В предыдущей главе мы обсудили два метода анализа данных - пассивную дактилоскопию и системное вскрытие. В этой главе мы сконцентрируем внимание на системном вскрытии, анализе данных, восстановленных из взломанной системы. Здесь не приводится методика поэтапного анализа системы; для этого потребовалась бы целая книга. Вместо этого мы объясним принцип работы системного вскрытия и опишем, какой невероятный объем информации можно раздобыть с его помощью. Все действия будут объясняться на примере взломанной honeypot. Мы создаем образы системы и проводим системное вскрытие. Эти образы размещены на сайте http://www.dmkpress.ru, так что вы сами можете попробовать провести системное вскрытие. Эти образы также были частью проекта «Системное вскрытие», который выполнила команда Honeynet Project. Более того, они были представлены специалистам, занимающимся обеспечением безопасности, и им предложили расшифровать произведенное нападение, как это сейчас сделаем мы. Если вы хотите рассмотреть проведенный анализ более подробно, зайдите на сайт по адресу: http://project.honeynet.org/challenge/ или обратитесь к документации, размещенной на сайте http://www.dmkpress.ru.
