Undersökning
När vi har samlat in alla tillgängliga bevis måste vi genomföra undersökningen med hjälp av olika verktyg för datorforensisk undersökning. Vi undersöker också filsystemet, Windows-registret, nätverket och databasens forensiska undersökning enligt följande:
Filsystemundersökning
NTFS är New Technology File System och NTFS Disk är en fil. MFT är Master File Table som innehåller information om alla filer och diskar och är också den första filen i NTFS. Posterna i MFT kallas också för metadata. Metadata är data om data (Nelson, B., et. al., 2008). Filer kan lagras i MFT på två sätt: residenta och icke-residenta. En fil som är mindre än 512 byte kan lagras i MFT som residenta filer och en fil som är mer än 512 byte kan lagras utanför MFT som icke-residenta filer. När en fil raderas i Windows NT döps filen om av operativsystemet och flyttas till papperskorgen med en unik identitet. OS lagrar information om den ursprungliga sökvägen och det ursprungliga filnamnet i filen info2. Men om en fil tas bort från papperskorgen markeras associerade kluster som tillgängliga för nya data. NTFS är effektivare än FAT, eftersom det är snabbare när det gäller att återskapa raderat utrymme. NTFS-diskar är en dataström, vilket innebär att de kan läggas till i en annan befintlig fil. En dataströmfil kan lagras på följande sätt:
C:echo text_mess > file1.txt:file2.txt
Denna fil kan hämtas med följande kommando:
C:more < file1.txt:file2.txt
W2K.Stream och Win2K.Team är virus som utvecklades med hjälp av en dataström, och de utvecklades med avsikt att ändra den ursprungliga dataströmmen. Som utredare måste vi vara medvetna om Windows filsystem FAT och NTFS på djupet (Nelson, B., et. al., 2008).
Windows Registry Examination
Enligt (Carvey, H., 2005) kan ett register behandlas som en loggfil eftersom det innehåller data som kan hämtas av en kriminalteknisk utredare de associerade nyckelvärdena kallas ”Lastwrite”-tid, som lagras som en FILETIME och anses vara den senaste ändringstiden för en fil. När det gäller filer är det ofta svårt att få fram ett exakt datum och klockslag för filändringen, men Lastwrite visar när registret senast ändrades. Fantastic kommer att granska några vissa vissa steg (Carvey, H., 2005) som är listade nedan för att analysera organisationens Windows-register för att säkerställa att problemet inom och utanför organisationen är känt och löses för att skydda och bibehålla företagets rykte.
Windows-registret är en ordning av databaser i en dator som används av Microsoft i Windows 98, Windows CE, Windows NT och Windows 2000 för att lagra en användares eller användares program och hårdvaruenheters konfiguration, som används som en referenspunkt under exekvering av ett program eller processer (Windows, 2013). Den gemensamma strukturen för Windows-registret är indelad i ”Hives” som är:
-
HKEY_CLASSES_ROOT: säkerställer att erforderliga program exekveras.
-
HKEY_CURRENT_USER: innehåller allmän information om den användare som för närvarande är inloggad i systemet.
-
HKEY_LOCAL_MACHINE: innehåller information om hårdvara, enheter osv.
-
HKEY_USERS: innehåller all information om användare på ett visst system.
-
HKEY_CURRENT_CONFIG: lagrar information om systemets nuvarande konfiguration.
Windows register består av flyktig och icke-flyktig information. Detta innebär att en utredare åtminstone måste känna till varje innebörd och funktionalitet hos bikupor, nycklar, data och värden i ett Windows-register innan han eller hon genomför en kriminalteknisk undersökning av en dator för att få en framgångsrik kriminalteknisk undersökningsrapport.
Autostartplats: är en plats i registret där programmen är inställda så att de startas utan att användaren tar initiativ till det. Med denna funktionalitet kan en skadlig kod som påverkar Luton SME ständigt köras när maskinen slås på utan direkt användarinteraktion eftersom den redan var programmerad att starta sig själv eller när en användare kör vissa specifika kommandon eller processer.
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Option är ett register i Windows där en angripare kan använda nyckeln för att omdirigera en originalkopia av ett program till dess trojankopia (Carvey, H., 2005). Luton SME kan vara utsatt för denna attack: en omdirigering av kundens betalningssida till en olaglig sida.
En kriminalteknisk utredare kan undersöka autostartplatsen för att avgöra om Luton SME-problemet beror på en åtgärd som utförts av en användare, en skadlig kod eller av en angripare på organisationen. Enligt (Carvey, H., 2005) är det tillförlitliga sättet att få tillgång till autostartplatsen att använda AutoRuns-verktyg från SysInternals.com som kan ge en förteckning över autostartplatser.
Användaraktivitet: En användares åtgärder och aktiviteter kan undersökas i hive HKEY_CUREENT_USER som skapas från hive HKEY_USERSID. Användarinformation mappas till HKEY_CURRENT_USER. NTUSER.DAT innehåller information om en användares specifikationsinställningar i registret. En undersökning av denna hive ger en kriminalteknisk utredare en bra ledtråd om aktiviteter och åtgärder som vidtas av en användare.
Most Recent Used (MRU) List: MRU: MRU innehåller de senaste specifika åtgärder som en användare har vidtagit och håller reda på aktiviteterna för framtida referenser. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU upprätthåller till exempel en lista över utförda kommandon som körts av en användare. Varje utfört kommando i körningsrutan lägger till en nyckelvärdespost i hive, enligt nedan:
Figur3: Innehållet i nyckeln ExplorerRunMRU.
Källa: En kriminalteknisk utredare kan studera denna hive för att hitta den senaste skrivtiden för varje kommando från MRU-listan som visas ovan. Med detta kommer SME Luton-utredaren att kunna analysera från registret om det var användaraktivitet, en skadlig åtgärd eller en attack som påverkar organisationen.
UserAssist: enligt (Carvey, H., 2005) består UserAssist som finns under hives HKEY_CURRENT_USERSoftwareMcirosoftWindowsCurrentVersionExplorerUserAssist av två nycklar som vanligen ser ut som globalt unika identifierare som håller krypterade register över varje objekt, program etc. som en användare har haft tillgång till i systemet. Om en utredare har fått tillgång till det krypterade registret, som inte längre är definitivt, kan det tyda på någon åtgärd som användaren gjorde för att utlösa skadlig programvara genom ett program eller någon annan aktivitet som han kan ha gjort.
USB flyttbar lagring: Enligt Farmer, College och Vermont (2008) upprätthålls alla enheter som är anslutna till systemet i ett dataregister under följande nyckel HKEY_LOCAL_MACHINESystemControlSet00xEnumUSBSTOR. Figuren nedan visar ett exempel på enhets-ID för ett USB-minne:
Figur4: Exempel på innehåll i USBSTOR-nyckeln som visar enhetsinstans-ID:n.
Källa: Carvey, H., (2005)
Med hjälp av den monterade enhetens hives har en utredare en ledtråd när han/hon analyserar innehållet i enhets-ID:n som upprätthålls i registret för att veta vilken enhet som monterades på Luton SME-organisationen. Med en ihärdig undersökning av varje värde-nyckel kan en utredare identifiera flyttbara USB-lagringsenheter och mappa dem till parentidprefixet.
Trådlösa SSID:er: Enligt (Carvey, H., 2005) finns SSID för trådlösa nätverk som används på en dator under HKEY_LOCAL_MACHINESoftwaremicrosoftWZCSVCParametersInterface. När man navigerar till nyckelvärden innehåller de undernycklar som ser ut som globalt unika identifierare, som när de öppnas kan en utredare navigera till ActiveSettings som avslöjar varje trådlöst SSID i form av en binär datatyp. När man högerklickar för att ändra, visas SSID:erna i klartext. Även om IP-adresser och annan nätverksinformation kan hittas under HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTCPIPInterfacesGUID kan en utredare använda denna information för att knyta en användare i Luton SME-organisationen till en viss tidsram om personens IP-adress kan hittas under ovanstående register för fönster.
Windows-registret kan också vara en viktig beviskälla i en kriminalteknisk utredning om utredaren vet var han eller hon ska hämta tillgängliga uppgifter som kan vara väl presenterbara för Luton SME-organisationen. Fantastic har försökt analysera några av de grundläggande Windows-registren som kan ha orsakat omdirigeringen av dess webbsida, spårat användaraktivitet och alla nödvändiga program som en användare hade exekverat, enheter som används på servern eller någon av organisationens datorer och även avslöjat användarnas IP-adresser.
Nätverksforensisk undersökning
Förvärvandet, insamlandet och analysen av de händelser som sker i nätverket kallas nätverksforensisk undersökning. Ibland kallas det också för packet forensics eller packet mining. Det grundläggande målet med nätverksforensik är detsamma, nämligen att samla in information om paketen i nätverkstrafiken, t.ex. mail, förfrågningar, surfning på webbinnehåll etc., och behålla denna information vid en källa och utföra ytterligare inspektioner (WildPackets, 2010).
Nätverksforensik kan tillämpas på två huvudsakliga sätt. Det första är säkerhetsrelaterat, där ett nätverk övervakas för misstänkt trafik och alla typer av intrång. Det är möjligt för angriparen att radera alla loggfiler från en infekterad värd, så i denna situation kommer de nätverksbaserade bevisen in i den kriminaltekniska analysen. Den andra tillämpningen av nätverksforensik är relaterad till brottsbekämpning, där den nätverkstrafik som har fångats kan användas för att samla in filer som har överförts via nätverket, sökning efter nyckelord och analys av mänsklig kommunikation som skedde via e-post eller andra liknande sessioner. (Hunt, 2012)
Verktyg och tekniker för nätverksforensik
Vi kan utföra alla operationer med en rättssäker startbar DVD/CD-ROM, USB-flash-enhet eller till och med en diskett. Först måste vi dumpa minnet, och detta görs helst med ett USB-flashminne med tillräcklig storlek. Vi måste också göra en riskbedömning när vi ska samla in flyktiga data för att utvärdera om det är säkert och relevant att samla in sådana levande data, som kan vara mycket användbara i en utredning. Vi bör använda kriminaltekniska verktygslådor under hela processen, eftersom detta kommer att bidra till att uppfylla kraven för en kriminalteknisk utredning. Dessa verktyg bör vara pålitliga, och det kan förvärvas från bland de fritt distribuerade verktygen till de kommersiella verktygen. (7safe, 2013)
En del mycket viktig och diskret information bör samlas in från en körd maskin, med hjälp av betrodda verktyg som:
-
Processlistor.
-
Tjänstlistor.
-
Systeminformation.
-
Inloggade och registrerade användare.
-
Nätverksanslutningar.
-
Registerinformation.
-
Binär minnesdump.
Det finns många olika typer av verktyg för nätverksforensik, alla med olika funktioner. Vissa är bara paketsniffare och andra handlar om identifiering, fingeravtryck, lokalisering, kartläggning, e-postkommunikation, webbtjänster osv. I tabellen nedan listas några av de verktyg med öppen källkod som kan användas för nätverksforensik och deras funktioner. (Hunt, 2012)
Verktyg | Plattform | Webbplats | Attribut |
TCPDumpWindump | Unix & Windows | www.tcpdump.org | F |
NetStumbler | Windows | www.netstumbler.com | F |
Wireshark | Unix & Windows | www.wireshark.org | F |
Sleuth Kit | Unix | www.sleuthkit.org | F R C |
Argus | Unix | www.qosient.com/argus | F L |
SNORT | Windows /Unix | www.snort.org | F |
F: Filter & samla in; L: Logganalys; R: Återmontering av dataströmmen; C: Korrelation av data; A: Vy över applikationsskiktet
Tabell 2: Verktyg för kriminalteknisk analys av nätverksdata
Källa: (Hunt, 2012)
Database Forensics Examination
En databas är en samling data eller information som representeras i form av filer eller en samling filer. Hämtning av data från databasen kan göras med hjälp av en uppsättning förfrågningar. Databasforensik kan definieras som tillämpningen av datorutredningar och analystekniker för att samla in bevis från databasen för att presentera dem i en domstol. En kriminalteknisk undersökning måste göras på databaser, eftersom en databas innehåller känsliga uppgifter där det finns en stor risk för att inkräktare bryter mot säkerheten för att komma åt dessa personuppgifter.
I fallstudien nämns att en stor mängd uppgifter skickas ut från databasen, så nu är Fantastic-teamets uppgift att utföra en kriminalteknisk undersökning av databasen med hjälp av kriminaltekniska verktyg. Databasforensik fokuserar på identifiering, bevarande och analys av data. Enligt Khanuja, H.K. och Adane, D.S. (2011) måste användarna för att få tillgång till databasen få behörigheter som auktorisering och autentisering från databasservrarna. När auktoriseringen är gjord kan endast användaren få tillgång till uppgifterna och om det är avsett kan han/hon ändra uppgifterna. Om vi nu kontrollerar databasens granskningsloggar kan vi få en lista över de användare som har fått behörighet att komma åt uppgifterna. Teamet måste söka i databasen efter de IP-adresser som är fjärranslutna, eftersom det finns risk för att den auktoriserade eller obehöriga användaren ändrar data.
Enligt Dave, P., (2013) kan vi med hjälp av utredningen spåra DDL-operationer (Data Definition Language), som används för att definiera databasens struktur, och DML-operationer (Data Manipulation Language), som används för att hantera data i databasen, och vi kan identifiera om det finns några för- och eftertransaktioner som har skett i databasen. Denna undersökning kan också hjälpa oss att ta reda på om det finns några datarader som användaren har raderat avsiktligt, och kan återställa dem, och den hjälper oss också att bevisa eller motbevisa att ett brott mot datasäkerheten har inträffat i databasen, och den hjälper oss att fastställa omfattningen av intrånget i databasen. Windows forensic tool v1.0.03 används med en anpassad konfigurationsfil som kommer att exekvera DMV (Distributed Management Views) och DBCC (Database Consistency Checker) kommandon för att samla in de data som är tillräckliga för att bevisa eller motbevisa intrånget enligt vad som tidigare sagts (Fowler, K., 2007).
Analys
Inledningsvis måste vi analysera de bevis som vi samlat in och undersökt. Vi kommer att titta på data för att se om några dolda filer eller ovanliga filer presenteras eller inte. Sedan om det finns någon ovanlig process som körs och om det finns några sockets som öppnas ovanligt. Vi kommer också att titta om några applikationsförfrågningar förekom ovanligt. Sedan kommer vi att kontrollera kontot, om något ovanligt konto presenteras eller inte. Vi kommer också att hitta systemet för patchingnivå, om det har uppdaterats eller inte. Genom resultatet av dessa analyser kommer vi att få veta om någon skadlig verksamhet förekommer eller inte. Därefter kommer vi att utveckla en ytterligare strategi för den kriminaltekniska undersökningen, t.ex. fullständig analys av minnet, fullständig analys av filsystem, korrelation av händelser och analys av tidslinjen (Nelson, B., et. al., 2008). Enligt denna fallstudie finns det skadlig verksamhet i deras nätverkssystem och det bekräftas också av vår inledande analys. För att hitta den skadliga kodens kapacitet och dess syfte måste vi göra en analys av den exekverbara programvaran. Analysen av den exekverbara programvaran kan delas in i statisk analys och beteendeanalys.
Malware Analysis
Enligt rapporten från Verizon ”2012 Data Breach Investigations Report” har 99 % av sårbarheterna lett till att data komprometterats under några dagar eller mindre, medan 85 % tog flera veckor att utreda. Detta är en allvarlig utmaning för säkerhetsavdelningarna, eftersom angriparna får mycket tid på sig att arbeta i en komprometterad miljö. Mer ”fritid” leder till fler stulna uppgifter och allvarligare skador. Detta beror främst på att nuvarande säkerhetsåtgärder inte är avsedda att hantera mer komplexa hot (2012 Data Breach Investigations Report, Verizon, 2012).
Punkten när man utför en brottsplatsundersökning av skadlig kod: vissa delar av en Windows-dator är på god väg att innehålla data som identifierar med installation och användning av skadlig kod. Juridiska undersökningar av de bytta ramarna innehöll en granskning av hashvärden för poster, signaturförvirringar, packade filer, kollisionsloggar, systemåterställningspunkter och sidfilen. En världsomfattande undersökning av filsystemen och händelseloggarna kan inriktas på att urskilja övningar kring den tid då skadlig kod animerades på systemet. Avancerade specialister kan dessutom granska registret för att hitta ovanliga ingångar, t.ex. i Autostart-områden, och justeringar runt tiden för installationen av skadlig kod. Nyckelordssökningar kan utföras för att upptäcka referenser till skadlig kod och associationer med andra förhandlade värdar. Normala angreppsvektorer känns igen och omfattar e-postbilagor, webbhistorik och obehöriga inloggningar.
Enligt Syngress ”Malware Forensics – Investigating and Analyzing Malicious Code, 2003” bör man göra en utredning baserad på följande:
-
Sök efter känd skadlig kod
-
Se över installerade program
-
Undersök prefetch
-
Inspektera exekutabla program
-
Se över automatiska program
-
.start
-
Granska schemalagda jobb
-
Undersök loggar
-
Undersök användarkonton
-
Undersök filsystem
-
Undersök registret
-
Restore Points
-
Sök efter nyckelord
För att påbörja analysen av skadlig kod, måste vi skapa en miljö för analys av skadlig kod, t.ex. VMware och Norton Ghost. VMware är en virtuellt baserad analysmiljö för skadlig kod och Norton Ghost är en dedikerad analysmiljö för skadlig kod.
Statisk analys
Statisk analys är den typ av analys av skadlig kod som används för att genomföra analysen utan att köra programmeringen av skadlig kod. Statisk analys är bättre än dynamisk analys när det gäller säker analys. Eftersom det skadliga programmet inte körs finns det ingen rädsla för att radera eller ändra filerna. Det är alltid bäst att göra den statiska analysen av skadlig programvara i ett annat operativsystem, där den skadliga programvaran inte är utformad för att köras eller påverka. Eftersom en utredare kan råka dubbelklicka på det skadliga programmet för att det ska köras, och det kommer att påverka systemet. Det finns så många sätt att göra den statiska analysen som File Fingerprinting, Virus Scanning, Packer Detection, Strings, Inside the FE File Format och Disassembly (Kendall, K., 2007).
Dynamisk analys
Dynamisk analys är den typ av analys av skadlig kod där kod för skadlig kod körs och dess beteende observeras. Den kallas också för beteendeanalys av skadlig programvara. Dynamisk analys är inte säker att genomföra om vi inte är beredda att offra analysmiljön för skadlig kod. Vi kan analysera skadlig kod genom att helt enkelt observera beteendet hos skadlig kodfunktionerna. Det finns många verktyg för att genomföra den dynamiska analysen av skadlig kod, men Process Monitor från SysInternals och Wireshark är de mest använda och freewareverktygen (Kendall, K., 2007).
Enligt Kendall, K., (2007) kommer en enkel statisk och dynamisk analys av skadlig kod i nästan alla fall av skadlig kod att ge alla de svar som utredarna av skadlig kod behöver för den specifika koden för skadlig kod.
Fynd
Efter vår utredning sammanfattar vi våra resultat enligt följande:
-
Identifierade angriparens ihållande fjärråtkomst till företagets datorer.
-
Den kriminaltekniska analysen identifierade att systemen hade blivit komprometterade.
-
OOS-patchar installerades inte i vissa system.
-
Misstänkt skadlig kod hittades i det infekterade systemet.
-
Identifiering av den skadliga koden och dess funktionalitet &Syftet med den skadliga koden fick oss att dra slutsatsen att det är skadlig kod för ”spamming”.
-
Det konstaterades att angriparna hade tillgång till kundens system med hjälp av skadlig programvara genom att tillhandahålla i lämplig webbplats länk för betalningsgateway.
Remedelsåtgärder
Det ansågs ovan att de vanligaste sätten för skadlig programvara in i nätverket. Utifrån ovanstående är det möjligt att dra två viktiga slutsatser:
-
De flesta av de beskrivna metoderna är på något sätt relaterade till den mänskliga faktorn, därför kommer utbildning av anställda och regelbunden utbildning om säkerhet att förbättra nätverkssäkerheten;
-
Frekventa fall av hackning av legitima webbplatser leder till att även en kompetent användare kan infektera sin dator. Därför kommer vi till de klassiska skyddsåtgärderna: antivirusprogram, installation av de senaste uppdateringarna i tid och övervakning av internettrafiken.
Enligt Shiner, D.L.D., och Cross, M., (2002) finns det viktiga motåtgärder för att skydda sig mot skadlig programvara:
-
Autentisering och lösenordsskydd
-
Antivirusprogram
-
Firewalls (hårdvara eller programvara)
-
DMZ (demilitariserad zon)
-
IDS (Intrusion Detection System)
-
Packet filter
-
Routrar och switchar
-
Proxyservrar
-
VPN (Virtual Private Networks)
-
Loggning och revision
-
Access control time
-
Proprietary software/hardware is not available in the public domain
I vårt fall, är de mest användbara följande:
-
Firewall
-
Loggning och granskning
Firewall kontrollerar alla webbsidor som kommer in på användarens dator. Varje webbsida avlyssnas och analyseras av brandväggen för att hitta skadlig kod. Om en webbsida som användaren kommer åt innehåller skadlig kod blockeras åtkomsten till den. Samtidigt visas ett meddelande om att den begärda sidan är infekterad. Om webbsidan inte innehåller skadlig kod blir den omedelbart tillgänglig för användaren.
Med loggning menas insamling och lagring av information om händelser som inträffar i informationssystemet. Till exempel vem och när som försökte logga in i systemet och hur detta försök slutade, vem och vilka informationsresurser som användes, vad och vem som ändrade informationsresurser och många andra.
Audit är en analys av de ackumulerade uppgifterna, som utförs snabbt, nästan i realtid (Shiner, D.L.D., and Cross, M., 2002). Genomförandet av loggning och revision har följande huvudmål:
-
Redovisning av användare och administratörer;
-
Gör det möjligt att rekonstruera händelser;
-
Detekteringsförsök kränkningar av informationssäkerheten;
-
Gör det möjligt att identifiera och analysera problem genom information.
Säkerhetspolicy
De fullständigaste kriterierna för utvärdering av säkerhetsmekanismer på organisationsnivå presenteras i den internationella standarden ISO 17799: Code of Practice for Information Security Management, som antogs år 2000. ISO 17799 är den internationella versionen av den brittiska standarden BS 7799. ISO 17799 innehåller praktiska regler för hantering av informationssäkerhet och kan användas som kriterier för att bedöma säkerhetsmekanismer på organisationsnivå, inklusive administrativa, procedurmässiga och fysiska säkerhetsåtgärder (ISO/IEC 17799:2005).
De praktiska reglerna är indelade i följande avsnitt:
-
säkerhetspolicy;
-
organisation av informationssäkerhet;
-
förmögenhetshantering;
-
säkerhet för mänskliga resurser;
-
fysisk säkerhet och miljösäkerhet;
-
kommunikations- och verksamhetsstyrning;
-
tillträdeskontroll;
-
förvärv, utveckling och underhåll av informationssystem;
-
hanteringen av incidenter inom informationssäkerheten;
-
hanteringen av kontinuitet i verksamheten;
-
överensstämmelse.
Dessa avsnitt beskriver de säkerhetsmekanismer på organisationsnivå som för närvarande tillämpas i statliga och kommersiella organisationer över hela världen (ISO1799, 2005).
Flera frågor uppstår efter att ha övervägt ovanstående behov av någon kombination av företagskrav för Internet. Vilka mjuk- och hårdvaruprodukter och organisatoriska åtgärder måste implementeras för att tillgodose organisationens behov? Vilken är risken? Vilka etiska normer bör gälla för att organisationen skall kunna utföra sina uppgifter med hjälp av Internet? Vem bör vara ansvarig för detta? Grunden för svaren på dessa frågor är en konceptuell säkerhetspolicy för organisationen (Swanson, M., 2001).
Nästa avsnitt innehåller fragment av hypotetiska säkerhetspolicyer för säkert arbete på Internet. Dessa fragment utformades utifrån en analys av de viktigaste typerna av säkerhetsutrustning.
Säkerhetspolicyer kan delas in i två kategorier: teknisk policy som implementeras med hjälp av hårdvara och mjukvara, och administrativ policy, som utförs av de personer som använder systemet och de personer som sköter det (Swanson, M., 2001).
Gemensam säkerhetspolicy för en organisation:
-
Varje informationssystem måste ha en säkerhetspolicy
-
Säkerhetspolicyn måste godkännas av organisationens ledning
-
Säkerhetspolicyn bör nå ut till alla anställda på ett enkelt och begripligt sätt
-
Säkerhetspolicyn bör innehålla:
-
Definition av informationssäkerhet, dess huvudmål och omfattning samt dess betydelse som mekanism, som gör det möjligt att kollektivt använda informationen
-
ledarskapets ställning i fråga om informationssäkerhetens syften och principer
-
identifiera allmänna och specifika ansvarsområden för att tillhandahålla informationssäkerhet
-
länkar till dokument som rör säkerhetspolicyerna, t.ex. detaljerade säkerhetsriktlinjer eller regler för användare
-
Säkerhetspolicyn måste uppfylla vissa krav:
-
Som motsvarar nationell och internationell lagstiftning
-
Innehåller bestämmelser om utbildning av personal i säkerhetsfrågor
-
Innehåller anvisningar om upptäckt och förebyggande av skadlig programvara
-
Definierar konsekvenserna av överträdelser av säkerhetsplanen. säkerhetspolicy
-
överväga kraven på affärskontinuitet
-
Det måste definieras en person som är ansvarig för förfarandet för översyn och uppdatering av bestämmelserna i säkerhetspolicyn
-
En revidering av säkerhetspolicyn måste genomföras som ett resultat av följande fall:
-
förändringar i organisationens organisatoriska infrastruktur
-
förändringar i organisationens tekniska infrastruktur
-
Förutsättningar för regelbunden översyn av säkerhetspolicyn är följande egenskaper:
-
kostnaden för och effekten av motåtgärder på organisationens prestanda(ISO/IEC 17799:2005)
Rapportering
En rättsmedicinsk rapport lyfter fram bevisen i domstolen och den hjälper också till att samla in fler bevis och kan användas vid domstolsförhandlingar. Rapporten måste innehålla utredningens omfattning. En datorteknisk utredare måste vara medveten om vilken typ av datorteknisk rapportering som formell rapport, skriftlig rapport, muntlig rapport och undersökningsplan. En formell rapport innehåller fakta från utredningsresultaten. En skriftlig rapport är som en deklaration eller ett affidavit som kan sväras under ed, så den måste vara tydlig, exakt och detaljerad. En muntlig rapport är mindre strukturerad och är en preliminär rapport som tar upp de utredningsområden som ännu inte behandlats. En undersökningsplan är ett strukturerat dokument som hjälper utredaren att förstå vilka frågor som kan förväntas när han/hon motiverar bevisen. En undersökningsplan hjälper också advokaten att förstå de termer och funktioner som används i datorforensiska undersökningar (Nelson, B., et al., 2008). I allmänhet innehåller en datorforensisk rapport följande funktioner:
-
Syfte med rapporten
-
Författare till rapporten
-
Sammanfattning av händelsen
-
Bevisning
-
Analys
-
Slutsatser
-
Stöddokument
.
Det finns många kriminaltekniska verktyg för att generera en kriminalteknisk utredningsrapport, till exempel ProDiscover, FTK och EnCase (Nelson, B., et al., 2008).
Slutsatser
Denna rapport innehåller hur man genomför datorforensiska utredningar och malwareutredningar med olika metoder och med hjälp av olika verktyg. Den här rapporten innehåller också ACPO:s fyra huvudprinciper och IS017799-säkerhetspolitiska förfaranden som måste genomföras i varje organisation för att förbättra säkerhetsnätverksarkitekturen. I rapporten analyseras också First Four Step Forensic Investigation-modellen och varför vi valde denna modell för att genomföra den forensiska utredningen i det här fallet. Den innehåller också viktiga förberedande steg innan utredningen påbörjas. Sedan har denna rapport en analysdel där vi analyserade de data som vi samlade in med hjälp av olika metoder för att få fram resultaten. Denna rapport har också rekommendationer för att undvika säkerhetsöverträdelser i framtiden.
Digital forensisk utredning är en utmanande process, eftersom varje incident skiljer sig från andra incidenter. En datorkriminalteknisk utredare måste vara tillräckligt kompetent i tekniskt och juridiskt hänseende för att kunna genomföra utredningen. Eftersom de bevis som tillhandahålls av en datorkriminalteknisk utredare kan vara en viktig del av fallet måste utredningsrapporten vara exakt och detaljerad.
-
7safe, (2013) ”Good Practice Guide for Computer-Based Electronic Evidence”, tillgänglig på: http://www.7safe.com/electronic_evidence/ACPO_guidelines_computer_evidence.pdf, Tillgänglig den 12 januari 2014.
-
ACPO (2013), ”Good Practice Guide for Computer-Based Electronic Evidence”, V4.0
-
Adams, R., (2012), ”Evidence and Digital Forensics”, Australian Security Magazine, Tillgänglig på http://www.australiansecuritymagazine.com.au/, Tillgänglig den 31 december 2013.
-
Aquilina, M.J., (2003), ”Malware Forensics, Investigating and Analyzing Malicious Code”, Syngress,
-
Carvey, H., (2005), ”Windows Forensics and Incident Recovery”, Boston: Pearson Education Inc.
-
Case studies, PwC CybercrimeUS Center of Excellence, PricewaterhouseCoopers LLP, 2010, http://www.pwc.com/us/en/forensic-services/assets/cyber-crime-data-breach-case-studies.pdf
-
CJCSM 6510.01B, 2012, ”Cyber Incident Handling Program”, Chairman of the Joint Chiefs of Staff Manual, J6.
-
Dave, P., (2013), ”SQL – en karriär inom databasforensik!, Available at http://blog.sqlauthority.com/2013/12/24/sql-a-career-in-database-forensics/, accessed on 2nd January 2014.
-
Fowler, K., (2007), ”Forensic Analysis of a SQL Server 2005 Database Server”, Available at https://www.sans.org/reading-room/whitepapers/application/forensic-analysis-sql-server-2005-database-server-1906, accessed on 2nd January 2014.
-
Han, D.R., (2012), ”SME Cyber security and the Three Little Pigs”, ISACA journal, Vol 6, tillgänglig på www.isaca.org/journal, besökt den 5 januari 2014
-
Hunt, R., (2012), ”New Developments In Network Forensics – Tools and Techniques”, New Zealand, IEEE, pp. 377 – 381.
-
ISO/IEC 17799:2005, (2005), ”Information technology – Security techniques – Code of practice for information security management”, tillgänglig på http://www.iso.org/iso/iso_catalogue/catalogue_ics/catalogue_detail_ics.htm?csnumber=39612, besökt den 10 januari 2014.
-
ISO1799, (2005), ”ISO 17799 Information and Resource Portal”, Tillgänglig på http://17799.denialinfo.com/ , Tillgänglig den 10 januari 2014.
-
Kendall, K,(2007), ”Practical Malware Analysis”, Mandiant Intelligent Information Security, Tillgänglig på http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf, Tillgänglig den 10 januari 2014.
-
Kent, K, and Grance, T., (2006), ”Guide to Integrating Forensic Techniques into Incident Response”, tillgänglig på: http://csrc.nist.gov/publications/nistpubs/800-86/SP800-86.pdf, Tillgänglig den 13 januari 2014.
-
Kent, K., et.al., (2006). ”Guide to Integrating Forensic Techniques into Incident Response”, National Institute of Standards and Technology (Ed.) (Vol. 800-86): U.S. Department of Commerce.
-
Khanuja, H.K., and Adane, D.S., (2011), ”Database Security Threats and Challenges in Database Forensic: A Survey”, IPCSIT vol.20 (2011), Singapore: IACSIT Press.
-
Kruse II, W.G., and Heiser, J.G. (2010), ”Computer Forensics: Incident Response Essentials”, 14th edn, Indianapolis: Pearson Education
-
Microsoft, (2013), ”Windows Registry Information for Advanced Users” Available at https://support.microsoft.com/kb/256986, Accessed on 10th January 2014
-
Nelson, B., et. al., (2008), ”Guide to Computer Forensics and Investigations”, 3rd edn, Massachusetts: Course Technology.
-
Nolan, Richard, et. al. Forensics Guide to Incident Response for Technical Staff. http://www.cert.org/archive/pdf/FRGCF_v1.3.pdf
-
Reino, A. (2012), ”Forensics of a Windows System”, Roche.
-
SANS, (2010), ”Integrating Forensic Investigation Methodology into eDiscovery”, tillgänglig på: https://www.sans.org/reading-room/whitepapers/incident/integrating-forensic, Tillgänglig den 13 januari 2014.
-
Shiner, D.L.D., and Cross, M., (2002), ” Scene of the Cybercrime”, 2nd edn, Syncress: Burlington.
-
Swanson, M., (2001), ”NIST Security Self-Assessment Guide for Information Technology Systems” Available at http://www.itl.nist.gov/lab/bulletns/bltnsep01.htm, Accessed on 9th January 2014.
-
US-CERT, (2012), ”Computer Forensics”, Available at http://www.us-cert.gov/reading-room/forensics.pdf, accessed on 30th December 2013.
-
Venter, J. P., (2006), ”Process Flows for Cyber Forensics Training and Operations”, tillgänglig på http://researchspace.csir.co.za/dspace/bitstream/10204/1073/1/Venter_2006.pdf, besökt den 30 december 2013.
-
Wong, L.W.,(2006) ”Forensic Analysis of the Windows Registry”, tillgänglig på http://www.forensicfocus.com/downloads/forensic-analysis-windows-registry.pdf, besökt den 10 januari 2014
.