УДАЛЕННЫЕ СТРУКТУРЫ INODE


Предисловие Благодарности Введение Поле битвы ПРОЕКТ HONEYNET СИСТЕМА HONEYPOT СЕТЬ HONEYNET Назначение Honeynet Система Honeypot в сети Honeynet РЕЗЮМЕ Как работает Honeynet КОНТРОЛЬ ДАННЫХ ЗАПИСЬ ДАННЫХ Уровень контроля доступа Сетевой уровень Системный уровень Автономный уровень СОЦИОТЕХНИКА Риск РЕЗЮМЕ Создание сети Honeynet ОБЩАЯ АРХИТЕКТУРА КОНТРОЛЬ ДАННЫХ ЗАПИСЬ ДАННЫХ ПОДДЕРЖАНИЕ HONEYNET И РЕАГИРОВАНИЕ НА АТАКИ РЕЗЮМЕ АНАЛИЗ Анализ данных РЕГИСТРАЦИОННЫЕ ЖУРНАЛЫ БРАНДМАУЭРА АНАЛИЗ IDS СИСТЕМНЫЕ ЖУРНАЛЫ РЕЗЮМЕ Анализ взломанной системы НАПАДЕНИЕ АНАЛИЗ Взлом ПОЛУЧЕНИЕ ДОСТУПА ВОЗВРАЩЕНИЕ РЕЗУЛЬТАТЫ АНАЛИЗА РЕЗЮМЕ Продвинутый анализ данных ПАССИВНАЯ ДАКТИЛОСКОПИЯ Сигнатуры Пример ICMP СИСТЕМНОЕ ВСКРЫТИЕ РЕЗЮМЕ Практика системного вскрытия ОБРАЗЫ ИНСТРУМЕНТЫ THE CORONER'S TOOLKIT ВРЕМЯ MAC УДАЛЕННЫЕ СТРУКТУРЫ INODE ВОССТАНОВЛЕНИЕ ДАННЫХ РЕЗЮМЕ УГРОЗА ТАКТИКА ИНСТРУМЕНТЫ Мотивы МЕНЯЮЩИЕСЯ ТЕНДЕНЦИИ РЕЗЮМЕ Червяки на войне УСТАНОВКА ПЕРВЫЙ ЧЕРВЯК ВТОРОЙ ЧЕРВЯК НА СЛЕДУЮЩИЙ ДЕНЬ РЕЗЮМЕ Своими собственными словами Взлом Наша ссылка ;) <a href="http://www.honeynet.info/" title="полный антихак">Защита от хакеров</a> заказ газель быстро дизайн офиса цены

УДАЛЕННЫЕ СТРУКТУРЫ INODE

Мы только что показали, как можно определить совершенные в системе действия на основании времени MAC для реальных файлов. Эти значения MAC выделяются из структуры inode существующих файлов. Такое действие возможно и с удаленными файлами, пока еще существует inode. Время MAC - это информация, хранящаяся в inode файла. Если можно восстановить inode, то можно восстановить и значения MAC. Ils- это утилита, которая восстанавливает удаленные структуры inode. Ils2mac - это утилита, которая берет удаленные inode и определяет значения MAC для файла, аналогичные тем, что grave-robber сохраняет в массиве данных body. Обе эти команды применяются по отношению к файлам, а не к файловой системе /dint. Чтобы восстановить удаленные inode и записать значения MAC, нужно запустить следующие команды. Обратите внимание, чтобы восстановить удаленные inode, команда ils запускается не для всей файловой системы, а для образов, находящихся данном разделе.

ids $for i in 1 5 6 7 8
> do
> ils /forensics/images/honeypot.hda$.dd | ils2mac > hda$i.ilsbody
> done
Теперь у нас есть значения MAC восстановленных inode. Удаленные inode с каждого раздела хранятся в файле body.
ids $ls -1 *body
-rw-r—г— 1 root root 207 Feb 17 14:42 hda1. ilsbody
-rw-r— r— 1 root root 179650 Feb 17 14:42 hda5. ilsbody
-rw-r—r— 1 root root 207 Feb 17 14:42 hda6. ilsbody
-rw-r—-r— 1 root root 796 Feb 17 14:42 hda7. ilsbody
-rw-r—r— 1 root root 12618 Feb 17 14:42 hda8. ilsbody

Затем можно взять файлы body для удаленных inode и запустить для них mactime - точно так же, как мы поступили с файлом body для существующих inode, созданным при помощи grave-robber. Так мы получим информацию о временной последовательности событий для всех восстановленных файлов. Однако самую ценную информацию можно получить, объединив данные из файла body - значение MAC для всех существующих файлов -с только что восстановленными данными удаленных inode. Это даст нам представление о действиях с существующими и удаленными файлами.

Сначала мы объединим значения MAC для существующих файлов со значениями MAC восстановленных inode. ids $cat body hda$i.ilsbody > body-full

Затем запустим mactime для файла body-full, чтобы получить обновленный файл mactime.txt. Рассмотрим ту же самую информацию, но обратим внимание на то, что можно определить при помощи дополнительных данных с удаленных inode. Вот что у нас получилось:

-r-xr-xr-x root
m.c -rw-r-r— root
drwxr-xr-x root
-rwxr-xr-x root

Nov 08 00 06: 25:53 1836 . a.
Nov 08 00 06: 26:15 0 m.c
Nov 08 00 06: 26:51 1024 .a.
Nov 08 00 06: 29:27 63728 .a.
Nov 08 00 06: 33:42 1024 .a.
Nov 08 00 06: 45:18 161 .a.
0 .a.
Nov 08 00 06: 45:19 63 .a.
Nov 08 00 06: 45:24 1504 .a.
Nov 08 00 06: 51:37 2129920 m.

root /mnt/usr/bin/uptime root /mnt/etc/hosts.deny root /mnt/etc/rc.d/init.d root /ront/usr/bin/ftp drwxr daemon daemon /mnt/var/spool/at -rw-r—r— root root /mnt/etc/hosts. allow -rw-r—r— root root /mnt/etc/hosts.deny -rw-r—r— root root /mnt/etc/issue.net -rw-r—r— root root /mnt/etc/security/ console.perms . -rw-r—r— drosendrosen

Обратите внимание на новый файл в самом низу. У него нет названия, так как он был удален. Но зато есть информация, содержащаяся в inode, в том числе принадлежность, размер файла и значения MAC. Это была inode 8133 из раздела hda8 или / файловой системы. Также известно, что файл размером 2,1 Мб был удален 8 ноября в 06:51:37. Попробуем восстановить его и узнать, что он собой представлял.