Mi è stato assegnato un incarico dalla mia scuola, in cui mi è stata data un'immagine virtuale di un sistema compromesso. La prima cosa che devo fare è impostare un ambiente in cui possiamo montare l'immagine. Ho bisogno di scegliere un sistema operativo, e mi chiedevo: cosa dovrei scegliere, e perché? Se qualcuno potesse darmi qualche suggerimento che dovrei cercare, sarebbe molto apprezzato! Grazie
Vorrei andare per Kali Linux .
Questa distribuzione Linux è fatta per pentesting e analisi di sicurezza. Contiene moltissimi strumenti di analisi, direttamente nel menu principale.
In generale, utilizzerei un sistema operativo Open Source per il lavoro relativo alla sicurezza, perché con l'Open Source c'è il controllo pubblico che i tuoi strumenti non siano stati compromessi.
Quando ero all'università, usavo Backtrack Linux MOLTO. Ha un sacco di strumenti forensi (e forensi live) preinstallati ed è progettato per essere usato per questi scopi - (anche se probabilmente è più famoso per hackering malvagio e spionaggio su sospetti ribaltatori di mucche, ecc.)
Dipende dallo strumento che scegli. Gli strumenti forensi come Autopsy possono essere eseguiti su diversi sistemi operativi. Possono analizzare il filesystem dell'immagine che ti è stata data e mostrarti il contenuto dei file. Se tale strumento è scritto in Java, puoi eseguirlo su Windows, Mac o Linux.
Nel lavoro forense, non stai necessariamente cercando di "eseguire" il software dall'immagine. Spesso stai semplicemente guardando i file che raccogli dal sistema e mettendo insieme ciò che è accaduto in base al contenuto del file, agli attributi del file system come l'ultimo accesso-tempo, l'ID del creatore, ecc. Se dovessi montare il file system nel Sistema operativo ed esegui programmi che accedono a quei file, la tua stessa attività investigativa probabilmente nasconderà gli stessi indizi che stai cercando di scoprire.
Ma a volte non avrai molta scelta. Se scopri un file chiamato foo.docx, un semplice editor di testo ti mostrerà pochissimo e probabilmente dovrai usare Word per vederlo. Questo crea un altro problema: cosa succede se il file che stai cercando di esaminare contiene un virus? Aprirlo in Word sul tuo computer potrebbe comportarti esattamente come l'immagine del computer vittima che stai guardando. In tal caso, è necessario imparare a utilizzare una macchina virtuale come sandbox.
Se hai dimestichezza con Linux, considera l'utilizzo di Caine o Deft.
Entrambe le distribuzioni sono destinate all'uso forense, il che significa che di default non fanno nulla che possa modificare i dati, come ad esempio montare automaticamente i filesystem o attivare swap.
Contengono anche molti strumenti utili per il lavoro.
Leggi altre domande sui tag operating-systems forensics system-compromise