Razlike

Slijede razlike između dviju inačica stranice

@@ Redak 1: / Redak 1: @@
+===== Uzimanje slike sustava (image) =====
+Nakon skupljanja promjenjivih podataka, može se uzeti slika hard drive-a.\\
+==== Spajanje računala ====
+Forenzičko računalo (računalo F) se pomoću crossover ili ethernet kabla spoji na istraživano računalo (računalo X) te se oba računala smjeste u istu podmrežu. Da bi mogli međusobno komunicirati, moraju biti na istom mrežnom segmentu. Dobra praksa je koristiti 10.0.0.1 za računalo X, a 10.0.0.2 za računalo F.\\
+U komandim linijama oba računala upisati slijedeće naredbe:\\
+{{  :crossover.jpg?x138|Crossover cable}}
+{{  :ethernet2.jpg?x135|Ethernet CAT5 cable}}\\
+''$ ifdown eth0 (ili koji se već adapter koristi)''\\
+''$ ifconfig eth0 10.0.0.''**n** ''netmask 255.255.255.0 (''**n**'' = 1 za računalo X, 2 za računalo F)''\\
+''$ ifup eth0''\\
+Nakon postavljanja IP adresa, treba provjeriti da se računala mogu pingati. Također, računalo X mora biti isključeno iz svoje standardne mreže (npr. tvrtkina mreža) i biti umreženo jedino s forenzičkim računalom. U slučaju kad to nije moguće, potrebno je obavijestiti klijenta da će slika sustava biti iskrivljena i da zbog toga eventualne parnice neće biti moguće.
+==== Mounting diskova ====
+U savršenom svijetu, drive čija se slika uzima bi se zvao ''/dev/hda1'', ali s obzirom da to nije slučaj, drive će se morati ručno potvrditi. Općenito se boot sektor nalazi u ''/dev/hda'', a datotečni sustav (eng. //filesystem//) u ''/dev/hda1''. Ako je drive SCSI, umjesto ''hda'' će biti ''sda''.\\
+Zadavanjem naredbe ''mount'', ispisati će se svi mountani uređaji, uključujući i novostvorenu točku za mountanje. Ovi podaci se mogu pogledati i u dnevniku poruka u ''/etc/mtab'' te u ''/proc/partitions''.\\
+Prije uzimanja slike potrebno je proći pripremne korake:
+  * Na računalu X stvoriti mount točku prema računalu F.
+  * Na računalu F stvoriti mapu u koju će se pohraniti ''dd'' slika računala X. To će biti ranije mountani vanjski drive, a put bi trebao izgledati slično ovome:\\ ''/media/disk/IBM/customer_host''.
+  * Na računalu F pokrenuti NFS (eng. //Network File System//)\\ [[image_forenzika#Za raspravu nakon što saznam kako koristiti Sambu|UNDER CONSTRUCTION]]
+  * Nakon što je stvorena i provjerena mount točka, provjeriti vezu:
+    * ući (''cd'') u direktorij,
+    * provjeriti vezu, npr. stvaranjem datoteke: ''$ touch foo'',
+    * provjeriti da se datoteka može vidjeti s oba računala,
+    * izbrisati datoteku: ''$ rm -rf foo''.
+  * Provjeriti cjelovitost slike računanjem MD5 sažetka na računalu X: ''$ md5sum /dev/hda > outfile''. Nakon toga poslati sažetak na računalo F putem mount točke.
+== Za raspravu nakon što saznam kako koristiti Sambu ==
+'' On the forensic machine, start the Network File System (NFS) service:
+Service nfs start (this may vary from each system, .e.g /etc/init.d/nfs start)
+On the forensic system, export your share:
+vi /etc/exports
+Shift I (for insert mode)
+Add your mount point, in this example, /media/disk/IBM/customer_host
+ESC (exit current command selection), Shift : (exit edit mode), W (write),
+Q (quit),!(absolute write)
+www.syngress.com
+Chapter 3 • Live Response: Data Collection
+On the forensic system, validate your share is being exported:
+showmount -e
+On the target system, mount the forensic share point:
+mount –t nfs 10.0.0.1:/media/disk/IBM/customer_host (target directory)
+/mnt/foo (local directory)
+Verify your NFS mount point on the TARGET system:
+mount
+An entry should now be seen at the bottom of the mount list which looks
+something like this:
+.0.0.1:/media/disk/IBM/customer_host on /mnt/foo type nfs
+(rw,addr=10.0.0.1)
+This may fail for several reasons, the most common of which are desktop fire-
+walls, improper eth0 configurations, bad media (i.e., a bad cable), or the NFS service
+needs to be restarted. If that is the case, attempt to unmount your NFS share, restart
+the NFS service, and try mounting it again. If for any reason this second mount fails,
+move on to the next method of acquisition.The role of a forensic investigator is to
+gather data, not troubleshoot OS problems. Make a note of the failure in the case
+logbook, and follow up later in a laboratory environment. ''
+==== Uzimanje slike ====
+  * **Naredba** \\ Na računalu X upisati naredbu: \\ ''$ dd if=/dev/hda1 (u savršenom slučaju) of=/mnt/foo'' \\ \\ Ova naredba će započeti ''disk dump'' proces, uzimajući ''/dev/hda1'' i pohranjujući ga u jednu ''dd'' datoteku u direktoriju ''/mnt/foo'' na lokalnom sustavu što je zapravo NFS mount točka za računalo F.\\ \\
+  * **Provjera napretka**\\ Tijekom izvođenja naredbe, može se provjeriti napredak s naredbom ''ls -la'' na datoteci. Veličina bloka će kontinuirano rasti te će stati kad dosegne veličinu drivea čija se slika uzima. __''If it does, KILL the dd image on the TARGET SYSTEM by pressing Ctrl-C.''__ (Kad dosegne tu veličinu, potrebno je prekinuti proces naredbom ''Ctrl-C''?)\\ \\
+  * **Provjera uspješnosti**\\ Posljednji korak je računanje MD5 sažetka slike na računalu X te njegova usporedba s MD5 sažetkom slike na računalu F. Ukoliko se ne poklapaju, nešto je pošlo po krivu tijekom postupka uzimanja slike i potrebno je ponoviti postupak s nekim drugim alatom. \\ \\
+  * **Uklanjanje mount točke**\\ Ako se MD5 sažeci poklapaju, uklanja se mount točka s računala X:\\ ''$ umount 10.0.0.1:/media/disk/IBM/customer_host''

wikiIS

Korisnički alati

Site alati

Razlike

Stranični alati