[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

forensic analysis Re: [linux] aie aie aie



http://www.foo.be/gt/forensic/

Une petite introduction pour l'analyse légale. 

-- 
---
Alexandre Dulaunoy
  Work    : http://www.conostix.com/       adulau@conostix.com
  Private : http://www.thinkingsecure.com/ adulau@thinkingsecure.com

"Liberty is the great parent of science and of virtue; and a nation will
be great in both in proportion as it is free. " T. Jefferson



On Sat, 2 Mar 2002, Alain EMPAIN wrote:

> On Saturday 02 March 2002 12:18, you wrote:
> > On Wed, Feb 27, 2002 at 04:10:11PM +0100, Daniel Gois wrote:
> > > Bonjour à tous,
> > >
> > > Que je vous explique, j'ai la suse 7.3, j'ai laissé mon ordinateur allumé
> 
> > Il faut vérifier tes fichiers log, et essayer d'y trouver les passages
> > anormaux. Bien que s'il est intelligent il aura effacé ses traces. Comme il
> > risque d'avoir modifié tes outils système, j'installerais un nouveau
> > système sur un autre disque, et à partir de ce nouveau système
> > j'analyserais le système vérolé.
> 
> plus simplement, démarrer avec le cd1 en mode rescue (système en ram) et 
> monter à la main les partitions à vérifier.
> 
> 'fdisk -l'    liste ce qu'il y a comme partitions (aide mémoire)
> 'mount /dev/hda3 /mnt'   (par ex)
> 
> il peut y avoir des dir bien cachées ( ex '.. ' : ressemble à '..' mais avec 
> un espace en plus
> 
> les outils de base sur le HD (top ps etc) peuvent etre changés pour ne pas 
> monter ce qu'on cherche...
> 
> 
> une procédure toute simple : écraser tout le /mnt/sbin /mnt/usr/sbin /mnt/bin 
> et /mnt/usr/bin  par ce qu'il se trouve actuellement dans le rescue fs  
> (vient d'etre chargé du CD rescue)
> 
> si /mnt/bin est bien ton /bin du HD vérolé : 
>   cp /bin/*     /mnt/bin  va 'dévéroler'  cette directory essentielle  etc.
> 
> 
> 

_______________________________________________
Linux Mailing List
Archives: http://unixtech.be/mailman/listinfo/linux