Forense do Linux
Forense do Linux
Este curso irĂĄ familiarizar os alunos com todos os aspectos da anĂĄlise forense do Linux. No final deste curso, os alunos poderĂŁo realizar anĂĄlises ao vivo, capturar dados volĂĄteis, criar imagens de mĂdia, analisar sistemas de arquivos, analisar trĂĄfego de rede, analisar arquivos, realizar anĂĄlise de memĂłria e analisar malware em um sistema Linux com acesso livre disponĂvel. e ferramentas de cĂłdigo aberto. Os alunos tambĂŠm obterĂŁo um conhecimento profundo de como o Linux funciona nos bastidores.
Uma lista nĂŁo exaustiva de tĂłpicos a serem abordados inclui:
- Resposta ao vivo
- Primeiro fale com os humanos
- O que eles acham que aconteceu?
- Detalhes sobre o (s) sistema (s) de vĂtimas
- Kit de resposta de montagem com boas ferramentas conhecidas
- cdrom preferido como nĂŁo era provĂĄvel parte do compromisso
- USB MS pode ser usado se nĂŁo houver CDROM
- Usando o netcat para minimizar a contaminação
- Coletando dados volĂĄteis
- data e hora
- interfaces de rede
- redes engraçadas
- modo promĂscuo?
- conexĂľes de rede
- portas abertas
- programas associados a portas
- processos em execução
- Abrir arquivos
- tabelas de roteamento
- sistemas de arquivos montados
- mĂłdulos do kernel carregados
- Coletando dados para determinar se a anĂĄlise morta ĂŠ justificada
- versĂŁo do kernel
- tempo de atividade
- selos de datetime do filesystem
- valores de hash para arquivos do sistema
- logins de usuĂĄrios atuais
- histĂłrico de login
- logs do sistema
- contas de usuĂĄrio
- arquivos de histĂłrico do usuĂĄrio
- arquivos e diretĂłrios ocultos
- enviando arquivos suspeitos para um estudo mais aprofundado
- Dumping RAM
- Tomar a decisĂŁo de despejar RAM
- Usando fmem
- Usando o LiME
- Usando / proc / kcore
- Adquirindo imagens do sistema de arquivos
- Usando dd
- Usando o dcfldd
- Escrever opçþes de bloqueio
- Distribuiçþes forenses do Linux
- Bloqueador baseado em regras do Udev
- Analisando imagens do sistema de arquivos
- Montando imagens
- Arquivos com informaçþes båsicas do sistema
- Arquivos com informaçþes suspeitas do usuårio
- Examinando logs
- Arquivos relacionados ao processo
- Arquivos relacionados à autenticação
- Usando ferramentas padrão do Linux para encontrar informaçþes
- Arquivos estranhos
- Arquivos regulares em / dev
- Arquivos do histĂłrico do usuĂĄrio
- Arquivos ocultos
- Arquivos SUID / SGID
- Detectando arquivos retroativos
- Recuperando arquivos deletados
- Encontrando arquivos deletados
- Tentando recuperar
- Aproveitando o kit Sleuth (TSK) e autĂłpsia
- mmls
- fsstat
- dstat
- istat
- fls e mactime
- AnĂĄlise da linha do tempo
- Quando o sistema foi instalado, atualizado, inicializado, etc.
- Arquivos recĂŠm-criados (malware)
- Arquivos alterados (trojans)
- Arquivos no lugar errado (exfiltration)
- Indo mais fundo nos sistemas de arquivos Linux
- Editores de disco
- Active @ Disk Editor
- AutĂłpsia
- ExtX
- Noçþes båsicas
- Superblocos
- Entradas de diretĂłrio
- Inodes
- Blocos de dados
- Recursos compatĂveis compatĂveis, incompatĂveis e somente leitura
- Recursos experimentais podem ser instalados
- Código de inicialização
- Usando sigfind para encontrar blocos importantes
- Entendendo os nĂveis de bloqueio indiretos
- istat, ils, ifind, icat
- Links e montagens
- Hash ĂĄrvores
- Journaling
- jls
- jcat
- Localizando dados com blkstat, blkls, blkfind, blkid e blkcalc
- Relacionando dados encontrados com o grep em um arquivo / aplicativo
- Encontrando tamanho de bloco, etc.
- Usando o grep com um arquivo de palavra-chave
- Ver dados no contexto
- Associando um arquivo com os dados
- Excluindo arquivos
- Pesquisando espaço não alocado
- Forense da rede
- Usando snort em capturas de pacotes
- Usando o tcpstat
- Separando conversas com o tcpflow
- Backdoors de rastreamento com tcpflow
- Arquivo forense
- Usando assinaturas de arquivos
- Pesquisando por espaço de troca
- Reconstrução de navegação na Web
- Biscoitos
- HistĂłrico de busca
- Caches do navegador
- Arquivos desconhecidos
- Comparando hashes para saber valores
- Comando de arquivo
- Comando de cordas
- Visualizar sĂmbolos com nm
- Lendo arquivos ELF
- objdump
- Trazendo armas grandes - gdb
- MemĂłria Forense
- Perfis de Volatilidade
- Recuperando informaçþes do processo
- Recuperando Argumentos da Linha de Comandos
- Reconstruindo VariĂĄveis ââde Ambiente
- Listando arquivos abertos
- Recuperando informaçþes bash
- Reconstruindo artefatos de rede
- Informaçþes do Kernel
- Informaçþes do sistema de arquivos volåtil
- Detectando rootkits no modo de usuĂĄrio
- Detectando rootkits do kernel
- Invertendo Malware Linux
- Cavando mais fundo no ELF
- Cabeçalhos
- Seçþes
- Cordas
- Tabelas de sĂmbolos
- Cabeçalhos do programa
- Carregamento do programa
- Ligação Dinâmica
- Ferramentas de anĂĄlise de linha de comando
- cordas
- strace
- ltrace
- Executando malware (com cuidado)
- Configuração da måquina virtual
- Capturando o trĂĄfego de rede
- Aproveitando o gdb
- Escrevendo os relatĂłrios
- AutĂłpsia
- Dradis
- EscritĂłrio aberto
- Primeiro fale com os humanos
- O que eles acham que aconteceu?
- Detalhes sobre o (s) sistema (s) de vĂtimas
- Kit de resposta de montagem com boas ferramentas conhecidas
- cdrom preferido como nĂŁo era provĂĄvel parte do compromisso
- USB MS pode ser usado se nĂŁo houver CDROM
- Usando o netcat para minimizar a contaminação
- Coletando dados volĂĄteis
- data e hora
- interfaces de rede
- redes engraçadas
- modo promĂscuo?
- conexĂľes de rede
- portas abertas
- programas associados a portas
- processos em execução
- Abrir arquivos
- tabelas de roteamento
- sistemas de arquivos montados
- mĂłdulos do kernel carregados
- Coletando dados para determinar se a anĂĄlise morta ĂŠ justificada
- versĂŁo do kernel
- tempo de atividade
- selos de datetime do filesystem
- valores de hash para arquivos do sistema
- logins de usuĂĄrios atuais
- histĂłrico de login
- logs do sistema
- contas de usuĂĄrio
- arquivos de histĂłrico do usuĂĄrio
- arquivos e diretĂłrios ocultos
- enviando arquivos suspeitos para um estudo mais aprofundado
- Dumping RAM
- Tomar a decisĂŁo de despejar RAM
- Usando fmem
- Usando o LiME
- Usando / proc / kcore
- Usando dd
- Usando o dcfldd
- Escrever opçþes de bloqueio
- Distribuiçþes forenses do Linux
- Bloqueador baseado em regras do Udev
- Montando imagens
- Arquivos com informaçþes båsicas do sistema
- Arquivos com informaçþes suspeitas do usuårio
- Examinando logs
- Arquivos relacionados ao processo
- Arquivos relacionados à autenticação
- Usando ferramentas padrão do Linux para encontrar informaçþes
- Arquivos estranhos
- Arquivos regulares em / dev
- Arquivos do histĂłrico do usuĂĄrio
- Arquivos ocultos
- Arquivos SUID / SGID
- Detectando arquivos retroativos
- Recuperando arquivos deletados
- Encontrando arquivos deletados
- Tentando recuperar
- Aproveitando o kit Sleuth (TSK) e autĂłpsia
- mmls
- fsstat
- dstat
- istat
- fls e mactime
- Quando o sistema foi instalado, atualizado, inicializado, etc.
- Arquivos recĂŠm-criados (malware)
- Arquivos alterados (trojans)
- Arquivos no lugar errado (exfiltration)
- Editores de disco
- Active @ Disk Editor
- AutĂłpsia
- ExtX
- Noçþes båsicas
- Superblocos
- Entradas de diretĂłrio
- Inodes
- Blocos de dados
- Recursos compatĂveis compatĂveis, incompatĂveis e somente leitura
- Recursos experimentais podem ser instalados
- Código de inicialização
- Usando sigfind para encontrar blocos importantes
- Entendendo os nĂveis de bloqueio indiretos
- istat, ils, ifind, icat
- Links e montagens
- Hash ĂĄrvores
- Journaling
- jls
- jcat
- Localizando dados com blkstat, blkls, blkfind, blkid e blkcalc
- Relacionando dados encontrados com o grep em um arquivo / aplicativo
- Encontrando tamanho de bloco, etc.
- Usando o grep com um arquivo de palavra-chave
- Ver dados no contexto
- Associando um arquivo com os dados
- Excluindo arquivos
- Pesquisando espaço não alocado
- Noçþes båsicas
- Usando snort em capturas de pacotes
- Usando o tcpstat
- Separando conversas com o tcpflow
- Backdoors de rastreamento com tcpflow
- Usando assinaturas de arquivos
- Pesquisando por espaço de troca
- Reconstrução de navegação na Web
- Biscoitos
- HistĂłrico de busca
- Caches do navegador
- Arquivos desconhecidos
- Comparando hashes para saber valores
- Comando de arquivo
- Comando de cordas
- Visualizar sĂmbolos com nm
- Lendo arquivos ELF
- objdump
- Trazendo armas grandes - gdb
- Perfis de Volatilidade
- Recuperando informaçþes do processo
- Recuperando Argumentos da Linha de Comandos
- Reconstruindo VariĂĄveis ââde Ambiente
- Listando arquivos abertos
- Recuperando informaçþes bash
- Reconstruindo artefatos de rede
- Informaçþes do Kernel
- Informaçþes do sistema de arquivos volåtil
- Detectando rootkits no modo de usuĂĄrio
- Detectando rootkits do kernel
- Cavando mais fundo no ELF
- Cabeçalhos
- Seçþes
- Cordas
- Tabelas de sĂmbolos
- Cabeçalhos do programa
- Carregamento do programa
- Ligação Dinâmica
- Ferramentas de anĂĄlise de linha de comando
- cordas
- strace
- ltrace
- Executando malware (com cuidado)
- Configuração da måquina virtual
- Capturando o trĂĄfego de rede
- Aproveitando o gdb
- AutĂłpsia
- Dradis
- EscritĂłrio aberto
ComentĂĄrios
Postar um comentĂĄrio