Quando si indagano sugli avvisi di malware, vorrei raccogliere alcune informazioni dal sistema prima che venga presa la decisione di rimuovere il sistema dalla rete e reimaging, o se è necessaria un'ulteriore analisi forense.
Sto immaginando uno script batch che raccolga tutte le informazioni di base sul sistema (ad esempio, connessioni di rete aperte, indirizzi IP, nome host, utente connesso, amministratori locali, ecc.) e poi esegua un dump della memoria usando Memorize o simile strumento per analisi successive.
Sarebbe più efficiente se eseguissimo questi script da remoto invece di collegare una chiavetta alla macchina con gli strumenti caricati, ma la mia preoccupazione è che copiare gli strumenti sulla macchina sospetta modificherebbe il file system e sarebbe dannoso per scopi forensi.
Ci sono altre buone opzioni per raccogliere queste informazioni da remoto senza compromettere i dati forensi? Sono a conoscenza di PSexec ma gli strumenti come la memorizzazione devono ancora essere copiati sulla macchina remota. Forse mettendo tutti gli strumenti su una condivisione di sola lettura e reindirizzando i dati alla workstation di analisi con netcat o cryptcat?
Grazie!