[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:05096] Re: Forensic Analysis of a Live Linux System, Part One
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:05096] Re: Forensic Analysis of a Live Linux System, Part One
- From: DANNA <danna@xxxxxxxxxxx>
- Date: Wed, 24 Mar 2004 22:31:57 +0900
ども。ダンナ@サポセンです。
いはらさん
> Forensic Analysis of a Live Linux System, Part One
> http://www.securityfocus.com/infocus/1769
>
> かなり慎重な手順を踏んでますね、Linux 音痴な私にはとても参考になります。
> Live system の情報収集で MAC Time 変更せずにやるの大変ですよね...
ボクとしては、Fitting to the environmentのトコでちょっとだけ触れ
ている、スニッフィングについて興味があります。
フォレンジックの初期段階でのネットワークのスニッフィングは重要な
項目に入るのではないかと思うんですよ。ただし、高いレイヤまですべ
てを記録する必要はなくって、ネットワークのFlow(通信の状況)を記
録しくだけでも十分かなと。高いレイヤまで記録しようとすると、それ
だけ記憶領域を必要としますしね。
で、最近注目しているのがAuditTrailを目的としたネットワークの通信
を記録する手法なのです。昨年のCanSec(かな)でプレゼンされれた、
Argusなどのツールを使うことで、これまでよりも比較的効率的に、それ
らが可能になるのではと思ってます。
ここらへんに関しても、今年はちょっと掘り下げて、ケーキオフで喋ら
させてもらおうかなと思ってます。
ではでは。
>--------- みっきーのネットワーク研究所 ---------<
> danna@xxxxxxxxxxx Security-Stadium staff <
> sec-sta : http://www.security-stadium.org <
> HP : http://www.hawkeye.ac/micky <
> PGP : http://www.hawkeye.ac/micky/micky.pub <
>------------------------------------------------<