It- och datorforensik

It- och datorforensik

Om IT Forensik

och datorforensik

Snabbstart med Kali Linux

IT ForensikPosted by Jörgen Halex Tue, June 10, 2014 08:24:11

Snabbstart med Kali Linux

Testa säkerhet, genomlysa nätverk, rädda data

Om du vill testa ett nätverk till dess säkerhet eller analysera datatrafik i en app, snabbt kommer den till Linux. Den särskilda distribution Linux Kali ger en utbuktande resväska programvara, vilket gör att hjärtat slår av hackare och Pentestern högre.

. Som bas för Kali är Linux Debian Wheezy, som är nöjd med 512 MB ​​RAM och 10 GB diskutrymme. Alternativt kan du starta på en Raspberry Pi det ännu. Om menyn "Program, Kali Linux" du kommer till skattkammaren, som innehåller över 300 verktyg. Vi har fört samman de båda framstående Pentesting verktyg och sällan märkt pärlor, perfekt för experiment.

Naturligtvis måste du alltid se till att inte bryta mot de lagar som gäller i ditt land. Det är någon tvekan om att du startar verktygen bara på dina egna tjänster - eller åtminstone med uttryckligt medgivande av operatören.

Utvecklaren Företaget Offensive Security erbjuder Kali för 32 -, 64-bitars-och ARM-system för nedladdning. Även om ISO-bilder börjar som ett levande system, om du vill kan du beställa utan också främja en installation. Dessutom finns det en färdig VMware maskin. De som väljer det levande systemet eller virtuell maskin, vilket sannolikt kommer att behöva anpassa sin första akt i systeminställningarna standard amerikanska tangentbordslayout till de lokala förhållandena.

Du hittar inställningen hjulet på "Program, Systemverktyg, Inställningar, Systeminställningar, region och språk". Du kan lika gärna ändra systemspråk. Observera att detta ändrar live-systemet kommer inte att överleva nästa systemstart. Men den som installerade Kali Linux, dessa inställningar gör att använda installationsguiden. Med kommandona apt-get update och apt-get upgrade du anpassa systemet efter uppstart på den aktuella statusen

Du hittar inställningen hjulet på "Program, Systemverktyg, Inställningar, Systeminställningar, region och språk". Du kan lika gärna ändra systemspråk. Observera att detta ändrar live-systemet kommer inte att överleva nästa systemstart. Men den som installerade Kali Linux, dessa inställningar gör att använda installationsguiden. Med kommandona apt-get update och apt-get upgrade du anpassa systemet efter uppstart på den aktuella statusen.

Vid behov kan man en IP manuellt på följande sätt:

ifconfig eth0 192.168.0.2 netmask 255.255.255.0

Den första parametern är namnet på gränssnittet. Följande är den IP-adress, strängen "nätmask" och nätverksmask. Kali Linux har stöd för ett antal olika trådlösa adaptrar. Konfigurationen görs bäst via nätverkshanteraren av handen, som manifesterar sin närvaro i det övre högra hörnet av skärmen med en ikon som visar två datorer.

Därmed Kali Linux är på nätet - men vem även? Med hjälp av nätverksskanner nmap man finna det mycket snabbt. Starta sitt grafiska användargränssnitt, genom zenmap kran i konsolen. Målet är det lokala nätverket. Har systemet få IP-adressen 192.168.0.2, så skriv in 192.168.0.0/24, som Nmap adressblocket 192.168.0.0 till 192.168.0.255 skanningar. Som profil du väljer för testet kör den ytliga "snabb skanning". Nu trycker du på knappen Skanna, bygger sedan en lista över de svarande nätverksnoderna i det vänstra fönstret. Kolla in fliken "Portar/kalkylator" man lär sig om vilka portar som svarar på klienterna.

Man in the Middle

Påträffas under nätverks scan på klienter som du inte kan tilldela sådan rätt, ger en riktad trafikanalys ibland värdefull information. I de vanliga nätverkskonfigurationer främmande trafik men ingen väg förbi det analyssystem, vilket är varför du behöver för att skapa en omdirigering genom så kallad ARP spoofing. Det låter mer komplicerat än det är.

Först berättar Kali Linux som sitt avsedda mål, routern att vidarebefordra datapaket i korthet angrepp av kunden:

echo 1 > /proc/sys/net/ipv4/ip_forward

Då kan du manipulera med arpspoof ARP-tabellen på offret. I detta anger vilken IP-adress som tillhör vilken MAC-adress. Med följande kommando du övertyga kunden om paket som är avsedda för IP-adressen för routern att skicka MAC-adressen för Kali maskin:

arpspoof -i eth0 -r -t 192.168.0.5 192.168.0.1

eth0 designerar det använda nätverksgränssnittet och r bringar trafiken dirigeras i båda riktningarna. Så får du också de paket som routern skickar till kunden. Den-t parametern (t.ex. Target) följt av IP-adressen för offret (i vårt exempel 192.168.0.5) och slutligen ange IP på din router.

Du är med Kali Linux nu i den starka positionen för "Människan i Mellanöstern" - det vill säga mellan analyten är klienten och routern. Nu har tiden kommit, med verktyget tcpdump en titt på feed-genomfartstrafik att kasta:

tcpdump-i eth0-En värd 192.168.0.5

Om kunden är aktiv, rusar sin trafik nu via konsolen. Denna effekt kan också använda den grafiska tcpdump ekvivalent förstå Shark.

Eftersom nu nästan allt talar något sätt till Internet, är det viktigt att flod av data som användbar filtrering. För att bara visa om trafiken på HTTP-port 80, bifoga en och port 80 till kommandot. A | grep sökord i sin tur bara skulle visa paket som innehåller en viss sträng.

För många uppenbara filtreringsuppgifter ger Kali Linux specialverktyg. Sålunda utvinns om urlsnarf bara HTTP-förfrågningar från dataströmmen. Visuellt imponerande är drivgarn: Efter starten rulla in överförda data i bilderna nätverket på skärmen. Som fortfarande driver ett otillräckligt skyddat nätverk är förmodligen senast övertygad om allvaret i situationen, då flimmer i realtid internt företag eller semester minnen på en konstig skärm. Om det inte räcker, kan du gå en bättre med dsniff: Den sniffer Programmet upptäcker åt data som överförs, till exempel vid inloggning på webbplatser, i mail som skickas eller initiera en anslutning till en FTP-server.

Naturligtvis är dessa verktyg är begränsade. När kryptering används, kan innehållet i paketen, om alls, bara genom ett djupt grepp ta in sin påse med tricks i erfarenhet.

Dekryptering tricks

Vill du utvärdera innehållet i krypterade anslutningar, behöver du inte nödvändigtvis knäcka krypteringen - Du kan också klicka på slarv av användaren att spekulera: Verktyget sslstrip ersätts som en påtvingad proxy alla hänvisningar till https://-Adressen med http://. I fallet med Chrome och Firefox, men det fungerar tillförlitligt endast i äldre versioner av webbläsare. De aktuella värdena för HSTS header, genom vilken en server kan instruera webbläsare för att kommunicera enbart via HTTPS. Internet Explorer i den nuvarande när det här skrivs version 11, men ändå faller för sslstrip.

Kryptering sker endast mellan sslstrip och tjänsten används. Detta är nödvändigt eftersom många tjänster är endast tillgängliga via HTTPS nu. Ganska så trivialt som tidigare hjälpare använder men inte sslstrip: Så att trafiken kommer fram till verktyget måste du omdirigera trafiken till nätverksfiltrering iptables. Dessutom krävs det en okrypterad accesspunkt såsom automatisk omdirigering av http://paypal.com på https://paypal.com. Styr användaren fastställt HTTPS-adress sslstrip kan inte koppla.

Dekryptering tricks

Vill du utvärdera innehållet i krypterade anslutningar, behöver du inte nödvändigtvis knäcka krypteringen - Du kan också klicka på slarv av användaren att spekulera: Verktyget sslstrip ersätts som en påtvingad proxy alla hänvisningar till https://-Adressen med http://. I fallet med Chrome och Firefox, men det fungerar tillförlitligt endast i äldre versioner av webbläsare. De aktuella värdena för HSTS header, genom vilken en server kan instruera webbläsare för att kommunicera enbart via HTTPS. Internet Explorer i den nuvarande när det här skrivs version 11, men ändå faller för sslstrip.

Kryptering sker endast mellan sslstrip och tjänsten används. Detta är nödvändigt eftersom många tjänster är endast tillgängliga via HTTPS nu. Ganska så trivialt som tidigare hjälpare använder men inte sslstrip: Så att trafiken kommer fram till verktyget måste du omdirigera trafiken till nätverksfiltrering iptables. Dessutom krävs det en okrypterad accesspunkt såsom automatisk omdirigering av http://paypal.com på https://paypal.com. Styr användaren fastställt HTTPS-adress sslstrip kan inte koppla.

WLAN Verktyg

Vem installerar en router som är bortskämd för val av frekvens. I tätbefolkade områden är det helt rimligt att ställa in en kanal, det finns lite trafik på. För analys av den trådlösa luftrummet Kali känner många verktyg. Innan du börjar bör du kontrollera med iwconfig, oavsett om den anslutna WLAN-gränssnittet har erkänts av systemet och hur det sägs. Således är gränssnittet också tillräckligt med sådana WLAN-paket som är avsedda för andra MAC-adresser, måste du aktivera den så kallade övervakningsläge:

airmon-ng wlan1

Om det lyckas kommer du iwconfig innan ett nytt trådlöst gränssnitt som kallas mon0. Tryck sedan på en kismet för att få en detaljerad översikt över de omgivande trådlösa nätverk. De aufpoppenden dialoger som du svarar med "OK", "Ja" och "Start". Om kismet frågar om ett gränssnitt ska läggas, säger du ja och skriv in "Intf" ett tidigare bestämt namnet på monitorgränssnitt. Brachiation dig med Tab-tangenten för att "Lägg till" och tryck på nästa dialogruta på samma sätt på "Close Console Window".

Gradvis nu målar en heltäckande bild av de omgivande trådlösa nätverken. Genom övervakningsläget, kan du sluta verksamheten för alla WLAN och om att bestämma hur många klienter är anslutna och hur många datapaket skicka dem hittills. Till och med "dolda" nätverk visas i listan. Vill du undersöka ett visst nätverk, bör du "... Kismet Config Channel" koppla gränssnittet över till kanalen. Annars Kismet skramlar kontinuerligt de trådlösa kanalerna från sekvensen.

Andra trådlösa experiment inbjuda övriga familjemedlemmar aircrack-ng till vilken också hör airmon-ng. Du kan känna det på genom att skriva in luft och trycka på Tab-tangenten. För att kunna visa, t.ex. med flygbas-ng den godtrogenheten av de flesta trådlösa klienter: Verktyget ritar en virtuell Wi-Fi-hotspot något namn (SSID) på. Om SSID för ett okrypterat Wi-Fi-identifierare motsvarar en av klienterna känner inom radioräckvidd, försöker den att ansluta.

Vem vill få en uppfattning om hur sårbart sitt WLAN för livet Kali också lämpliga verktyg redo. Många av dem kombinerar fjärr WIFI Cracker (lämpligt kommando är långt-wifi-cracker) i ett grafiskt gränssnitt. Enligt utvecklarna, det tar avstånd till både WEP-kryptering och WPA/WPA2. Medan WEP är känd för att vara snabb att knäcka, måste du ta en hel del tid i de två nyare krypteringsstandarder ibland. Vid tillräckligt långa och komplicerade lösenord biter också avstånd från tänderna. Snabbare sedan kan leda till att gissa WPS Pin målet för vilken fjärrkontroll använder verktyget reaver.

Kali rör sig inte bara WLAN utan även Bluetooth och NFC kropp. Dessutom kan du använda de medföljande verktygen för exempelvis en billig DVB-T stick i en så kallad Software Defined Radio (SDR) omvandlare, som syftar till att ytterligare frekvenser för "liv". Rätt verktyg finns under "Program, Kali Linux, trådlösa attacker".

Rekonstruera

Den rättsmedicinsk obduktion verktyget spårar förlorade filer.

Den kriminaltekniska verktyg Autopsy spårar förlorade filer. Förstora Kali är inte begränsat till att undersöka levande kommunikation, men också dominerar kriminalteknisk analys av diskar. Oavsett om du inspektera disken av en virusinfekterad Windows-dator eller på SD-kort av lång-förlorade semesterminnen sökningar - Kali Linux kommer med de rätta verktygen i kategorin "forensics" med. För att undvika oavsiktlig ändring att dissekera media, bör du först överväga en bild av det, som från denna punkt utgör en fungerande grund. Med självförklarande Guymanager som görs med några få musklick.

För analys av bilden ger Kali som den universella vapen Autopsy med bland annat lång raderade filer återställa, förutsatt att de inte har skrivits över av nya filer. För att rädda raderade bilder, finns det en specialist som heter recoverjpeg. Om du vill gå djupare in i frågan forensics, är i undermappen "RAM forensics" Volatiliteten verktyg som gör att information som hämtas från en minnesbild av vad som hände någon gång i det inre av en dator framför sig.

Simulerade nödlägen

De speciella verktygen från undermappen "Exploatering verktyg" kan simulera i verkliga förhållanden, bland andra, virusattacker. Vem ser sig omkring här borde veta vad han gör. Den mest kraftfulla verktyget för denna uppdelning är Metasploit Framework, vilket innebär bedrifter för flera program. Således kan man visa, till exempel med rimlig ansträngning, hur lätt kan kapa en dator som inte har den senaste versionen av Java är installerad. Med Armitage är också en typ av grafiskt gränssnitt ingår. Om du vill se dig omkring en gång, att utnyttja arsenal av Kali Linux kan använda kommandot

Searchsploit sök sikt. The Social-Engineer Toolkit (SET) simuleras, som namnet antyder, social ingenjörs attacker, till exempel riktad phishing.

Hårdvara hacka

Kali Linux har ett hjärta för mikrodatorer. Å ena sidan det för med Arduino utvecklingsmiljö, å andra sidan, går det också sig själv på många inbäddade enheter. Det finns bilder för ARM-enheter som Samsung Galaxy Note 10.1, en Samsung Chromebook, HDMI-pinnar och Raspberry Pi enkortsdator så att du kan sätta ihop en individuell pentesting anordning för lite pengar så bra av det sparsamma ARM-arkitekturen är lämplig för kontinuerlig drift. Ett hallon, utrustad med en standard USB WLAN stick resultat, till exempel en trådlös skål med honung, som även kan drivas med batterier eller batterier. Fantasin känner några gränser.



  • Comments(0)//info.it-losningar-och-it-sakerhet.se/#post6

Computer Forensik: Analys-Tools

IT ForensikPosted by Jörgen Halex Tue, March 18, 2014 11:32:58

Kriminaltekniskt undersökningar genomförs så långt som möjligt bara för att skapa rättsmedicinska exemplar och i skrivskyddat läge. De ursprungliga systemen bör - förvaras säkert - om möjligt. Det blir en senare, oberoende granskning av analyserna. ( Om det är i praktiken, men att systemen måste användas mer så snart som möjligt, för att särskilt uppmärksamma fullständighet och kvaliteten på de bilder som skapats! )

I den öppna källområdet Linux kommer med en mängd olika verktyg och program som kan användas för en undersökning ( grep , strängar , hitta , fil , hexedit , ... ) . Speciellt användbar när du arbetar med bildfiler är loopback -enheten. Detta gör det möjligt att arbeta med en bildfil som om en motsvarande skiva i systemet. ( Med den vanliga loopback -enheten endast bilder av enskilda partitioner kan monteras. Detta exempel kan kopieras med dd från den övergripande bilden. Mycket mer praktiskt att utforma processen med Enhanced loopback -enheten, som utvecklades av NASA anställda blir som öppen källkod tillgänglig och partitionen informationen i en bildfil tolkas automatiskt . )

The Sleuth Kit

För post mortem analys av ett UNIX -system Wietse Venema och Dan Farmer utvecklat ett antal verktyg, som blev känd som The Coroners Toolkit ( TCT ) . Emellertid är TCT plattformsspecifika, det vill säga Analys och utredning plattform måste vara lika. Den Sleuth Kit av Brian Carrier är ett plattformsoberoendeutveckling och expansion av TCT. Det kan finnas olika versioner av Unix, inklusive Linux och analyser används DOS, BSD och Mac- partitioner, och Sun skivor. På filsystem närvarande NTFS, FAT , FFS , EXT2FS och ext3fs kan undersökas .

Autopsy

En bekväm grafiskt användargränssnitt för användning av Sleuth Kit erbjuder också utvecklat av Brian Carrier Obduktion Forensic Browser. Kan också köpa flera utredare, lokalt oberoende, arbetar tillsammans i ett fall genom en säker server med hjälp av HTML Autopsy . Obduktion innehåller ett omfattande ärendehantering klar.

Den Sleuth Kit och Autopsy är därför beroende tolkningen av filsystem inte på operativsystemsfunktioner. De är således kunna upptäcka ens filer och information (t.ex. mellan partitioner är gömda) utanför de normala möjligheterna för respektive operativsystem är tillträde.


Förutom mycket omfattande alternativ , information från alla nivåer i media samt att analysera filsystemet hantering , och aktivitetstidslinjerkan skapas och jämföras med andra tidsbaserade protokoll . Samarbete med hash databaser över kända program ( NSRL , HashKeeper , ... ) , lättare att hitta och sortera ut för den särskilda utredningen viktiga / oviktiga filer .

främst

Handlar det om vissa filtyper (t.ex. bilder, filmer, Word- eller Excel-dokument ), oavsett filsystemet förvaltning , till exempel i inte mer tilldelade områden , kan hjälpa en sökande efter definitionen Heard och sidfot signaturer . För detta ändamål , verktyget var Främst av de särskilda medel för det amerikanska flygvapnet Kendall och Kornblum utvecklade ( liknande CarvThis den amerikanska försvars Computer Forensic Labs ) .

Främst kan analysera både fysisk disk och dd bilder . Sidhuvud och sidfot underskrifter av de filer du vill , och en maximal filstorlek kan anges med hjälp av en enkel konfigurationsfil . Verktyget kommer att kopiera alla filer som hittats som matchar de valda signaturerna . Naturligtvis , detta fungerar bara korrekt om filerna inte är närvarande fragmenterad . Det är därför fullt möjligt att Främst fil extraherade bitar som måste redigeras för hand på .



  • Comments(0)//info.it-losningar-och-it-sakerhet.se/#post5

Computer Forensik: Imaging-Tools

IT ForensikPosted by Jörgen Halex Tue, March 18, 2014 10:53:08

Skapandet av kriminaltekniskt korrekta kopior av alla drabbade diskar är Computer Forensics som det första och viktigaste steget efter en säkerhetsincident. Detta bör ske så snabbt som möjligt efter märker händelsen, men i alla fall före vidare användning av det berörda för att inte i onödan försämra bevis i en eventuell senare analyssystem. De berörda volymerna kan i enlighet med säkerhetsincident bara skriv endast användas för att undvika eventuella ändringar till data platsen, kursen gäller även arbetet med Imaging .

Under en kriminaltekniskt korrekt bild definieras som en äkta 1:1-kopia av hela disken utan någon tolkning av det tillgängliga filsystemet. Det backas upp " hela disken " och inte bara en enda partition. För att kontrollera rätt match till den ursprungliga lätt som helst, bör kopiorna produceras också autentiseras. Detta görs vanligen genom att den kryptografiska beräkningen av ett hashvärde för skivan och dess kopia.

De vanliga Imageing verktygen är optimerade främst för användning inom backup -och utlösningsområde och oftast skapar ingen riktig 1:1-kopia av hela hårddisken, vilket är oberoende av filsystem som används. De är därför inte lämplig för att skapa en forensisk riktig kopia.

Redan en Knoppix CD innehåller alla verktyg.

Systemprogrammet dd , som finns i alla Linux-distribution , däremot uppfyller alla dessa krav , och var således på Computer Forensic Tool Testing Program av den amerikanska regeringen själv överlägsen kommersiella kriminalteknik -paket . En annan fördel med Linux till en Windows- lösning är att det faktiskt kan vara skrivskyddad drivs och kopieras under Linux disk (med hjälp av en extra hårdvara skriv blockerare är givetvis alltid rekommenderas ) . Skapandet av en forensically korrekt bild av en Windows-dator med en intern IDE- hårddisk kan se ut med hjälp av Knoppix till exempel:

• Se till att datorn kan starta från en CD-skiva (hårddisk kabel ta bort och testa startprocessen)

• känga med en Konppix CD (för samtliga fall med " no swap "-alternativet )

• Källenhet Montera INTE

• Montera målenheten (t.ex. extern USB- disk) läs-och skriv

• en rot skal öppen

• Använd följande kommandon först skapa en md5 hash av den kopierade skivan, skapa en bild av disken, och i slutet var en md5 - hash från källskivanoch skapa sin image

o md5sum/dev / hda > / mnt/sda1/säkring/minahdd.md5

Alla beräknade hash värden måste matcha. Detta är inte fallet det finns fel (t.ex. avläsningsfel hos skivan) när man skapar kopian. De bör också förvaras säkert med den skapade kopian. (Om det är möjligt, kan du göra en utskrift av nummertecken värden från ett vittne.)

Om den skapade bilden senare kommer att brännas till CD eller DVD (eller använd destinationspartitionen ett filsystem som endast har stöd för filer <= 2GB), och den delade kommandot lätt delas upp i lämpliga bitar.

AIR - Automated Image and Restore

En mycket enklare drift av den ovan nämnda Command-line verktyget erbjuder AIR. GUI front-end till dag / dcfldd stöder autentisering via MD5/SHA1 hash beräkning, SCSI-bandstationer, bilden skapas över en TCP / IP-nätverk och en fullständig sessionsloggning.

AIR bygger på de befintliga kommandoradsverktyg och representerar inte ett nytt verktyg, vilket är särskilt viktigt för att verifiera dess riktighet.


ODESSA

Den open source-projekt ODESSA - öppna digitala bevis husrannsakan och beslag Arkitektur är för närvarande fortfarande i utvecklingsfasen. En komponent i Open Data Dupliceringsapparaten finns redan tillgänglig och har stöd för att skapa rättsmedicinska kopior med hjälp av en klient/server struktur över ett nätverk. Om ett plugin-gränssnitt kan redan under skapandet av bilden av den första analysen, till exempel en Keywortsuche göras.



  • Comments(0)//info.it-losningar-och-it-sakerhet.se/#post4

Computer Forensics : Linux som plattform för dator råd

IT ForensikPosted by Jörgen Halex Tue, March 18, 2014 10:40:37

Computer Forensics : Linux som plattform för dator råd

Fördelarna med öppen källkod -lösningar i allmänhet är fortfarande mycket i termer av Linux som plattform för rättsmedicinska undersökningar . En fullständig presentation av alla punkter som kan vara Linux i denna miljö särskilt lämpligt visas, är utanför ramen för den här sidan . Följande lista är därför endast avsedd som förslag och inresa och nämner några av dator kriminalteknik särskilt viktiga punkter.

• Allt, inklusive hårdvara, är en fil och kan behandlas som sådan (nyttjanderätt, R/W tillgång , etc. )

• Stöd för många populära filsystem tillgängliga

• filer (bilder) kan monteras som en loopback -enhet

• Säker, minimalt invasiv analys av ett system som oftast utan att använda speciell hårdvara eller mjukvara skriv blockerare möjligt

• Omdirigering av standard ut efter ingången (kommando chaining)

• Övervakning och loggning av processer och kommandon som stöds

• Möjlighet att visa källkoden för systemet liksom de flesta verktygen

• Enkel (allting är relativt; -) förmåga att skapa skrivskyddade startbar media (disketter, CD-skivor, USB-minnen) och därför en liten produktion av en "betrodd miljö "

• En out - of-the - box Linux ger redan en hel del, användbara verktyg för kriminaltekniska ändamål.



  • Comments(0)//info.it-losningar-och-it-sakerhet.se/#post3

Computer Forensics : Varför Open Source ?

IT ForensikPosted by Jörgen Halex Tue, March 18, 2014 10:36:13

Computer Forensics : Varför Open Source ?

Tänk dig att du är en expert, har genomfört en rättsmedicinsk undersökning och presentera resultatet av din datoriserade rapport till domstolen. Vid användning av Open Source -verktyg, kan du inte ta med frågor som denna, åtminstone teoretiskt från resten, eller hur?

• Gör din programvara fel?

• Hur vet jag att programmet gör vad den säger att den gör?

• Kan du validera personligen, har det gjorts i detalj med uppgifterna?

Detta är naturligtvis inte den enda anledningen som talar i detta känsliga område för användning av öppna standarder, metoder och verktyg. Totalt sett är den största fördelen med open source-lösningar, men säkert i sin öppenhet ner till kodnivå. Detta kommer

Mycket enklare • kontrollerar riktigheten av tredje part (peer review )

• Insikter i alla tekniska aspekter av möjliga (inlärningseffekter)

• tillägg och inriktningar i princip även möjligt (slå verktyget! )

• eliminerar sårbarheter oftast mycket snabbare

Dessutom kan en användning av verktyg från olika leverantörer och utvecklare (nästan) enbart med hjälp av öppna gränssnitt och dataformat.



  • Comments(0)//info.it-losningar-och-it-sakerhet.se/#post2

Computer Forensics

IT ForensikPosted by Jörgen Halex Tue, March 18, 2014 10:32:04

Computer Forensics - en definition

"Computer forensics is the scientific examination and analysis of data held on, or retrieved from, computer storage media in such a way that the information can be used as evidence in a court of law." (zitiert von DIBS USA Inc)

I analogi med rättsläkarens kontor skulle kunna överväga Computer Forensics för en tillämpning av datavetenskap till varje typ av lagrade data i syfte att söka efter ledtrådar och bevis. Således är resultaten (finns eller inte finns bara data) som används i domstol som bevis, är det nödvändigt att iaktta vissa principer.

Detta omfattar huvudsakligen:

Minimera dataförlust

Spela in vad som helst, ändra något möjligt

Utför analys endast på kopior (aldrig röra original)

Presentera resultat neutral, verifierbar och spårbar

Från detta kan man härleda följande process för en rättsmedicinsk undersökning:

Skapa en kriminaltekniskt korrekt bild av elektroniskt lagrade data (forensisk ljudbild)

Verifiera den här bilden

Analysera lagrade data

neutralt, faktabaserad och opartisk rapportering i form av ett yttrande

Visst det kommer utöver den korrekta användningen av de nödvändiga verktygen för att särskilt på kompetens och trovärdighet hos den som utför undersökningen.



  • Comments(0)//info.it-losningar-och-it-sakerhet.se/#post1

IT Forensik

IT ForensikPosted by Jörgen Halex Sun, February 16, 2014 22:16:02

I detta avseende är det kriminalteknik betraktas som dataanalys för utredning av incidenter. Detta inkluderar tekniker för incidenthantering (engelska incidenthantering). Det innebär att rättsmedicinska undersökningar och förfaranden även för hantering av supportärenden, det vill säga maskin-och programvara fel och felaktig användning av användaren, är lämpliga.
En betydande utökning av möjligheterna för digital kriminalteknik av denna uppfattning beror på integrationen av den strategiska beredningen. I väntan på incidenter och långt före ankomsten av åtgärder kan vidtas, som avsevärt kan förbättra kvaliteten på resultaten av rättsmedicinsk undersökning här.

En viktig konsekvens av detta synsätt är att IT- Forensic redan börjar med den strategiska förberedelsen. Här, på dator kriminalteknisk som ett sätt brottsbekämpning integrerad i den presenterade strategin och användningsområden vars tekniker och acceptabla metoder .en händelse, som först identifierades som ett stöd så, men efter det att i riktlinjerna föreslagna strategin är under behandling, kan därför värdefullt utbud och värdefull information när orsaken senast avsikt inducerat fel upptäcks. För att understryka detta, låt exempel här är en dubblett IP-adress i en stor lokal kallade Network . Beroende på nätverksstrukturen, sökandet efter den var orsaken till olyckan mycket tidsödande med konventionella medel. go
Men du metodiskt använda innan IT-Forensic, finner vi det orsak snabbare. Om det sedan dessutom med förorenaren till en obehörig klient handel skador avsikt var samma steg av det infallande beslutsamhet, det krävs bevis för accepterade sättet uppsamlas.

Avsnitt av kriminaltekniska processens


Tidpunkten för en kriminalteknisk undersökning är uppdelad i detta

• den strategiska förberedelser,
• den operativa förberedelser,
• datainsamling,
• utredningen,
• analys och data
• dokumentationen.


Grundläggande metoder

Som en andra aspekt av modellen av kriminaltekniska sex grundläggande fundamentala metoder införs. Dessa är följande:

• metoder för OS;
• Metoder för filsystemet;
• Explicita metoder för intrångsdetektering;
• Metoder för en IT-program;
• Metoder för skalning möjligheterna till bevis;
• Metoder för behandling och utvärderingsuppgifter.


Den är systematiskt identifieras och beskrivs hur de enskilda metoder
arbete och den rättsmedicinska processen i utredningssteg
kan stödja. Sambanden mellan de grundläggande sådana är
Metoder som illustreras i den totala processen.
För utvalda exemplariska kriminaltekniska verktyg också beskriver
hur verktyget skall klassificeras, det vill säga i vilken undersökningen steg den
kan hjälpa till.

Kriminaltekniska datatyper


I noterna om operativsystem och filsystem som för närvarande
ingår vanligt och Microsoft Windows XP/2003 (i en översikt MS
Vista / Server 2008) och Linux openSUSE Linux och NTFS filsystem,
FAT, EXT och utvalda anknytningar beskrivs.
Den sista aspekten av de åtta kriminaltekniska datatyper presenteras. Detta
Kategorisering gör både de olika indata för
kriminaltekniska verktyg samt utdata att kategorisera detta.
• Hårdvara uppgifter
• Rådata innehåll
• Mer information om uppgifter
• Konfigurationsdata
• Kommunikationsprotokoll uppgifter
• Processdata
• Session uppgifter
• Användardata
Fördelen med denna systematisk klassificering ligger i deras oberoende från
speciella kriminaltekniska mjukvaruprodukter.















  • Comments(0)//info.it-losningar-och-it-sakerhet.se/#post0