Jeux d'ordinateur
Réponse de Windows Live et Computer Forensics
Quand un PC sous Windows est impliqué dans l'investigation informatique, il ya plusieurs choix pour procéder à toute investigation informatique légale. Les étapes sont dictées par le scénario global.
Il peut y avoir des moments où l'ordinateur ne peut pas être retiré du réseau pour l'analyse en raison des perturbations qui peuvent résulter des activités de réseautage, ou l'absence d'une unité de remplacement approprié. À d'autres moments, la seule preuve de toute incidence peut être les données qui sont actuellement en mémoire. Ces situations peuvent exiger ce qui est connu comme le Processus de réponse aux incidents Live.
La réponse en direct recueille toutes les données pertinentes du système de confirmer si un incident est survenu. Les données recueillies lors d'une intervention en direct se compose de deux ensembles principaux:
Données volatiles
Les données volatiles sont des données qui ne sont pas stockées mais existe temporairement. Un processus de réponse en direct devrait contenir des informations telles que les connexions actuelles, les processus qui s'exécutent et les fichiers qui sont ouverts. d'autre part, il y aurait aussi des données non volatile.
Non-volatile de données
Les données recueillies au cours de la réponse non volatile vivants tels que les journaux du système peuvent être collectées dans un format facilement lisible au lieu o les données habituelles files.This binaires peuvent être disponibles pendant la duplication légale régulière, mais il sera difficile de sortie dans un format agréable après que l'ordinateur a été coupée.
Les données en temps réel sont collectées par l'exécution d'un série de commands.Each commande produit des données qui seraient normalement envoyés à la console. Les données doivent être sauvegardées pour une analyse approfondie et doit être transmise à la station de travail médico-légal au lieu de le disque dur local. Le poste de travail médico-légal devrait être une machine isolée que l'enquêteur légiste considère dignes de confiance. La chance d'écraser toute preuve sur le disque local est alors évité, si une duplication légiste est tard désiré. Il existe plusieurs méthodes pour transférer des données vers le poste de travail médico-légal
La première méthode utilise ce qu'on appelle le «couteau suisse» ou autrement connu comme netcat. Netcat crée simplement TCP ou Transmission Control Protocol canaux. Netcat peut être exécuté en mode écoute comme un serveur telnet ou en mode de connexion, comme, le client telnet.
Une variante de cryptcat nommée Netcat peut aussi être utilisé dans la plupart des cas, car il crypte les données à travers les canaux TCP. Cryptcat utilise le même ligne de commande que Netcat, tout en offrant les avantages supplémentaires de sécurité et d'authentification. Des intrus peuvent être détectés que les bits éditée sera affiché comme en clair sur le poste de travail médico-légal.
Le système de réponse en direct offre plusieurs avantages, car elle vous permet d'observer les intrus et de détecter leurs mouvements en temps réel à leur insu. Il existe des outils qui renverra les utilisateurs qui sont actuellement connecté au système ou accéder à la part des ressources et quelle capacité est impliqué.
Données vitales de la réponse en direct: Le plus d'informations à recueillir et à comprendre est la date et l'heure système, et il peut aussi être le plus important de toute enquête, mais peut facilement être manquée.
Connexions réseau actuel: Il est tout à fait possible d'exécuter le processus de réponse en direct tout intrus sont connectés au serveur et les ports ouverts peuvent également être facilement détectées.
Routage: La réponse en direct permettra de détecter facilement les mouvements attaquants de discerner ses intentions. Serveurs compromis sont souvent utilisés pour rediriger le trafic. L'avantage de la redirection du trafic, est d'éviter les dispositifs de sécurité tels qu'un pare-feu. La table de routage peuvent être examinés pour observer les routes données.
Le processus Windows Réponse en direct peuvent être très précieux pour le chercheur en informatique judiciaire, car elle facilite la collecte de données facilement vitale souvent nécessaire dans de nombreux incidents où les ordinateurs peuvent être impliqués. enquêtes.
Source de l'article: http://EzineArticles.com/6374348
Il peut y avoir des moments où l'ordinateur ne peut pas être retiré du réseau pour l'analyse en raison des perturbations qui peuvent résulter des activités de réseautage, ou l'absence d'une unité de remplacement approprié. À d'autres moments, la seule preuve de toute incidence peut être les données qui sont actuellement en mémoire. Ces situations peuvent exiger ce qui est connu comme le Processus de réponse aux incidents Live.
La réponse en direct recueille toutes les données pertinentes du système de confirmer si un incident est survenu. Les données recueillies lors d'une intervention en direct se compose de deux ensembles principaux:
Données volatiles
Les données volatiles sont des données qui ne sont pas stockées mais existe temporairement. Un processus de réponse en direct devrait contenir des informations telles que les connexions actuelles, les processus qui s'exécutent et les fichiers qui sont ouverts. d'autre part, il y aurait aussi des données non volatile.
Non-volatile de données
Les données recueillies au cours de la réponse non volatile vivants tels que les journaux du système peuvent être collectées dans un format facilement lisible au lieu o les données habituelles files.This binaires peuvent être disponibles pendant la duplication légale régulière, mais il sera difficile de sortie dans un format agréable après que l'ordinateur a été coupée.
Les données en temps réel sont collectées par l'exécution d'un série de commands.Each commande produit des données qui seraient normalement envoyés à la console. Les données doivent être sauvegardées pour une analyse approfondie et doit être transmise à la station de travail médico-légal au lieu de le disque dur local. Le poste de travail médico-légal devrait être une machine isolée que l'enquêteur légiste considère dignes de confiance. La chance d'écraser toute preuve sur le disque local est alors évité, si une duplication légiste est tard désiré. Il existe plusieurs méthodes pour transférer des données vers le poste de travail médico-légal
La première méthode utilise ce qu'on appelle le «couteau suisse» ou autrement connu comme netcat. Netcat crée simplement TCP ou Transmission Control Protocol canaux. Netcat peut être exécuté en mode écoute comme un serveur telnet ou en mode de connexion, comme, le client telnet.
Une variante de cryptcat nommée Netcat peut aussi être utilisé dans la plupart des cas, car il crypte les données à travers les canaux TCP. Cryptcat utilise le même ligne de commande que Netcat, tout en offrant les avantages supplémentaires de sécurité et d'authentification. Des intrus peuvent être détectés que les bits éditée sera affiché comme en clair sur le poste de travail médico-légal.
Le système de réponse en direct offre plusieurs avantages, car elle vous permet d'observer les intrus et de détecter leurs mouvements en temps réel à leur insu. Il existe des outils qui renverra les utilisateurs qui sont actuellement connecté au système ou accéder à la part des ressources et quelle capacité est impliqué.
Données vitales de la réponse en direct: Le plus d'informations à recueillir et à comprendre est la date et l'heure système, et il peut aussi être le plus important de toute enquête, mais peut facilement être manquée.
Connexions réseau actuel: Il est tout à fait possible d'exécuter le processus de réponse en direct tout intrus sont connectés au serveur et les ports ouverts peuvent également être facilement détectées.
Routage: La réponse en direct permettra de détecter facilement les mouvements attaquants de discerner ses intentions. Serveurs compromis sont souvent utilisés pour rediriger le trafic. L'avantage de la redirection du trafic, est d'éviter les dispositifs de sécurité tels qu'un pare-feu. La table de routage peuvent être examinés pour observer les routes données.
Le processus Windows Réponse en direct peuvent être très précieux pour le chercheur en informatique judiciaire, car elle facilite la collecte de données facilement vitale souvent nécessaire dans de nombreux incidents où les ordinateurs peuvent être impliqués. enquêtes.
Source de l'article: http://EzineArticles.com/6374348
0 commentaires:
Enregistrer un commentaire