Analisi forense di un pc.

[darkwolf]

Salve raga :)
Pc probabilmente infettato di proposito da operaio di una ditta.
Il mio compito è fornire prove incontrovertibili al riguardo
OS: WinXp; log errori con alcune tracce di popup (che presentava l'infezione - spywarelib); nod32 rimosso di forza e non più installabile; eseguibile ****.exe (*=numeri vari) dell'infezione non più presente nel sistema.
Devo trovare qualcosa entro domani... si accettano consigli di ogni genere

[binarysun]

Di fatto hanno già perso le prove.

Cmq
L'analisi forense di un PC non è certo roba da da imparare in un giorno, in uni c'era un corso apposito.

Per prima cosa devi congelare i dati, accedendo al computer ne modifichi i dati quindi devi staccare l'HD e farne una copia.

Poi vanno analizzati i dati.
http://forums.mydigitallife.info/thr...c-Tools-Leaked
Tempo fa avevo sentito parlare di COFEE, dovresti trovarlo sul mulo o piratebay, ti dovrebbe dare delle informazioni sul computer.

Attenzione che poi se le informazioni non sono prese in modo legale non sarebbero utilizzabili in tribunale per un eventuale causa o licenziamento, anzi potresti andarci di mezzo tu.

[darkwolf]

Grazie per quanto detto :)
Comunque, in realtà ho rilevato la presenza del beagle a cui fa riferimento l'exe in questione e, analizzando l'orario in cui è apparso il problema, ho dedotto fosse stata un'infezione "involontaria" (gli ho chiesto sse a quel preciso orario fosse stata inserita una pendrive o simili e mi ha risposto: si, proprio dopo l'inserimento della pendrive in effetti è successo il problema e inoltre l'icona della pendrive era "strana" cioè una specie di scudo rosso).
Insomma, inserimento pendrive infetta da beagle, macchina infettata.
A mio parere, problema risolto con "infezione involontaria (o no) causata da pendrive compromessa" :P
-
Che dici, sei d'accordo con questa tesi? :)

Helix
e l'italiano Caine
Helix soprattutto è utilizzata anche da professionisti dell 'informatica forense (ascoltai un esperto in questo campo al Linux Day 2008)

Personalmente però non ho molte esperienze in questo campo :(

[digilinux]

Intanto ti consiglio di fare un'immagine dell'hard disk e di lavorare su quella. Su una shell UNIX (GNU/Linux, BSD, Solaris...) lancia il comando:

Codice:

dd if=/dev/hda of=immagine.img

Sostituendo a hda sda se lavori su un disco SATA.

Dopodichè, monta l'immagine e lavoraci su con liveCD come Backtrack, SystemRescueCD e Ultilex per cercare di recuperare dati.

[darkwolf]

Ringrazio per le risposte (che potrebbero tornare utili a futuri interessati) ma, come detto nel mio ultimo post, era una "semplice" infezione involontaria da beagle. Il pc è stato riconsegnato in giornata. Nessuna attività di "spionaggio" rilevata (ne keylogger ne presenza di software per controllo remoto o simili). Solo beagle.