Então, o que é esta opção "Start BackTrack Forensics"?
LiveCDs e Forense
Durante muito tempo, agora, CDs de Linux, em formato Live CDs têm sido muito úteis para fins de aquisição forenses nos casos em que por um motivo ou outro você não pode utilizar um hardware bloquear a gravação. Quando não está configurado para drives automount e um pouco de know-how, um LiveCD Linux pode ser um software maravilhoso para bloquear a gravação. Para um LiveCD Linux pode ser considerado para esse fim no entanto, é de extrema importância que a utilização do LiveCD Linux onde nada pode ser alterado nos dados de qualquer maneira. No passado, estava descartada a utilização de Backtrack para fins forenses. O Backtrack seria unidades disponíveis (automount) e utilizar as partições de swap, quando disponíveis. Isso poderia causar todos os tipos de estragos, alterando e montando várias vezes, alterando os dados no disco, e assim por diante. O Backtrack 4 Live CD incorporou mudanças para permitir que um modo de inicialização limpoe para forense. Esta é uma grande notícia, tal como acontece com Backtrack ser popular como um LiveCD
Como?
Então, vamos ver o que coletar. Pessoas de Forense são muitas vezes detalhistas e muito conservadoras, então como é que sabemos que é seguro usar? Bem, primeiro fora do 4 Backtrack Live CD é baseado fora de Casper e não contém scripts filesystem automount em tudo. Os scripts de inicialização do sistema podem ter sido alterados no modo de boot forense para que Backtrack 4 não iria procurar ou fazer uso de qualquer partição swap que estão contidos no sistema. Todos os scripts foram retirados do sistema.
Verificação
Para testar esta funcionalidade, nós temos testado esse modo de boot com configurações de hardware múltiplas. Para cada teste, nós pegamos um snapshot antes MD5 dos discos do sistema, iniciado no modo de inicialização BT4, verificaram que não houve sistemas de arquivos foram montados e swap não estava em uso, fez uma série de atividades sobre o sistema, em seguida, desligar o sistema de volta e depois um MD5 no snapshot. Na comparação dos dois MD5 dos snapshots, em cada caso se tratasse de uma partida, demonstrando nenhuma alteração nos discos foi feita. Assim, você pode confiar Backtrack 4 para fins forenses? Bem, não até você verificar que é tão bom assim! Assim como qualquer instrumento legal, a sua negligência para apenas ter a palavra de alguém que qualquer ferramenta funcionaria corretamente. Você até pode verificar de forma independente da ferramenta antes de usá-lo. Esperamos que seus resultados coincidem com as nossos e você vai encontrar no Backtrack 4 um ótimo complemento para o seu programa definido. (E, se os seus resultados encontrar um problema, por favor deixe-nos saber o mais rápido possível e incluir detalhes sobre a forma como você conduziu o seu teste. Como, isso seria um problema real.)
Uso
Quando você utiliza Backtrack para fins forenses, não se esqueça que você não pode deixá-lo passar por um boot automático. O boot default para Backtrack é o modo de boot padrão, que irá utilizar as partições de swap, se eles estão presentes. Há um atraso muito agradável no entanto, assim você terá tempo de sobra para escolher o modo de boot apropriado. Além disso, lembre-se, esta é uma distribuição Linux. É altamente recomendável que você se familiarizar com o Linux antes de usar este ou qualquer outro Linux Live CD para qualquer efeito legal. Além disso, não se esqueça de verificar as ferramentas adicionais forense adicionadas no Backtrack 4. Nós nos concentramos na adição de imagens e ferramentas de triagem, mas se você achar que um dos seus utilitários favoritos, não está em vigor entre em contato conosco para que possamos olhar para o ter adicionado.
0 comentários:
Postar um comentário