¿Analizando los archivos de registro para las tareas forenses?

Question

¿Analizando los archivos de registro para las tareas forenses?

#1 de Wolfer (2 votos)

3

Supongamos que dos usuarios cometieron un asesinato a las 6 pm en Dunkin Donuts, tengo los discos duros en el sitio, disk1 y disk2 .

¿Cómo identifico el tiempo y el orden de las actividades de cada usuario en los discos duros?

Las comunicaciones de Gmail son fáciles de captar, pero no estoy llegando a ninguna parte con el resto. Puedo ver que los usuarios iniciaron sesión varias veces. También puedo ver algunos inicios de sesión fallidos, lo que me hace preguntarme qué pudo haberlos causado en el primer disco. El segundo disco instala ssh y parece que se ejecuta hydra , que es una herramienta de descifrado de contraseñas de fuerza bruta. ¿No veo cómo les será útil para un crimen físico? El segundo disco también muestra las sesiones que se abren, luego otras sesiones que se abren antes de que se cierren las abiertas, lo que me hace preguntarme si se trata de una máquina remota. Realmente no sé qué está pasando aquí, así que no puedo entender la línea de tiempo ...

disk1 (más grande)

disk2 (más grande)

brute-force forensics ssh logging hydra

pregunta user2977715 12.05.2015 - 14:02

fuente

1 respuesta

Lea otras preguntas en las etiquetas brute-force forensics ssh logging hydra

Ataque SSL en la solicitud HTTPS Es CSP suficiente para prevenir ataques XSS [duplicado]

score 2 · Answer 1

Mi solución sería:

El usuario inocente compila THC-Hydra de la fuente, luego se da cuenta de que le falta una biblioteca necesaria. y lo instala (de ahí que sudo aptitude instale libssh-2 en innocent-laptop). Luego, él / ella usa Hydra contra el ssh de naive aproximadamente en 18:22:30 (como lo indica la configuración de la red). El ataque tuvo éxito en 18:50:29 . Inocente luego procede a eliminar el .bash_history de naive, inicia un firefox en la computadora de naive (probablemente a través de un túnel X) y envía un correo electrónico desde el gmail de naive a su propia persona solicitando una reunión a las 5:50 pm . Luego, inocente apaga la computadora de naive y borra su historial de bash antes de apagar también la computadora portátil inocente.

Esto básicamente significa que inocente está tratando de crear un allibi para él o ella misma, lo que básicamente lo convierte en el principal culpable del asesinato.

TL; DR
Inocente no es realmente inocente.

Por cierto, ¿de dónde sacas la tarea de esta manera? Porque esto es increíble.