Chap 7 Investigation Overview
這一節在說:
偵查目的:找出 1.是否有問題 2.「如何」被侵入
==>注意一個重點:「Forensic/Investigation」並沒有考慮到「回復到可以繼續使用的狀態」這件事,和我所關心的重點可說頗有出入;雖然用的手段在前面很像,可是因著最後的結果不同,所以對於「現狀之完整性」的要求是完全不一樣的…
鑑識人員的組成
去鑑識時的做法(注意:以下兩個方法「建議」只用在不太重要或是中級重要的機器上;最重要的機器這次沒有仔細看,以後有需要的時候再回來看囉)
一、安裝工具(spyware, trojan horse, anti-virus)
注意這個「安裝」,表示這對檔案系統、Registry是破壞性的(新寫了東西進去)
二、用「安全的media」,如CD,當中不需「安裝」的軟體(或根本就是script)來收集資訊
==>一再強調,讓我了解 Forensic 和 Rescue 畢竟是不一樣的;所以有「完整性」的要求…
==>注意:像dir這類指令是不會影響檔案的access time等的時間,所以在開啟「任何」檔案前,這類的資訊要先收集起來
沒有留言:
張貼留言