由電腦鑑識看帳號

由電腦鑑識看帳號//密碼的竊取密碼的竊取2009/July2009/July講師講師::鑒真數位鑒真數位黃敬博黃敬博po@iforensics.
com.
twpo@iforensics.
com.
tw(EnCE/CCE/CIFI/CHFI/CEH/CISSP)(EnCE/CCE/CIFI/CHFI/CEH/CISSP)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com國內趨勢國內趨勢根據內政部警政署的統計資料顯示根據內政部警政署的統計資料顯示去年去年(97(97年年))妨害電腦使用案,犯罪方式第一名為妨害電腦使用案,犯罪方式第一名為無故取得、刪除或變更他人電腦或電磁紀錄無故取得、刪除或變更他人電腦或電磁紀錄(56.
47%)(56.
47%)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com案例說明案例說明YahooYahoo帳號失竊案例帳號失竊案例––網路犯罪最愛偷的帳號網路犯罪最愛偷的帳號若是Gmail遭竊PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com有組織的犯罪結構有組織的犯罪結構中國駭客黑色產業鏈中國駭客黑色產業鏈:2.
38:2.
38億年產值帶來億年產值帶來7676億損失億損失––僵屍電腦租借僵屍電腦租借––帳號帳號//密碼密碼((其中每天有超過上萬人次填寫申訴其中每天有超過上萬人次填寫申訴資料,反映資料,反映QQQQ密碼被盜密碼被盜))PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com不可知的殘留不可知的殘留根據加州柏克萊大學的研究,目前公司中根據加州柏克萊大學的研究,目前公司中有超過有超過93%93%的資訊產出是以數位格式分散貯的資訊產出是以數位格式分散貯存在各個系統中,同時相同的研究也指出存在各個系統中,同時相同的研究也指出在所有的資訊犯罪、侵權案例中,有超過在所有的資訊犯罪、侵權案例中,有超過85%85%的案例均會留下數位遺趾.
的案例均會留下數位遺趾.
(Footprint)(Footprint)èè示範示範PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com硬碟硬碟UnallocateUnallocate區的殘留區的殘留FileSlackFileSlackUnallocatedclusterUnallocatedclusterHardiskUnallocatedareaHardiskUnallocatedareaPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com虛擬記憶體的殘留虛擬記憶體的殘留Pagefile.
sysPagefile.
sys為為WindowsWindows平台中的虛擬記憶體平台中的虛擬記憶體,,程式執行中程式執行中的資訊很多會殘留在此部份的資訊很多會殘留在此部份,,且可能以明文且可能以明文的方式顯示的方式顯示––帳號帳號//密碼密碼––InstantMessageInstantMessage聊天的內容聊天的內容PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comWindowsWindows休眠休眠Hibernate.
sysHibernate.
sys及及Hiberfil.
sysHiberfil.
sys為為WindowsWindows平台中休眠時,將記憶體中的資平台中休眠時,將記憶體中的資訊貯存檔案名稱,可於停止休眠時迅速回訊貯存檔案名稱,可於停止休眠時迅速回復系統原始運行的狀態復系統原始運行的狀態PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comMemoryDumpMemoryDump作業系統中所有正在執行的程式及保留的作業系統中所有正在執行的程式及保留的輸入資料存在許多有用的資訊輸入資料存在許多有用的資訊使用記憶體傾印工具可將記憶體資料完整使用記憶體傾印工具可將記憶體資料完整保留為一個映像檔保留為一個映像檔PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com記憶體殘留的密碼分析記憶體殘留的密碼分析StringsStrings將將ASCIASCI字串取出字串取出––採用支援採用支援UniUni--codecode的的StringsStrings––輸出檔案輸入編輯器搜尋輸出檔案輸入編輯器搜尋(Ex:UltraEdit)(Ex:UltraEdit)使用商業軟體進行檢視及搜尋使用商業軟體進行檢視及搜尋––Encase/FTK/XEncase/FTK/X--WaysForensicsWaysForensicsPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com帳號帳號//密碼存在的形式密碼存在的形式貯存在檔案中貯存在檔案中貯存在貯存在RegistryRegistry中中貯存在貯存在CookieCookie中中貯存在貯存在DataBaseDataBase中中貯存在貯存在TokenCard/iKeyTokenCard/iKeyPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comMSNMSN的帳號的帳號//密碼密碼MSNversion8.
x/9.
xMSNversion8.
x/9.
x的密碼的密碼::ThepasswordsarestoredintheCredentialsThepasswordsarestoredintheCredentialsfile,withentrynamebeginswithfile,withentrynamebeginswith"WindowsLive:name=""WindowsLive:name="MSNversion7.
x/6.
xMSNversion7.
x/6.
x的密碼的密碼::則貯存在則貯存在RegistryRegistry機碼中機碼中V7.
0:HKEY_CURRENT_USERV7.
0:HKEY_CURRENT_USER\\SoftwareSoftware\\MicrosoftMicrosoft\\IdentityCRLIdentityCRL\\CredsCreds\\[AccountName][AccountName]V6.
0:HKEY_CURRENT_USERV6.
0:HKEY_CURRENT_USER\\SoftwareSoftware\\MicrosoftMicrosoft\\MSNMessengerorMicrosoftMSNMessengerorMicrosoft\\MessengerServiceMessengerServicePDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comYahoomessengerYahoomessenger及及GoogletalkGoogletalk的的帳號帳號//密碼密碼YahoomessengerYahoomessenger最新版為最新版為Ver9.
x:Ver9.
x:歷來歷來8/7/68/7/6的版本密碼主要均貯存於機碼中的版本密碼主要均貯存於機碼中HKEY_CURRENT_USERHKEY_CURRENT_USER\\SoftwareSoftware\\YahooYahoo\\PagerPagerGoogletalkGoogletalk最新版為最新版為Ver1.
0.
x:Ver1.
0.
x:密碼主要均貯存於機碼中密碼主要均貯存於機碼中HKEY_CURRENT_USERHKEY_CURRENT_USER\\SoftwareSoftware\\GoogleGoogle\\GoogleGoogleTalkTalk\\AccountsAccounts\\[AccountName][AccountName]PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comOutlook/OutlookexpressOutlook/Outlookexpress帳號帳號//密碼密碼OutlookOutlookOutlook2002Outlook2002--20082008帳號密碼貯存在同一個帳號密碼貯存在同一個RegistryKeyRegistryKey中中但是若經由但是若經由ADAD認證去取認證去取ExchangeExchange伺服器的信伺服器的信件則帳號件則帳號//密碼則存在於密碼則存在於CredentialfileCredentialfile中中OutlookExpressOutlookExpress密碼貯存密碼貯存ProtectedStorageProtectedStorageProtectedStorageinformationissavedinaspeciallocationintheRegistry.
ProtectedStorageinformationissavedinaspeciallocationintheRegistry.
PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comIEAutoIEAuto--completecomplete的帳號的帳號//密碼密碼新版新版IEV7IEV7及及V8V8貯存密碼於兩個地方貯存密碼於兩個地方AutoCompletepasswordsarestoredintheAutoCompletepasswordsarestoredintheRegistryunderRegistryunderHKEY_CURRENT_USERHKEY_CURRENT_USER\\SoftwareSoftware\\MicrosoftMicrosoft\\InternetInternetExplorerExplorer\\IntelliFormsIntelliForms\\Storage2.
Storage2.
HTTPAuthenticationpasswordsarestoredinHTTPAuthenticationpasswordsarestoredintheCredentialsfiletheCredentialsfilePDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comWebMailWebMail的帳號的帳號//密碼密碼HotmailHotmailYahooMailYahooMailGmailGmailWebmailWebmail的密碼主要還是存在於不同的的密碼主要還是存在於不同的RegistryKeyRegistryKey中中,,但均經過加密處理的密文但均經過加密處理的密文PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com使用工具進行帳號使用工具進行帳號//密碼的揭露密碼的揭露示範示範::整合揭密的軟體工具整合揭密的軟體工具(LiveDetector)(LiveDetector)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com瞭解加密的強度並預估所需時間瞭解加密的強度並預估所需時間瞭解你所面對加密強度及應用程式為何瞭解你所面對加密強度及應用程式為何––AES(Truecrypt)AES(Truecrypt)––PGPPGP––SkypeSkype––Wipe/CompletelydeletedtoolWipe/CompletelydeletedtoolPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comBruteforceBruteforce––Time(Howlong)Time(Howlong)當破密的強度超過一定程度後當破密的強度超過一定程度後––CPUCPU及及電腦數已不具任何意義電腦數已不具任何意義!
!
––一台一台Core2Core2的的PCPC當要破一個當要破一個PGPPGP的加密檔案的加密檔案使用暴力破解約需使用暴力破解約需11千萬年時千萬年時等於等於11千萬台千萬台PCPC要同時跑一年來破密要同時跑一年來破密….
….
PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com先瞭解你的目標對象PGP/SSL/AES/WEP/3DES…柿子挑軟的吃–先從簡單著手SocialEngineering使用習慣先破MSN/DOC/RAR密碼刪除的檔案搜尋password/account/密碼…等相關字非不得已,不用暴力破解密碼破解的邏輯PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com刪除的檔案找線索先救回已刪除檔案,方式主要有兩種:1.
修改檔案系統的索引區(FAT/FDT/MFT/InodeTable),將標示已刪除的Tag及相關資料回復為未刪除的型態2.
在Unallocate資料區搜尋符合檔頭格式及檔尾格式的資料,擷取出來另存為新的檔案直接在已刪除檔案的區域找線索PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com加密的文件檔案不同的加密文件有不同的破密困難度:1.
先從Office文件下手(必可破的文件)2.
再從PDF文件下手3.
RAR/ZIP的文件4.
付費服務(國外有許多的破密服務/破了再付費)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com密碼破解密碼破解––實務操作實務操作範例範例::使用破解的方式使用破解的方式明文破解明文破解PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com密碼破解密碼破解––字典檔攻擊字典檔攻擊大部份的破密軟體均大同小異大部份的破密軟體均大同小異––主要的區別在於字典檔的完整性及組合方主要的區別在於字典檔的完整性及組合方––字典檔買得到嗎字典檔買得到嗎––如果是有經驗的駭客如果是有經驗的駭客,,密碼的選取密碼的選取…(Non…(Non--english)english)––如何製作字典檔如何製作字典檔PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comHardDiskindexingHardDiskindexing非常有效的字典檔製作方式非常有效的字典檔製作方式不只整顆硬碟也特別適用於不只整顆硬碟也特別適用於記憶體資料記憶體資料––MemorydumpMemorydump檔案檔案––pagefile.
syspagefile.
sys檔案檔案––hiberfil.
syshiberfil.
sys及及hibernate.
syshibernate.
sysPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com什麼是RainBowTable彩虹表(用空間換取時間…)速度多快Windows密碼安全嗎Office/PDF文件加密安全嗎Zip/RAR文件加密安全嗎什麼才安全RainBowTable–最快的密碼破解PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com使用更改而非破解,此為Non-forensics作法WindowsAdministrator密碼忘了如何Linuxroot密碼忘了如何Vmware內的作業系統該如何使用chntpw製作開機光碟後可更改windows的密碼,linux只要mount檔案系統後更改/etc/shadow即可LinuxLinux或或WindowWindow密碼遺忘密碼遺忘PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com鎖定目標鎖定目標--瞭解使用者的軟體環境瞭解使用者的軟體環境電子郵件電子郵件(Outlook/OutlookExpress/Lotus(Outlook/OutlookExpress/LotusNotes/Notes/其它其它…)…)即時通訊軟體即時通訊軟體(MSN/Yahoo/GoogleTalk…)(MSN/Yahoo/GoogleTalk…)文件保護的機制文件保護的機制(PGP/Truecrypt/…)(PGP/Truecrypt/…)防毒系統防毒系統其他應用其他應用……PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com硬體式硬體式KeyLoggerKeyLoggerPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com軟體式軟體式((最普遍最普遍))--植入木馬植入木馬ScreencaptureScreencaptureKeylogKeylogURLlogURLlogFilesopenlogFilesopenlogApplicationopenlogApplicationopenlogPDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com使用社交工程方式騙取使用社交工程方式騙取EE--mailmail網路釣魚的手法網路釣魚的手法設立的登入網站設立的登入網站,,詐取帳號詐取帳號//密碼密碼((一般人重複使用密碼的習慣一般人重複使用密碼的習慣))3M/3M/便利貼便利貼//圾垃中尋找圾垃中尋找.
.
台灣人最常接到的詐騙電話台灣人最常接到的詐騙電話其它其它……PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comNetworkSnifferNetworkSniffer哪些帳號哪些帳號//密碼密碼為明文為明文,,最容易在網路中竊聽最容易在網路中竊聽1.
POP31.
POP3取信取信(Outlook/Outlookexpress/Windows(Outlook/Outlookexpress/WindowsMail/LiveMail…)Mail/LiveMail…)2.
BBS(Telnet)2.
BBS(Telnet)3.
FTP3.
FTP傳檔傳檔4.
Web(Basicauthentication)4.
Web(Basicauthentication)PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comWirelesshackingWirelesshackingWepauthentication(Wepauthentication(收集封包量夠多即可破收集封包量夠多即可破解解))WirelessOpenSiteWirelessOpenSite––咖啡店咖啡店……––Wifly…Wifly…––其它其它PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
comNetworkattackNetworkattack若你的網路應用帳號若你的網路應用帳號//密碼密碼可以持續被猜而可以持續被猜而不鎖定不鎖定––則可用類似則可用類似Hydra/BrutusHydra/Brutus最後最後trytry出可用的帳號出可用的帳號及密碼及密碼WebWeb認證的其它攻擊認證的其它攻擊……PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com意見回饋與討論意見回饋與討論PDFcreatedwithpdfFactoryProtrialversionwww.
pdffactory.
com