forensics

ブロックオフセットの計算
forensics

ブロックオフセットの計算

ディスクイメージをあまり変更しないで、元のディスクイメージの一部のファイルを上書きする必要があります。理想的には特定の文字列だけを上書きする必要がありますが、これは不可能かもしれません。だから今はブロック全体をカバーしようとしています。 Sleuthkitのおかげで、ファイルのinodeと直接ブロックを見つけることができました。また、セクタのパーティションシステムを含むボリュームのオフセットも知っています。 ddで全体/ブロックを上書きする方法はありますか?ブロックオフセットを計算できれば簡単だと思いました。 非常にありがとう ...

Admin

生ディスクイメージの検索文字列
forensics

生ディスクイメージの検索文字列

現在スキャンする必要があるツールを作成しています。読み取り専用そのモードの生ディスクイメージ。 タスクは、一致するバイトオフセットを取得することです。 単純なテキスト文書検索を使用できますが、 grep -a -o -b -iE PATTERN IMAGEExcel、PDF、およびWord文書を検索する方法が見つかりません。 わかりましたgrepこの作業には適していません。使用できる他のツールはありますか? ...

Admin

共有SSHキーのユーザーアクセス追跡
forensics

共有SSHキーのユーザーアクセス追跡

2人のユーザー間に共有SSHキー/(ユーザー名とパスワード)があるとし、それらをBobとAliceと呼びます。 Bobはサーバーに接続し、いくつかのコマンドチェーンを実行して、そのホストのいくつかの重要なデータを削除しました。 さらに、Alice は同じ共有資格情報を使用して同じホストに接続し、いくつかの更新を実行します。 sshd認証ログ(/var/log/auth.log)があり、イベント中に両方のユーザーが接続されていることを知っていますが、どのユーザー(ユーザーのIPが含まれているため接続されている)がそのイベントに責任があるかを区別する方法あります...

Admin

RabbitMQ、LinuxでSCPを切断する
forensics

RabbitMQ、LinuxでSCPを切断する

GNU / Linuxで作成されたアプリケーションに問題があります。ほとんどのコンポーネントはDockerで実行されているか、デフォルトで実行されている開発環境で動作しますが、展開する必要があるサーバー環境ではランダムに(しばしば必ずしもそうではありません)失敗します。 下部構造: [App in Ubuntu Server 20.04 host-1] <--->[router+firewall]<---> [Ubuntu Server 20.04 host-2] どちらのサーバーもCPU 4個、RAM 4GBなど十分なリソ...

Admin

SQUASHFSスーパーブロックが見つからない問題を修正/修正
forensics

SQUASHFSスーパーブロックが見つからない問題を修正/修正

私が作成し、squashfsで圧縮した古いファイルシステムのバックアップがあります。これはext4ファイルシステムに保存されていますが、少しのビット破損があると思われます。このファイルのバックアップはありません。このsquashfsファイルを保存する方法はありますか? $ unsquashfs olddrive.sfs Can't find a SQUASHFS superblock on olddrive.sfs 編集:情報を追加しました。 $ file olddrive.sfs olddrive.sfs: data $ sudo mount -t sq...

Admin

ドライブイメージに使用可能な起動パーティションのサイズが異なるように表示されるのはなぜですか?
forensics

ドライブイメージに使用可能な起動パーティションのサイズが異なるように表示されるのはなぜですか?

/dev/sdcというイメージを作成しました。最初のパーティションの前の空き領域が同じバイトサイズを報告しないのはなぜですか? 1024Bドライブと16384B画像に開始位置が報告されていますか? # parted /dev/sdc u b p free Model: ASMT 2105 (scsi) Disk /dev/sdc: 500107862016B Sector size (logical/physical): 512B/512B Partition Table: msdos Disk Flags: Number Start End ...

Admin

LUKS-LVMパーティションのサイズ変更の問題
forensics

LUKS-LVMパーティションのサイズ変更の問題

LUKS lvmパーティションのサイズを変更(縮小)しようとする心配な冒険に遭遇しました。システムをより小さいサイズの新しいドライブに簡単にコピーできるように、パーティションを縮小したいと思います。始める前に空き容量を確保するために、既存のディスクからいくつかのファイルを削除しました。その後、USB Live Ubuntuから起動し、KDEパーティションマネージャを使用して最初にLUKSパーティションのロックを解除しました。その後、LVMルートパーティションを使用可能にし、KDEパーティションマネージャのサイズ変更オプションを使用して縮小しました。残念ながら...

Admin

RedHatファイルサーバーから誤って削除されたファイルを回復する方法
forensics

RedHatファイルサーバーから誤って削除されたファイルを回復する方法

私の友人がrm -rf誤ってコマンドを使用して、ファイルサーバーからすべてのファイル(jpgとpdf)を削除しました。実際のファイル名でこれらのファイルを復元する方法はありますか? コア - 回復のためのバックアップなし パーティション形式はext4です。 私たちは次の解決策を試しました。 testdisk- 少数のファイルのみが回復しました(実際のファイル名を含む)。 photorec- 無駄な.txtファイルを含む多数のファイルを回復しました(実際のファイル名はありません)。 最も重要なことは - ファイル名なしでpdfとjpgを回復することです。...

Admin

最初のボリュームから2番目のボリュームにファイルをコピーしても、ファイルは変更されませんか?
forensics

最初のボリュームから2番目のボリュームにファイルをコピーしても、ファイルは変更されませんか?

FreeBSD または他の Unix システムを使用して外部ハードドライブをマイコンピュータに接続し、最初の外部ハードドライブから 2 番目のハードドライブにファイルをコピーすると、2 番目のハードドライブのファイルは元のファイルと同じです。同じファイル(最初の外付けハードドライブ)がありますか? ハッシュ(チェック島)があることを知っています。別のボリュームからコピーすると、別のファイルが作成されるという内容がどこかで読み込まれました(2つの異なるボリュームであるため)。 ファイルを同じボリュームにコピーした場合にのみ、同じファイルであることを保証できます...

Admin

auth.logで無差別代入攻撃を検出する
forensics

auth.logで無差別代入攻撃を検出する

私はLinux法医学に初めて触れ、破損したLinuxイメージを分析しています。 主な問題: ハッカーはいかにシステムにアクセスしたか。 auth.logファイルは、失敗したパスワードに対する自動化された無差別代入攻撃でいっぱいです。しかし、結局、無差別代入攻撃によるアクセスは不可能だと考えられます。攻撃者は単にsudoコマンドを使用してユーザーphpを追加します(行2280を確認)。 無差別攻撃が機能せず、rootユーザーがPHPユーザーを作成することを理解するのは正しいですか?もしそうなら、攻撃者はどういうわけかrootアクセス権を得ましたか? PSまた、...

Admin

疑わしい起動実行可能ファイルを見つけるためのLinuxの自動実行ツールは何ですか?
forensics

疑わしい起動実行可能ファイルを見つけるためのLinuxの自動実行ツールは何ですか?

Windows では、自動実行ツールは法医学研究者にとって非常に便利なツールであり、疑わしい起動実行可能ファイルを見つけ、無害な実行可能ファイルをフィルタリングするのに役立ちます。 しかし、Linuxではそれほど良いことはできません。それでは、疑わしい起動アプリケーションを見つけるときに自動実行を実装する最も簡単な方法は何ですか? Linuxにも同様のツールがありますか? 基本的に、法医学研究者であり、UbuntuのようなLinuxシステムがあり、疑わしいブート実行可能ファイルを見つけるように求められたとしましょう。プロセスを高速化するために何をし、どのツー...

Admin

分割された生データからExt4 Inodeを識別するPythonスクリプト
forensics

分割された生データからExt4 Inodeを識別するPythonスクリプト

ext4パーティションのバックアップイメージから生データを読み取り、ext4 inode構造が表示されるタイミングを特定して特定のファイルを復元できるPythonスクリプトを作成しようとしています。 このタイプのスクリプトの目的は、スーパーブロックが破損してマジックナンバー、マジックバイト、または既知の拡張タイプを使用してファイルを回復できない場合、他のすべての方法は失敗することです。 適切なパーティションを指すこのコマンドを正常に実行すると、分析するデータが生成されます。 dd if=/dev/sda of=partition.dd 私が探してい...

Admin

inodeの検索と生データからのバイナリファイルの回復
forensics

inodeの検索と生データからのバイナリファイルの回復

破損したスーパーブロックを持つハードドライブのinodeを調べるには、どのコマンドを使用する必要がありますか? また、このinodeに関連するファイルデータを書き込むにはどのコマンドを使用する必要がありますか? 私のパーティションはdos / mbrを使用して作成されました。 私はtestdiskと他のプログラムを試しましたが、拡張子やマジックナンバーを検索する必要があるように設計されています。私のファイルのいくつかも同じです。したがって、判断なしにすべてのファイルを検索する必要があります。 私の特別なケースでは、128Gドライブに2つのパーティショ...

Admin

失われたパーティションのすべてのファイルを回復する
forensics

失われたパーティションのすべてのファイルを回復する

2つのパーティションを持つSDDがあります。 1つ目は32Gで、2つ目はドライブの残りのスペースを占めています。 1つ目はUbuntuがインストールされているルートパーティションです。二つ目は一般収納空間である。 誤って次のコマンドを使用して、このsddにddを指定しました。 dd if=/2g-ubuntu.iso of=/dev/sda 3G未満の連続データは物理ディスクの先頭に書き込まれるため、この上書きは2番目のパーティションには達しません。だからすぐにドライブをアンマウントし、読み取りモードでのみマウントしました。 2番目のパーティションの...

Admin

以前のCVSコミットから危険なコンテンツを削除する方法は?
forensics

以前のCVSコミットから危険なコンテンツを削除する方法は?

元従業員の作業を整理した後、数年前、彼らは誤ってCVSコミットに800MBのデータファイルを含めたことを発見しました。同じプロジェクトに対するいくつかの異なるコミットメントが続きました。 このデータはセキュリティに非常に敏感であり、法的制限が適用され、完全に削除する必要があります(屋根裏部屋やファイルシステムには何もありません)。 CVSを壊さずにどのようにこれらのファイルを削除できますか? (これはLinuxホストです。rootアクセス権があり、CLIに精通していますが、CVSの専門家ではありません!) ...

Admin