Re: "Tracing Kevin" e forensic analisys

> Salve all,
> rileggendo il libro di Shimomura ripensavo al punto in cui
> parla a proposito di "bloccare" le macchine compromesse, anzichč
> spegnerle, in modo da conservare eventuali "prove" presenti
> nella sola memoria della macchina.
> Scusate la mia ignoranza ma non riesco proprio a capire come.
> Non penso intenda spegnere la macchina brutalmente e poi analizzare
> la partizione di swap montando l'hd su un'altra. Anche perchč
> sarebbe proprio un caso fortunato che la parte di memoria interessante
> si trovava nello swap in quel momento.
> E nemmeno piantare la macchina killando, che so, init. Perchč ovviamente
> non potrei accedervi pił ne da locale ne da remoto.
> Sembra pił una feature di "freeze" del sistema, forse esiste nei sistemi
> SPARC che usa lui? Oppure ancora, intendeva semplicemente dire che
> switchava in modalitą single-user?
> Spero che qualcuno mi aiuti a risolvere questo simpatico arcano :)

Devi semplicemente staccare il cavo della corrente :-)))
Questa č la prima regola della forensics per tutti i computer compromessi.
Le prove, infatti, non risiedono nella memoria (sarą un errore di
traduzione), ma nei diversi log che possono essere manomessi da eventuali
rootkit o altri espedienti nel caso tu non isoli completamente la macchina.
Ciao

Brigante


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List