Re: "Tracing Kevin" e forensic analisys

Ciao Luigi,

Luigi Messina wrote:


> Scusate la mia ignoranza ma non riesco proprio a capire come.
> Non penso intenda spegnere la macchina brutalmente e poi analizzare
> la partizione di swap montando l'hd su un'altra. Anche perchč
> sarebbe proprio un caso fortunato che la parte di memoria interessante
> si trovava nello swap in quel momento.
> E nemmeno piantare la macchina killando, che so, init. Perchč ovviamente
> non potrei accedervi pił ne da locale ne da remoto.
> Sembra pił una feature di "freeze" del sistema, forse esiste nei sistemi
> SPARC che usa lui? Oppure ancora, intendeva semplicemente dire che
> switchava in modalitą single-user?
> Spero che qualcuno mi aiuti a risolvere questo simpatico arcano :)

Sulle macchine HP (PA-RISC) esiste un tasto (TOC) per fare il dump della 
memoria fisica su disco. Solitamente viene utilizzato per analizzare 
problemi hardware..ma puo' essere utilizzato anche per capire cosa 
girava sulla macchina al momento della pressione del tasto.
http://docs.hp.com/cgi-bin/fsearch/framedisplay?top=/hpux/onlinedocs/J2237-90005/J2237-90005_top.html&con=/hpux/onlinedocs/J2237-90005/00/00/44-con.html&toc=/hpux/onlinedocs/J2237-90005/00/00/44-toc.html&searchterms=TOC&queryid=20010615-002035

Penso che Shimomura abbia fatto una cosa del genere.


Ciao, Raf
-- 
----------------------------------------------------------------
Raffaello Di Martino (http://konus.homeip.net)
PGP key available
Su IRC: _Konus_
BrainBench certified: Linux e Linux RedHat Administrator Master
Tel. +39 348 5852274
mailto:RDiMartino@bsc.it
ICQ: 929012

           ___ ___  ___           BSC GROUP
          | _ ) __|/ __|
          | _ \__ \ (__           Tel. +39 010 545.16.86
          |___/___/\___|          Fax. +39 010 541.441
                                  mailto:bsc@BSC.it


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List