nuix workshop introduction to forensics w hat is c
play

Nuix Workshop Introduction to Forensics W HAT IS C OMPUTER F - PowerPoint PPT Presentation

May 26, 2023 •123 likes •464 views

Nuix Workshop Introduction to Forensics W HAT IS C OMPUTER F ORENSICS ? Computer forensics, also called cyber forensics, is the applica6on of scien6fic method to computer

  1. Nuix Workshop – Introduction to Forensics

  2. W HAT IS C OMPUTER F ORENSICS ? Computer ¡ forensics, ¡ also ¡ called ¡ cyber ¡ forensics, ¡ is ¡ the ¡ applica6on ¡ of ¡ scien6fic ¡ method ¡ to ¡ computer ¡ inves6ga6on ¡ and ¡ analysis ¡ techniques ¡ in ¡ order ¡ to ¡ gather ¡ evidence ¡ suitable ¡ for ¡ presenta6on ¡ in ¡ a ¡ court ¡ of ¡ law ¡ or ¡ legal ¡ body. ¡ The ¡ goal ¡ of ¡ computer ¡ forensics ¡ is ¡ to ¡ perform ¡ a ¡ structured ¡ inves6ga6on ¡ while ¡ maintaining ¡ a ¡ documented ¡chain ¡of ¡evidence ¡to ¡find ¡out ¡exactly ¡what ¡happened ¡on ¡a ¡computer ¡ and ¡who ¡was ¡responsible ¡for ¡it. ¡ ¡ Computer ¡ forensics ¡ has ¡ become ¡ its ¡ own ¡ area ¡ of ¡ scien6fic ¡ exper6se, ¡ with ¡ accompanying ¡coursework ¡and ¡cer6fica6on. ¡ ¡ Computer ¡forensics ¡is ¡a ¡science ¡and ¡therefore ¡requires ¡ Scien&fic ¡Method .... ¡

  3. S CIENTIFIC M ETHOD ? The ¡Scien&fic ¡Method ¡ § The ¡ scien&fic ¡ method ¡ is ¡ a ¡ recognised ¡ Ask a Question body ¡ of ¡ techniques ¡ for ¡ inves6ga6ng ¡ incident ¡ or ¡ occurrence, ¡ acquiring ¡ new ¡ knowledge, ¡ or ¡ correc6ng ¡ and ¡ integra6ng ¡ Do background ¡ To ¡ be ¡ termed ¡ research previous ¡ knowledge. ¡ scien6fic, ¡ a ¡ method ¡ of ¡ enquiry ¡ must ¡ be ¡ based ¡ on ¡ empirical ¡ and ¡ measurable ¡ Construct hypothesis / theory evidence ¡ subject ¡ to ¡ specific ¡ principles ¡ of ¡ reasoning. ¡ Investigate through analysis § Scien&fic ¡method ¡is ¡a ¡model ¡applied ¡to ¡all ¡ areas ¡ of ¡ scien6fic ¡ examina6on. ¡ ¡ These ¡ elements ¡ are ¡ valuable ¡ to ¡ computer ¡ Draw conclusion forensic ¡science ¡ ¡ prove hypothesis Report your results

  4. INDUSTRY ¡GUIDELINES ¡ Principle ¡1: ¡ ¡ No ¡ ac6on ¡ taken ¡ by ¡ law ¡ enforcement ¡ agencies ¡ or ¡ their ¡ agents ¡ should ¡ change ¡ data ¡ held ¡ on ¡ a ¡ computer ¡ or ¡ storage ¡ ¡ media ¡which ¡may ¡subsequently ¡be ¡relied ¡upon ¡in ¡court. ¡ ¡ Principle ¡2: ¡ ¡ In ¡circumstances ¡where ¡a ¡person ¡finds ¡it ¡necessary ¡ ¡to ¡access ¡original ¡data ¡held ¡on ¡a ¡computer ¡ or ¡on ¡storage ¡ ¡media, ¡that ¡person ¡must ¡be ¡competent ¡to ¡do ¡so ¡and ¡be ¡able ¡to ¡give ¡ ¡evidence ¡explaining ¡the ¡relevance ¡ and ¡the ¡implica6ons ¡of ¡their ¡ac6ons. ¡ ¡ Principle ¡3: ¡ ¡ An ¡audit ¡trail ¡or ¡other ¡record ¡of ¡all ¡processes ¡applied ¡ ¡to ¡computer-­‑based ¡electronic ¡evidence ¡should ¡be ¡created ¡ ¡and ¡ preserved. ¡An ¡independent ¡third ¡party ¡should ¡be ¡able ¡ ¡to ¡examine ¡those ¡processes ¡and ¡achieve ¡the ¡same ¡result. ¡ ¡ Principle ¡4: ¡ ¡ The ¡person ¡in ¡charge ¡of ¡the ¡inves6ga6on ¡(the ¡case ¡officer) ¡has ¡overall ¡responsibility ¡for ¡ensuring ¡that ¡the ¡law ¡and ¡ these ¡principles ¡are ¡adhered ¡to. ¡ ¡ ¡ Source ¡h)p://www.acpo.police.uk/documents/crime/2011/201103CRIECI14.pdf ¡

  5. THE FORENSIC APPROACH The ¡benefits ¡of ¡the ¡applica6on ¡of ¡digital ¡forensics ¡to ¡computer ¡based ¡ inves6ga6ons ¡underpin ¡the ¡following: ¡ ¡ • ¡ ¡Security ¡of ¡evidence ¡/ ¡incident ¡ • ¡ ¡Integrity ¡of ¡inves6ga6ve ¡steps ¡ • ¡ ¡Deeper ¡analysis ¡unallocated ¡space ¡/ ¡file ¡slack ¡ (The ¡whole ¡story) ¡ • ¡ ¡Auditable ¡response ¡ • ¡ ¡Repeatability ¡of ¡ac6on ¡ • ¡ ¡Best ¡evidence ¡prac6ce ¡

  6. MANAGING SECURITY INCIDENT ? SECURITY ¡ OPERATIONS ¡ NETWORK ¡ OPERATIONS ¡

  7. SECURITY OF INCIDENT - DOING NOTHING EVEN CAUSES CHANGES Even ¡at ¡rest ¡a ¡computer ¡is ¡using ¡ memory ¡ and ¡ performing ¡ disk ¡ writes. ¡ ¡ This ¡ is ¡ essen6al ¡ to ¡ the ¡ opera6ng ¡system. ¡ ¡ The ¡ capture ¡ shows ¡ disk ¡ ac6vity ¡ on ¡ a ¡ computer ¡ with ¡ no ¡ user ¡ ac6vity ¡ and ¡ no ¡ applica6ons ¡ running. ¡ ¡ ¡ ¡ ¡ Now ¡consider ¡ ¡ Malware ¡ An6 ¡forensic ¡applica6ons ¡ Cluster ¡overwrites ¡ ¡ ¡ ¡

  8. E VIDENCE HANDLING & CHAIN OF CUSTODY The ¡first ¡step ¡in ¡any ¡inves6ga6on ¡is ¡the ¡search ¡& ¡seizure ¡of ¡exhibits ¡which ¡may ¡ contain ¡crucial ¡evidence! ¡ ¡ Decisions ¡that ¡you, ¡make ¡may ¡result ¡in ¡loss ¡of ¡crucial ¡evidence. ¡ ¡ Points ¡to ¡consider ¡ • DNA ¡and/or ¡fingerprints ¡ • Prevent ¡tampering ¡& ¡preserve ¡original ¡condi6on ¡ • Record ¡details ¡& ¡ac6ons ¡– ¡paperwork! ¡ • Store ¡in ¡a ¡secure ¡loca6on ¡ • What ¡is ¡capable ¡of ¡storing ¡data? ¡ • Losing ¡data ¡– ¡shutdown ¡or ¡not? ¡ ¡ ¡

  9. C OLLECTING DATA – FORENSIC METHOD Whether ¡we ¡are ¡considering ¡logical ¡or ¡physical ¡collec6on ¡we ¡must ¡ensure ¡that ¡we ¡ collect ¡data ¡in ¡accordance ¡to ¡industry ¡guidelines ¡and ¡take ¡every ¡step ¡to ¡protect ¡ the ¡data ¡from ¡any ¡change ¡due ¡to ¡our ¡ac6on. ¡ ¡In ¡accordance ¡to ¡guidelines ¡if ¡this ¡is ¡ imprac6cal ¡we ¡must ¡ensure ¡we ¡understand ¡the ¡implica6ons ¡of ¡our ¡ac6ons. ¡ ¡ A ¡write ¡blocker ¡is ¡a ¡hardware ¡or ¡so[ware ¡device ¡that ¡prevents ¡ANY ¡write ¡ac6vity ¡ to ¡a ¡connected ¡device ¡or ¡resource. ¡ ¡ ¡We ¡can ¡then ¡use ¡a ¡forensic ¡applica6on ¡or ¡DD ¡ command ¡to ¡collect ¡the ¡data ¡into ¡a ¡forensic ¡container. ¡ ¡

  10. F ORENSIC I MAGE F ILES SJC4-­‑SIM1 ¡ SJC4 ¡ SJC1 ¡ SJC2-­‑DISC001 ¡ SJC3-­‑FD001 ¡ SJC5 ¡ SJC3-­‑FD002 ¡ SJC1-­‑HD1 ¡ SJC3-­‑FD003 ¡ • Forensic ¡image ¡files ¡are ¡generated ¡with ¡specialist ¡tools ¡ • Are ¡an ¡exact ¡‘bit ¡for ¡bit’ ¡acquisi6on ¡of ¡the ¡data ¡ • All ¡devices ¡should ¡be ¡unique ¡referenced ¡ Write ¡Blocker ¡ Suspect ¡Drive ¡ Inves&gator ¡

  11. F ORENSIC I MAGE - CONTAINER Data ¡is ¡collected ¡from ¡the ¡source ¡device ¡at ¡binary/disk ¡level ¡by ¡pre ¡defined ¡size ¡ and ¡each ¡sec6on ¡is ¡checked ¡with ¡a ¡CRC ¡checksum. ¡ ¡The ¡whole ¡image ¡is ¡then ¡ verified ¡with ¡an ¡MD5 ¡checksum ¡ 1010101010101010100101010101010101010101010010101010101010010101010101111010101010101010101010101010101010000000 ¡ Header ¡ 101010110101010 101010110101010 101010110101010 101010110101010 C ¡ C ¡ C ¡ C ¡ M 010101010100100 010101010100100 010101010100100 010101010100100 Case ¡ 101010101001001 101010101001001 101010101001001 101010101001001 R ¡ R ¡ R ¡ R ¡ D ¡ 010101010101010 010101010101010 010101010101010 010101010101010 informa6on ¡ 010101010101010 010101010101010 010101010101010 010101010101010 C ¡ C ¡ C ¡ C ¡ 5 ¡ 101010001010101 101010001010101 101010001010101 101010001010101 ¡ 010101010101010 010101010101010 010101010101010 010101010101010 ¡ ¡ ¡ ¡ ¡ 101010101010101 ¡ 101010101010101 ¡ 101010101010101 ¡ 101010101010101 ¡ Should ¡ any ¡ single ¡ value ¡ be ¡ change ¡ then ¡ the ¡ CRC ¡ would ¡ fail ¡ and ¡ the ¡ MD5 ¡ checksum ¡would ¡present ¡a ¡different ¡value. ¡ ¡Therefore ¡verifica6on ¡would ¡fail ¡ and ¡the ¡collec6on ¡process ¡would ¡be ¡undermined. ¡

  12. MD5 – CREATING INTEGRITY MD5 ¡is ¡an ¡algorithm ¡that ¡is ¡used ¡to ¡verify ¡data ¡integrity ¡through ¡the ¡crea6on ¡of ¡a ¡ 128-­‑bit ¡message ¡digest ¡from ¡data ¡input ¡(which ¡may ¡be ¡a ¡message ¡of ¡any ¡length). ¡The ¡ result ¡is ¡as ¡unique ¡to ¡that ¡specific ¡data ¡as ¡a ¡fingerprint ¡is ¡to ¡the ¡specific ¡individual. ¡ Input ¡ MD5 ¡Algorithm ¡ MD5 ¡Checksum ¡ MD5 ¡Hash ¡ 6969 ¡1c7b ¡dcc3 ¡ce6d ¡ Name ¡ Func6on ¡ 5d8a ¡1361 ¡f22d ¡04ac ¡ MD5 ¡Hash ¡ 23be ¡cb09 ¡3bdd ¡d87e ¡ My ¡Name ¡ Func6on ¡ 817e ¡dfa1 ¡7962 ¡f9e8 ¡ MD5 ¡Hash ¡ 877e ¡569d ¡b075 ¡2088 ¡ My ¡Name ¡ Func6on ¡ 4c36 ¡df51 ¡8337 ¡5780 ¡ is ¡Ady ¡ Iden6cal ¡data ¡will ¡provide ¡iden6cal ¡MD5 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

CSN08101 Digital Forensics Lecture 1A: Introduction to Forensics Lecture 1A: Introduction to

CSN08101 Digital Forensics Lecture 1A: Introduction to Forensics Lecture 1A: Introduction to

CSN08101 Digital Forensics Lecture 1A: Introduction to Forensics Lecture 1A: Introduction to Forensics Module Leader: Dr Gordon Russell Lecturers: Robert Ludwiniak Digital Forensics You will learn in this module: The principals of

1.09k views • 34 slides
Image Forensics of High Dynamic Range Imaging 10th International Workshop on Digital-Forensics

Image Forensics of High Dynamic Range Imaging 10th International Workshop on Digital-Forensics

Image Forensics of High Dynamic Range Imaging 10th International Workshop on Digital-Forensics & Watermarking P. J. Bateman, A. T. S. Ho, and J. A. Briffa This research is sponsored by an EPSRC/Charteris CASE Award Image Forensics

703 views • 38 slides
About this presentation : Learning : What is Digital Forensics ? Political : Digital

About this presentation : Learning : What is Digital Forensics ? Political : Digital

An introduction to digital forensics About this presentation : Learning : What is Digital Forensics ? Political : Digital Forensics and Open Sources licensing Tool time : Digital Forensics Framework Presented by Solal Jacob core dev.

444 views • 30 slides
SQL SERVER Anti-Forensics Cesar Cerrudo Introduction Sophisticated attacks requires leaving

SQL SERVER Anti-Forensics Cesar Cerrudo Introduction Sophisticated attacks requires leaving

SQL SERVER Anti-Forensics Cesar Cerrudo Introduction Sophisticated attacks requires leaving as few evidence as possible Anti-Forensics techniques help to make forensics investigations difficult Anti-Forensics can be a never

657 views • 38 slides
Introduction Why is the Study of Digital Forensics Relevant? What is Digital/Computer

Introduction Why is the Study of Digital Forensics Relevant? What is Digital/Computer

Introduction to Digital Forensics Introduction Why is the Study of Digital Forensics Relevant? What is Digital/Computer Forensics? What do you Need for a Careers in Computer Digital Forensics? Educational Background

509 views • 29 slides
Android: forensics and reverse engineering Raphal Rigo - ANSSI 26/11/2010 Agence nationale de

Android: forensics and reverse engineering Raphal Rigo - ANSSI 26/11/2010 Agence nationale de

Android: forensics and reverse engineering Raphal Rigo - ANSSI 26/11/2010 Agence nationale de la A N S S I scurit des systmes dinformation Introduction Forensics: context Forensics: memory Forensics: filesystem Reverse

545 views • 36 slides
CSN11121/CSN11122 System Administration and Forensics Introduction to Digital Forensic

CSN11121/CSN11122 System Administration and Forensics Introduction to Digital Forensic

CSN11121/CSN11122 System Administration and Forensics Introduction to Digital Forensic 20/10/2011 r.ludwiniak@napier.ac.uk Lecture Objectives 1. History and definition of Digital Forensics 2. Context for an investigation 3. An overview of

1.04k views • 65 slides
Andrew Case Who Am I? Security Analyst at Digital Forensics Solutions Also perform wide

Andrew Case Who Am I? Security Analyst at Digital Forensics Solutions Also perform wide

Linux Memory Analysis Workshop Session 1 Andrew Case Who Am I? Security Analyst at Digital Forensics Solutions Also perform wide ranging forensics investigations Volatility Developer Former Blackhat, SOURCE, and DFRWS speaker

1.64k views • 162 slides
General-Purpose Image Forensics Using Patch Likelihood under Image Statistical Models The 7th

General-Purpose Image Forensics Using Patch Likelihood under Image Statistical Models The 7th

General-Purpose Image Forensics Using Patch Likelihood under Image Statistical Models The 7th IEEE International Workshop on Information Forensics and Security Wei Fan, Kai Wang, and Franc ois Cayre GIPSA-lab, Grenoble, France 18-11-2015

513 views • 19 slides
CSE 469: Computer and Network Forensics Topic 5: Image Forensics Dr. Mike Mabey | Spring 2019

CSE 469: Computer and Network Forensics Topic 5: Image Forensics Dr. Mike Mabey | Spring 2019

CSE 469: Computer and Network Forensics Topic 5: Image Forensics Dr. Mike Mabey | Spring 2019 CSE 469: Computer and Network Forensics Forensics for Graphics Files Types of graphics file formats Type of data compression How to locate

362 views • 25 slides
2015-2017 (c) P.Pale: Computer Forensics 2015-10-17 File System Forensics A New York

2015-2017 (c) P.Pale: Computer Forensics 2015-10-17 File System Forensics A New York

2015-2017 (c) P.Pale: Computer Forensics 2015-10-17 File System Forensics A New York computer forensics firm found that 40% of the hard disk drives it recently purchased in bulk orders on eBay contained personal, private and sensitive

884 views • 70 slides
Digital forensics and malware Digital forensics According to Wikipedia, you could be looking

Digital forensics and malware Digital forensics According to Wikipedia, you could be looking

Digital forensics and malware Digital forensics According to Wikipedia, you could be looking for: attribution, alibis and statements, intent, evaluation of source, document authentication File carving ( e.g. , bifragment gap carving)

630 views • 13 slides
Introduction to Security Forensics and Incident Handling Ming Chow (mchow@cs.tufts.edu) Twitter:

Introduction to Security Forensics and Incident Handling Ming Chow (mchow@cs.tufts.edu) Twitter:

Introduction to Security Forensics and Incident Handling Ming Chow (mchow@cs.tufts.edu) Twitter: @0xmchow Topic Outcomes Acquire data (from a disk) using `dd` Analyze image of disk from `dd` using forensics tools including

492 views • 19 slides
CSE 469: Computer and Network Forensics Topic 7: Mobile Forensics Dr. Mike Mabey | Spring 2019

CSE 469: Computer and Network Forensics Topic 7: Mobile Forensics Dr. Mike Mabey | Spring 2019

CSE 469: Computer and Network Forensics Topic 7: Mobile Forensics Dr. Mike Mabey | Spring 2019 CSE 469: Computer and Network Forensics Overview of Mobile Forensics Originated in Europe and focused on the GSM SIM card. Roaming of Devices

694 views • 17 slides
Network Forensics LIMA Introduction new needs need new solutions new needs need new solutions

Network Forensics LIMA Introduction new needs need new solutions new needs need new solutions

Network Forensics LIMA Introduction new needs need new solutions new needs need new solutions 1 Group 2 0 0 0 Founded in 1978 I ndependent, privately owned company Stable financial position 70 employees Headquarters in the Netherlands

353 views • 23 slides
Digital Forensics: A Cybersecurity Approach Hector Rivera Basiru Mohammed Michael Marin Robert

Digital Forensics: A Cybersecurity Approach Hector Rivera Basiru Mohammed Michael Marin Robert

Digital Forensics: A Cybersecurity Approach Hector Rivera Basiru Mohammed Michael Marin Robert Malegiannakis Ricardo Justiniano Introduction - What is Digital Forensics? Digital forensics defined - The process of recovering and interpreting

478 views • 30 slides
Guaranteeing Performance in High- Density OpenStack Environments Endre Sara VP of Dev

Guaranteeing Performance in High- Density OpenStack Environments Endre Sara VP of Dev

Guaranteeing Performance in High- Density OpenStack Environments Endre Sara VP of Dev @VMTurbo 1 OpenStack Workload Management Challenges Limited workload scheduler Lack of real-time control VM placement decisions are static and

203 views • 9 slides
Speeding Up Your Mac A Joe ON Tech Guide Speeding Up Your Mac Basics Three factors affect

Speeding Up Your Mac A Joe ON Tech Guide Speeding Up Your Mac Basics Three factors affect

Speeding Up Your Mac A Joe ON Tech Guide Speeding Up Your Mac Basics Three factors affect your Macs performance more than anything else: CPU power. Most Macs dont have upgradable CPUs, but you can compensate by reducing the amount

292 views • 12 slides
II international symposium of Central Sensitivity Syndrome 2018 Joint Congress Poster Presentation

II international symposium of Central Sensitivity Syndrome 2018 Joint Congress Poster Presentation

Sociedad Espaola de Sndrome Sensibilidad Central (SESSEC) C.I.F. G9020871 WWW.SESSEC.ORG INFO@SESSEC.ORG II international symposium of Central Sensitivity Syndrome 2018 Joint Congress Poster Presentation Information & Set-up

181 views • 3 slides
SUSE Enterprise Storage 6 Darren Soothill EMEA Storage Technical Strategist Agenda

SUSE Enterprise Storage 6 Darren Soothill EMEA Storage Technical Strategist Agenda

SUSE Enterprise Storage 6 Darren Soothill EMEA Storage Technical Strategist Agenda Enterprise Storage Business Challenges SUSE Enterprise Storage Architecture SUSE Enterprise Storage 6 SUSE Enterprise Storage Use Cases

681 views • 22 slides
iSMART 4.0.X S.M.A.R.T ( Self-Monitoring, Analysis and Reporting Technology ) A monitoring system

iSMART 4.0.X S.M.A.R.T ( Self-Monitoring, Analysis and Reporting Technology ) A monitoring system

iSMART 4.0.X S.M.A.R.T ( Self-Monitoring, Analysis and Reporting Technology ) A monitoring system for computer hard disk drives to detect and report on various indicators of reliability, in the hope of anticipating failures. 1992 1995 iSMART

481 views • 25 slides
World Community Grid Mass Installation and Customizing Client Behavior World Community Grid Mass

World Community Grid Mass Installation and Customizing Client Behavior World Community Grid Mass

World Community Grid Mass Installation and Customizing Client Behavior World Community Grid Mass Installation What are some situations where members are performing mass installations of the World Community Grid Client? University Labs

341 views • 10 slides
Automate Server Mastery Keeping Your Automate Server at Its Best Presented by Brandon Lippie

Automate Server Mastery Keeping Your Automate Server at Its Best Presented by Brandon Lippie

Automate Server Mastery Keeping Your Automate Server at Its Best Presented by Brandon Lippie & William Smalley Who Are We? Ive worked with Automate going on 7 years with 5 years working for ConnectWise in Automate Support (3 years) and

365 views • 32 slides
Update of the Mechanics for the Tracking Detector Update of the Mechanics for the Tracking Detector

Update of the Mechanics for the Tracking Detector Update of the Mechanics for the Tracking Detector

CLICdp Tracker Technology Meeting Update of the Mechanics for the Tracking Detector Update of the Mechanics for the Tracking Detector Szymon Sroka, Wolfgang Klempt 3/23/2016 Szymon Krzysztof Sroka, Wolfgang Klempt Presentation Layout Presentation

322 views • 21 slides

More recommend