"Tracing Kevin" e forensic analisys

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2001 ml@sikurezza.org
Soggetto: "Tracing Kevin" e forensic analisys
Mittente: Luigi Messina
Data: 14 Jun 2001 23:32:53 -0000

Salve all,
rileggendo il libro di Shimomura ripensavo al punto in cui
parla a proposito di "bloccare" le macchine compromesse, anzichè
spegnerle, in modo da conservare eventuali "prove" presenti
nella sola memoria della macchina.
Scusate la mia ignoranza ma non riesco proprio a capire come.
Non penso intenda spegnere la macchina brutalmente e poi analizzare
la partizione di swap montando l'hd su un'altra. Anche perchè
sarebbe proprio un caso fortunato che la parte di memoria interessante
si trovava nello swap in quel momento.
E nemmeno piantare la macchina killando, che so, init. Perchè ovviamente
non potrei accedervi più ne da locale ne da remoto.
Sembra più una feature di "freeze" del sistema, forse esiste nei sistemi
SPARC che usa lui? Oppure ancora, intendeva semplicemente dire che
switchava in modalità single-user?
Spero che qualcuno mi aiuti a risolvere questo simpatico arcano :)

Grazie,
Gigi
-- 
GPG Key ID:1024D/2A2C7B93
Fingerprint:8125 3571 6F7A 3E84 A56B  B710 E23F D3E4 2A2C 7B93
-


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: OT: Riot remailer italiano, remaler-admin
- successivo: Re: calcolo checksum IP, Bonelli Nicola
- indice

Argomento:
- precedente: OT: Riot remailer italiano, remaler-admin
- successivo: Re: "Tracing Kevin" e forensic analisys, Raffaello Di Martino
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005