[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Maggio 2006 ml@sikurezza.org Soggetto: Re: [ml] attivita' forense Mittente: Mailing List Manager Data: Sat, 13 May 2006 15:18:24 +0200 (CEST)
----- Forwarded message from Michele <vo.sinh(at)gmail.com> ----- From: Michele <vo.sinh(at)gmail.com> To: ml(at)sikurezza.org Subject: Re: [ml] attivita' forense On 5/9/06, ti_con_zero <ti_con_zero(at)yahoo.com> wrote: > >ciao a tutti, > >questa mattina mi ? capitata una mail di un fornitore che si propone per >alcune attivit? di analisi forense. ci sono alcune cose che non mi >tornano e vorrei confrontarmi con voi. la procedura proposta prevede >infatti alcuni step che secondo me sono scorretti. Gli step da attuare IMO sono: 1) copia del disco con dd su file/disco/quel che si vuole 2) analisi del disco di copia con un tool per recuperare i file cancellati 3) salvataggio dei file cancellati da un'altra parte 4) mount in r/o per eseguire i check md5 dei binari a seconda di quel che trovi di modificato si procede. A seconda poi del filesystem potrebbe essere necessario fare un esame piu' accurato che va al dila' di recuperare i file cancellati..ad esempio su ext2 cercare inode slinkati ad esempio alla fine del disco ai quali un possibile rootkit si appoggiava per salvare dati e poi analizzare anche la swap, potrebbe esserci una qualche specie di immagine alla fine della swap ad esempio.. Michele ----- End forwarded message -----
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005