Forensisch onderzoek op een Windows machine
Het forensisch onderzoeken van een gehackte of geïnfecteerde machine lijkt het domein van ervaren professionals en dure software, toch zijn er manieren die goedkoop en voor doorsnee systeembeheerders toegankelijk zijn om in ieder geval de basis te onderzoeken en te analyseren. Tom Cloward en Frank Simorjay beschrijven in dit artikel hoe "The Fundamental Computer Investigation Guide for Windows" en de Malware Removal Starter Kit met elkaar zijn te combineren voor onderzoek naar onversleutelde harde schijven.
Tevens geeft men het advies dat als er mogelijk bewijs op de te onderzoeken machine staat, het beter is om een expert in te schakelen. De in het artikel beschreven methoden zijn niet gecertificeerd door de International Society of Forensic Computer Examiners. Iets wat ook in "The Fundamental Computer Investigation Guide for Windows" duidelijk wordt. De handleiding beschrijft welke processen tijdens het onderzoek doorlopen moeten worden en welke tools noodzakelijk zijn.
(chain of custody bijhouden e.d.) dan is het niet langer geldig in een rechtszaak
en heb je dus mogelijk verpest waar het juist om ging.
ja vergeet niet dat als je het bewijs materiaal niet volgens de regels
behandeld
(chain of custody bijhouden e.d.) dan is het niet langer geldig in een
rechtszaak
en heb je dus mogelijk verpest waar het juist om ging.
Hmm anders lees je even het artikel. Daar staat hoe er te werk wordt gegaan,
de orginele schijf blijft gewoon intakt. Je voert je onderzoek uit op een andere
schijf cq USB stick.
container op je HD te plaatsten die bij iedere reboot automatisch van
volume veranderd. Dat zou forencies onderzoek bijna onmogelijk
maken omdat zonder tussenkomst van een verdachte de inhoud van
een volume veranderd word en dus het onderzochte volume ter
discussie stelt op haar integriteit.
Ik zie ongetwijfeld iets over het hoofd...
Nelis Nesquick
Het verifiëren van het incident
je moet ook rekening houden met eventuele timestamps die je zelf aanmaakt
en die dan terug te vinden zijn in je image. En het onderzoek zelf is ook iets
wat zeer precies moet gebeuren zo zijn er gigantisch veel regels betreffende
de privacy van de betrokkene en ga zo maar door
Ik mis een fase in het verhaal van Microsoft.
Het verifiëren van het incident
Wat bedoel je precies met verifieren? Naspelen?
en niet te vergeten..
als men niets vind.
trekt men het laadje open ,en men MAAKT bewijs materiaal..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
