Supponiamo che l'account dell'amministratore sia violato.
Quindi, un hacker può estrarre i dati grezzi del disco rigido (per dati non elaborati, intendo tutti i dati non elaborati, non solo i file che possono essere letti da un file system.)?
Supponiamo che l'account dell'amministratore sia violato.
Quindi, un hacker può estrarre i dati grezzi del disco rigido (per dati non elaborati, intendo tutti i dati non elaborati, non solo i file che possono essere letti da un file system.)?
Se un utente malintenzionato acquisito diritti di amministratore, ha accesso diretto al disco rigido del computer e, di conseguenza, può recuperare tutti i dati da esso. Proprio come amministratore "reale". Quindi la risposta alla tua domanda è SI.
La risposta breve è semplicemente: Sì. La risposta più lunga, tuttavia, è molto più divertente. Le specifiche di come i dati grezzi possono essere ottenuti dipende dalla tua specifica infrastruttura. Per prima cosa diamo un'occhiata a Linux.
C'è un ottimo strumento per Linux chiamato 'dd'. È un programma che legge qualsiasi input specificato e fa una copia a livello di blocco sull'output. Quindi prendi questa sintassi:
dd if=/dev/sda of=/dev/sdb
Questo duplicherà tutti i dati (in blocchi da 512 byte) dal disco rigido sda al disco rigido sdb. Da quel punto le variazioni sono meravigliose e possono persino essere duplicate sulla rete, ad esempio
dd if=/dev/sda | ssh remotehost 'dd of=/dev/sdb'
Ci sono probabilmente molte dozzine di permutazioni che potresti fare con dd, ma tutte hanno come risultato un duplicato esatto del disco di origine. A causa del fatto che è così flessibile, l'ho usato molte volte durante le indagini forensi interne. Tutto ciò che richiede è l'accesso in lettura al dispositivo a blocchi che corrisponde all'unità che si desidera copiare. Tranne che in circostanze specifiche molto , l'accesso come root (o amministratore) ti concederà questa autorizzazione.
L'altro caso probabile che ti interessa è Windows. Non è qualcosa che riesco a ottenere come specifico, dal momento che Windows non è la mia area di competenza, tuttavia so che la stessa verità sottostante è valida. L'accesso come amministratore ti dà i diritti per farlo. Per fare riferimento a un prodotto commerciale, diamo un'occhiata a EnCase Enterprise.
EnCase è uno strumento forense commerciale ampiamente utilizzato nelle forze dell'ordine. Normalmente dovresti eseguire l'applicazione su una stazione di medicina legale che, come tutti i vari e vari campanelli, fischietti e bob irregolari necessari per acquisire e analizzare i sistemi. L'edizione Enterprise, tuttavia, consente di eseguire il sistema in modalità client / server. Cioè, dati i privilegi di amministratore su un computer, si installa un agente EnCase, e si formerà un clone forense dal punto di vista del computer client e si memorizzerà la copia sul server. Anche se si tratta di una soluzione commerciale, è un esempio specifico di come i diritti di amministratore dati su un computer possono fare un duplicato a livello di blocco dei dischi rigidi memorizzati in una posizione remota. Non sarei sorpreso di sapere che esistono strumenti gratuiti per farlo.
Leggi altre domande sui tag file-system