re: [ml] attivita' forense

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Maggio 2006 ml@sikurezza.org
Soggetto: re: [ml] attivita' forense
Mittente: Claudio Broglia
Data: Fri, 12 May 2006 17:04:06 +0200 (CEST)

1) il disco su cui operare l'analisi non deve, secondo me, essere
montato: è preferibile infatti effettuare una copia fisica con dd senza
necessità di montare nessuna partizione


In generale sì, ma smontando il disco/spegnendo la macchina si perdono
processi, memoria e le varie informazioni di stato. Se l'attacker non
ha effettuato modifiche al fs, si corre il rischio di restare con un
pugno di mosche, log della macchina a parte.

2) la copia di un disco per attività forensi non deve essere fatta come
si farebbe una copia di backup: non devo limitarmi a copiare solo i
files ma devo appunto usare uno strumento di copia fisica per copiare
anche settori che possono risultare non occupati, non utilizzati e
persino lo spazio non partizionabile. quindi devo sempre usare uno
strumento come dd e non strumenti come cp


Idem come sopra, anche se si potrebbero usare tools compilati
staticamente per analizzare i settori/inode alla ricerca di tracce
nascoste.

3) penso che sia sempre meglio eseguire un hash del disco/partizioni copiate


Assolutamente.


saluti
xeon

Data:
- precedente: Re: R: [ml] [WinXP] Muose che si muove da solo, Cavva
- successivo: Re: [ml] [WinXP] Muose che si muove da solo, Claudio Broglia
- indice

Argomento:
- precedente: [ml] Test Sicurezza, Logos
- successivo: Re: [ml] attivita' forense, Mailing List Manager
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005