[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Giugno 2001 ml@sikurezza.org Soggetto: Re: "Tracing Kevin" e forensic analisys Mittente: Fabio Pietrosanti (naif) Data: 15 Jun 2001 13:01:53 -0000
On Fri, Jun 15, 2001 at 02:20:08AM +0200, Brigante wrote:
> Devi semplicemente staccare il cavo della corrente :-)))
> Questa è la prima regola della forensics per tutti i computer compromessi.
> Le prove, infatti, non risiedono nella memoria (sarà un errore di
> traduzione), ma nei diversi log che possono essere manomessi da eventuali
> rootkit o altri espedienti nel caso tu non isoli completamente la macchina.
> Ciao
>
> Brigante
Calma brigante... nella memoria si trovano molte informazioni che tornano utili
nell'analisi di una macchia compromessa.
Prima stacchi il cavo ethernet, poi ti dumpi la memoria, poi ti dumpi gli hard disk ( magari con netcat,
buttandoli su un'altra macchina ), poi ti fai qualche ps, netstat e robbe
varie, e solo dopo spegni la macchina ( o magari, come nel caso di una sun,
metti tutto in stand-by ) .
Approfondimenti: http://www.porcupine.org/forensics
http://project.honeynet.org/papers
--
Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS
Free Flame: IPFilter sucks !
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005