Analizzando i file di registro per i compiti forensi?

Naviga le tue risposte
3

Supponiamo che due utenti abbiano fatto un omicidio alle 18:00 a Dunkin Donuts, ho i dischi rigidi sul sito, disk1 e disk2 .

Come faccio a identificare il tempo e l'ordine delle attività di ciascun utente sui dischi rigidi?

Le comunicazioni di Gmail sono facili da scegliere, ma non riesco ad andare da nessuna parte con il resto. Posso vedere che gli utenti hanno effettuato l'accesso più volte. Posso anche vedere alcuni accessi non riusciti, il che mi fa pensare a cosa avrebbe potuto causarli sul primo disco? Il secondo disco installa ssh e sembra che esegua hydra , che è uno strumento di cracking della password a forza bruta. Non vedo come sarà utile per loro per un crimine fisico? Il secondo disco mostra anche l'apertura delle sessioni, quindi altre sessioni che si aprono prima di quelle aperte, il che mi fa chiedere se si tratta di una macchina remota. Non so davvero cosa sta succedendo qui, quindi non riesco a capire la cronologia ...

disk1 (più grande)

disk2 (più grande)

    
posta user2977715 12.05.2015 - 14:02
fonte

1 risposta

2

La mia soluzione sarebbe:

L'utente innocente compila THC-Hydra dalla fonte, quindi si rende conto che gli manca una lib e lo installa (da qui sudo aptitude installa libssh-2 su innocent-laptop). Procede quindi a utilizzare Hydra contro ssh di Naive all'incirca a 18:22:30 (come indicato dalla configurazione di rete). L'attacco ha successo a 18:50:29 . Innocent quindi procede all'eliminazione di .bash_history di naive, lancia un firefox sul computer di Naive (presumibilmente attraverso X tunneling) e invia un'e-mail da naive's gmail al proprio / a richiesta di un incontro alle 17:50 . Poi innocente chiude il computer di Naive e cancella la sua storia di bash prima di spegnere anche il laptop innocente.

Questo significa fondamentalmente che l'innocente sta cercando di creare un allibi per sé o per sé, il che lo rende il principale colpevole dell'omicidio.

TL; DR
Innocente non è davvero innocente.

A proposito, dove prendi i compiti come questo? Perché questa roba è fantastica.

    
risposta data 25.05.2015 - 18:14
fonte

Leggi altre domande sui tag

Ho trovato questa textarea con PHP. Potrebbe essere dannoso / sfruttabile? Qualche strumento come PuTTY per passare manualmente attraverso le comunicazioni di rete?