R: "Tracing Kevin" e forensic analisys

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Giugno 2001 ml@sikurezza.org
Soggetto: R: "Tracing Kevin" e forensic analisys
Mittente: Raistlin
Data: 17 Jun 2001 15:29:34 -0000

> Devi semplicemente staccare il cavo della corrente :-)))

AAAAAAAAAAAARGH ORRORE !

> Questa è la prima regola della forensics per tutti i computer compromessi.

Si', della forensics nel senso delle autopsie :)
Una macchina a cui togli brutalmente la corrente ha una buona probabilita'
di non ripartire :)

> Le prove, infatti, non risiedono nella memoria

Eccome no ! Ci possono essere cose interessantissime nella memoria,
frammenti di dati che possono essere insostituibili nel capire COSA ha fatto
colui che e' entrato.

PRIMO) staccare cavo di rete
SECONDO) disintegrare tutti i crond e gli atd
TERZO) dumpare memoria e dischi su una macchina apposita per le forensics
con il coroner toolkit e un debugger belli che pronti
QUARTO) spegnere con cautela la macchina DOPO aver controllato che negli
script di reinizializzazione non ci siano sorprese.

Bau,
Raist


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Data:
- precedente: Re: "Tracing Kevin" e forensic analisys, vecna
- successivo: IDS, Marco `Qlo` Ciacci
- indice

Argomento:
- precedente: Re: CRYPTO-GRAM, June 15, 2001, Igor Falcomata'
- successivo: IDS, Marco `Qlo` Ciacci
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005