[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
forensic analysis Re: [linux] aie aie aie
http://www.foo.be/gt/forensic/
Une petite introduction pour l'analyse légale.
--
---
Alexandre Dulaunoy
Work : http://www.conostix.com/ adulau@conostix.com
Private : http://www.thinkingsecure.com/ adulau@thinkingsecure.com
"Liberty is the great parent of science and of virtue; and a nation will
be great in both in proportion as it is free. " T. Jefferson
On Sat, 2 Mar 2002, Alain EMPAIN wrote:
> On Saturday 02 March 2002 12:18, you wrote:
> > On Wed, Feb 27, 2002 at 04:10:11PM +0100, Daniel Gois wrote:
> > > Bonjour à tous,
> > >
> > > Que je vous explique, j'ai la suse 7.3, j'ai laissé mon ordinateur allumé
>
> > Il faut vérifier tes fichiers log, et essayer d'y trouver les passages
> > anormaux. Bien que s'il est intelligent il aura effacé ses traces. Comme il
> > risque d'avoir modifié tes outils système, j'installerais un nouveau
> > système sur un autre disque, et à partir de ce nouveau système
> > j'analyserais le système vérolé.
>
> plus simplement, démarrer avec le cd1 en mode rescue (système en ram) et
> monter à la main les partitions à vérifier.
>
> 'fdisk -l' liste ce qu'il y a comme partitions (aide mémoire)
> 'mount /dev/hda3 /mnt' (par ex)
>
> il peut y avoir des dir bien cachées ( ex '.. ' : ressemble à '..' mais avec
> un espace en plus
>
> les outils de base sur le HD (top ps etc) peuvent etre changés pour ne pas
> monter ce qu'on cherche...
>
>
> une procédure toute simple : écraser tout le /mnt/sbin /mnt/usr/sbin /mnt/bin
> et /mnt/usr/bin par ce qu'il se trouve actuellement dans le rescue fs
> (vient d'etre chargé du CD rescue)
>
> si /mnt/bin est bien ton /bin du HD vérolé :
> cp /bin/* /mnt/bin va 'dévéroler' cette directory essentielle etc.
>
>
>
_______________________________________________
Linux Mailing List
Archives: http://unixtech.be/mailman/listinfo/linux