در یک فایل پیکربندی syslog مشخص کننده سرور از راه دور جایی که سیاههها ارسال می شوند.
•
هنگامی که سیستم موضوع به خطر بیفتد و افراد متجاوز یا بدافزار بتوانند در گزارش های محلی دستکاری کنند ، یک منبع متمرکز از سیاههها می تواند یک مزیت قابل توجه باشد.
معرفی
در راهنمای زمینه پزشکی قانونی بدافزار برای سیستم های لینوکس ، 2014 - خدمات اکتیو شبکه در تهران
متدولوژی سازمان یافته
method روش کلی این راهنمای میدانی برای مقابله با حوادث بدافزار تحقیقات را در پنج مرحله متوقف می کند:
مرحله 1: حفظ پزشکی قانونی و بررسی داده های فرار (فصل 1)
مرحله 2: بررسی حافظه (فصل 2)
مرحله 3: تجزیه و تحلیل پزشکی قانونی: بررسی دیسک های سخت (فصل 3)
مرحله 4: پروفایل پرونده یک پرونده ناشناخته (فصل 5)
مرحله 5: تجزیه و تحلیل پویا و استاتیک نمونه بدافزار (فصل 6)
▸ در هر یک از این مراحل ، روشها و اهداف رسمی تأکید شده است تا به محققان دیجیتال کمک کند تا تصویر واضحی از وقایع مربوط به آلودگی بدافزار را بازسازی کرده و درک دقیقی از خود بدافزار بدست آورند. روش های ذکر شده در این کتاب به عنوان چک لیست نیست که کورکورانه دنبال شود. محققان دیجیتال همیشه باید تفکر انتقادی را در مورد آنچه مشاهده می کنند اعمال کنند و بر این اساس تنظیم کنند.
▸ هر زمان امکان پذیر باشد ، تحقیقات مربوط به بدافزار باید فراتر از یک رایانه در معرض خطر باشد ، زیرا کدهای مخرب اغلب از طریق شبکه روی رایانه قرار می گیرند و بیشتر بدافزارهای مدرن دارای عملکرد مربوط به شبکه هستند. کشف سایر منابع شواهد ، مانند سرورهای موجود در اینترنت که بدافزار برای بارگیری م componentsلفه ها یا دستورالعمل ها با آنها تماس می گیرد ، می تواند اطلاعات مفیدی درباره نحوه ورود بدافزار به رایانه و کارهایی که پس از نصب آن انجام داده ، فراهم کند.
▸ علاوه بر سیستم های حاوی مصنوعات مصالحه ، سایر منابع شبکه و داده برای تحقیقات شما ارزشمند هستند. برای مثال ، مقایسه نوارهای پشتیبان موجود در سیستم در معرض خطر با وضعیت فعلی سیستم ، ممکن است ویژگی های رفتاری اضافی بدافزار ، ابزارهایی را که هکر بر جای گذاشته است ، یا پرونده های قابل بازیابی حاوی داده های منفجر شده را کشف کند. همچنین بررسی گزارش های متمرکز از طریق عوامل ضد ویروس ، گزارشات مربوط به ابزار بررسی یکپارچگی سیستم مانند Tripwire و گزارش های سطح شبکه ، برنامه و پایگاه داده.
fore پزشکی قانونی شبکه می تواند نقشی اساسی در حوادث بدافزار داشته باشد ، اما این موضوع گسترده از حوصله راهنمای میدانی ما خارج است. یکی از کارهای قبلی نویسنده 37 شامل ابزارها و تکنیک هایی برای جمع آوری و استفاده از منابع مختلف شواهد در شبکه است که می تواند هنگام بررسی یک حادثه بدافزار مفید باشد ، از جمله سیستم های تشخیص نفوذ ، سیاهههای مربوط به NetFlow و ترافیک شبکه. این گزارش ها می توانند استفاده از سو explo استفاده های خاص ، اتصال بدافزار به آدرس های IP خارجی و نام پرونده های سرقت شده را نشان دهند. اگرچه قبل از کشف مشکلی به طور بالقوه در دسترس نیست ، اما سیاهههای مربوط به منابع شبکه که در حین تحقیقات پیاده سازی شده اند ، ممکن است شواهد قابل توجهی از فعالیتهای جاری را به دست آورند.
▸ بخاطر داشته باشید که مدیران شبکه ، صاحبان سیستم و کاربران رایانه با مصاحبه خوب اغلب به ایجاد بهترین تصویر از آنچه واقعاً رخ داده کمک می کنند.
▸ سرانجام ، به عنوان مکرر از محققان دیجیتال خواسته می شود برای اهداف تحقیق ، تجزیه و تحلیل بدافزار را انجام دهند که ممکن است منجر به پیگیری قربانی برای مدنی یا کیفری شود ، اطمینان از اطمینان و اعتبار یافته ها به معنای انطباق با یک منظر قانونی و نظارتی اغلب پیچیده است. ظهور محیط های چند پلتفرمی ، ابری و BYOD بر پیچیدگی می افزاید ، زیرا تکنیک ها و استراتژی های تحقیق نه تنها باید با فن آوری های گوناگون بلکه مسائل پیچیده مالکیت در میان شرکت ها ، افراد و اشخاص ثالث قراردادی تنظیم شوند. فصل 4 ، اگرچه جایگزینی برای دریافت مشاوره و مشاوره حقوقی قانونی نیست ، اما برخی از این نگرانی ها را بررسی می کند و برخی از الزامات قانونی یا محدودیت هایی را که ممکن است حاکم بر دسترسی ، حفظ ، جمع آوری و جابجایی داده ها و مصنوعات دیجیتالی کشف شده در تحقیقات پزشکی قانونی بدافزار باشد ، مورد بحث قرار می دهد. محیط های چند وجهی.
پزشکی قانونی پس از مرگ
Cameron H. Malin ، ... James M. Aquilina ، در راهنمای زمینه پزشکی قانونی بدافزار برای سیستم های ویندوز ، 2012
سیستم فایل ویندوز را بررسی کنید
the سیستم پرونده را برای ردیابی های باقی مانده از بدافزار جستجو کنید.
structures ساختار داده های سیستم فایل می تواند مقدار قابل توجهی از اطلاعات مربوط به حادثه بدافزار را شامل شود ، از جمله زمان وقایع و محتوای واقعی بدافزار. با این حال ، بدافزار به طور فزاینده ای برای خنثی کردن تجزیه و تحلیل سیستم فایل طراحی می شود. برخی از بدافزارها تمبرهای تاریخ روی پرونده های مخرب را تغییر می دهند تا یافتن آنها با تجزیه و تحلیل خط زمان دشوارتر شود. بدافزارهای دیگر برای بارگیری اجزای مدولار از اینترنت و فقط ذخیره آنها در حافظه طراحی شده اند تا میزان داده های ذخیره شده در سیستم فایل را به حداقل برسانند. برای مقابله با چنین تکنیک های ضد پزشکی قانونی ، توجه دقیق به تجزیه و تحلیل خط زمان از تمبرهای تاریخ-زمان سیستم فایل و پرونده هایی که در مکان های مشترکی که بدافزار مهاجرت می کند ، لازم است.
پاسخ ها