alware با جستجوی فایلها و دایرکتوری های نرمال (غیر خاص).
•
به دنبال پرونده ها و دایرکتوری های غیرمعمول یا پنهان مانند ".." (نقطه نقطه) و ".. ^ G" (نقطه نقطه کنترل-G) باشید ، زیرا این موارد می توانند برای پنهان کردن ابزارها و اطلاعات ذخیره شده در سیستم استفاده شوند.
•
متجاوزان بعضی اوقات نسخه های set / set / bin / sh را روی یک سیستم می گذارند تا بعداً بتوانند به سطح ریشه دسترسی پیدا کنند. محققان دیجیتال می توانند از دستورات زیر برای یافتن پرونده های ریشه تنظیم شده در کل سیستم فایل استفاده کنند:
find / mnt / proof-root user -perm -04000 –print
•
وقتی یک بدافزار در یک دایرکتوری خاص یافت می شود (به عنوان مثال / dev یا / tmp) ، بازرسی از سایر پرونده های موجود در آن فهرست ممکن است بدافزار اضافی ، گزارش های مربوط به اسنیفر ، پرونده های پیکربندی و پرونده های سرقت شده را نشان دهد.
•
جستجوی پرونده هایی که نباید در سیستم در معرض خطر قرار بگیرند (به عنوان مثال ، کتابخانه های موسیقی غیرقانونی ، warez و غیره) می تواند یک نقطه شروع برای تجزیه و تحلیل بیشتر باشد. به عنوان مثال ، محل قرارگیری اینگونه پرونده ها یا تاریخ قرارگیری این پرونده ها بر روی سیستم ، می تواند تمرکز تجزیه و تحلیل پزشکی قانونی را در یک منطقه یا دوره زمانی خاص کاهش دهد.
•
تحلیل خط زمانی یکی از قدرتمندترین تکنیک ها برای سازماندهی و تجزیه و تحلیل اطلاعات سیستم فایل است. تلفیق تمبرهای مربوط به بدافزار و پرونده های مربوط به سیستم مانند اسکریپت های راه اندازی و پرونده های پیکربندی برنامه ، می تواند منجر به بازسازی روشن حوادث مربوط به حادثه بدافزار شود ، از جمله بردار اولیه حمله و محاصره بعدی و سرقت داده ها.
ابزارهای ایجاد خطوط زمانی از سیستم فایلهای لینوکس ، از جمله plaso که شامل ورودی های log است ، در بخش جعبه ابزار بحث شده است.
•
تمبرهای تاریخ پاک شده inode های حذف شده را برای تعداد زیادی پرونده که در همان زمان حذف می شوند ، مرور کنید ، که ممکن است نشان دهنده فعالیت های مخربی مانند نصب روت کیت یا سرویس Trojanized باشد.
•
از آنجا که اینودها بر اساس یک بعدی موجود تخصیص می یابند ، ممکن است پرونده های مخربی که تقریباً در همان زمان بر روی سیستم قرار می گیرند ، آندهای متوالی اختصاص داده شوند. بنابراین ، پس از یافتن یک م componentلفه از بدافزار ، می تواند بازرسی از inodes همسایه باشد. نتیجه چنین تجزیه و تحلیل اینود این است که در بین باینری های سیستم به جستجوی پرونده هایی با اینودهای خارج از محل بپردازید (Altheide and Casey، 2010). به عنوان مثال ، همانطور که در شکل 3.14 نشان داده شده است ، اگر بدافزار در دایرکتوری / bin یا / sbin قرار داده شده باشد ، یا اگر برنامه ای با نسخه trojanized جایگزین شده باشد ، ممکن است شماره inode به عنوان یک فروشنده ظاهر شود زیرا شماره inode جدید شبیه به تعداد inode پرونده های اصلی دیگر.
برای بارگیری تصویر در اندازه کامل وارد سیستم شوید
شکل 3.14. باینری های Trojanized ifconfig و syslogd in / sbin دارای تعداد inode هستند که تفاوت قابل توجهی با اکثر باینری های دیگر (قانونی) در این فهرست دارند
•
برخی از ابزارهای پزشکی قانونی دیجیتال ورودی های فهرست را به ترتیب حروف الفبا مرتب می کنند نه اینکه آنها را به ترتیب اصلی خود حفظ کنند. وقتی بدافزار یک دایرکتوری ایجاد می کند و ورودی به انتهای لیست دایرکتوری اضافه می شود ، این می تواند مهم باشد. به عنوان مثال ، شکل 3.15 چارچوب پزشکی قانونی دیجیتال را نشان می دهد که محتوای پوشه / dev را در پنجره سمت چپ با ورودی های ذکر شده به ترتیب موجود در فایل دایرکتوری به جای اینکه به ترتیب حروف الفبا سفارش دهید ، نمایش می دهد (ورودی tyyec آخرین بار اضافه شد و شامل rootkit adore است فایل ها). در این شرایط ، آخرین مورد بودن دایرکتوری می تواند در تعیین اینکه اخیراً ایجاد شده است ، مفید باشد ، حتی اگر تمبرهای تاریخ-زمان با استفاده از روش های ضد پزشکی قانونی تغییر کرده باشند.
برای بارگیری تصویر در اندازه کامل وارد سیستم شوید
شکل 3.15. فهرست Rootkit با استفاده از Digital Forensics Framework نمایش داده می شود که نظم فهرست را حفظ می کند
•
هنگامی که بدافزار در سیستم لینوکس شناسایی شد ، مجوزهای پرونده را بررسی کنید تا صاحب آنها را تعیین کنید و اگر مالک آن ریشه ندارد ، به دنبال پرونده های دیگر متعلق به حساب مجرم باشید.
ملاحظات تحقیقاتی
•
محدود کردن دوره زمانی که فعالیت مخربی در رایانه رخ داده است ، معمولاً امکان پذیر است ، در این حالت محققان دیجیتال می توانند برای شناسایی بدافزار و م componentsلفه های مربوط به آن ، از جمله ثبت گزارش های ضبط کلید ضربه ، یک خط زمانی از وقایع روی سیستم ایجاد کنند.
•
بسیاری از تکنیک های پزشکی قانونی برای بررسی سیستم های فایل لینوکس وجود دارد که نیاز به آشنایی با ساختارهای داده ای اساسی مانند جداول inode و ورودی های مجله دارد. بنابراین ، برای کاهش خطر نادیده گرفتن اطلاعات مهم ، برای هر پرونده مهم و دوره زمانی در یک حادثه بدافزار ، توصیه می شود که به روشی روشمند و جامع به الگوهای موجود در inodes مرتبط / اطراف آن ، ورودی دایرکتوری ، نام پرونده و ورودی مجله بپردازید. با استفاده از ابزارهای پزشکی قانونی لینوکس.
•
اگرچه معمول است که زمان تغییر یافته (mtime) پرونده توسط بدافزار جعل می شود ، اما زمان تغییر inode (ctime) به طور معمول به روز نمی شود. بنابراین ، اختلاف بین زمان و زمان ممکن است نشان دهد که تمبرهای تاریخ-زمان به طور مصنوعی دستکاری شده اند (به عنوان مثال ، یک زمان قبل از زمان).
•
ژورنال EXT3 و EXT4 شامل ارجاعاتی به سوابق سیستم فایل است که تقریباً موجود است
بخوانید: مشاور شبکه ترازنت
پاسخ ها