Отключение от компьютерной сети

минута на чтение

Отключение от компьютерной сетиДаже отключение от компьютерной сети способно детонировать ловушку. А что, если злоумышленник разработал свое компрометирующее программное обеспечение так, что оно стирает все, когда перестает принимать определенный сигнал извне? Это может быть сигнал, который вы не сумеете воспроизвести, поскольку он зашифрован. Вы можете отследить входящий и исходящий трафик компьютера, но это неактуально, так как требует значительного времени. Однозначно правильного решения нет. При существующем инструментарии сетевой криминалистики наилучшим на сегодня решением является просто оставить машину включенной. По крайней мере, это дает возможность для резервного копирования. Стоит еще раз подчеркнуть огромную важность резервного копирования. Сначала скопируйте, а потом уже расследуйте. К сожалению, это не всегда просто. Давайте уточним: не просто, если вы хотите сделать резервное копирование перед выключением скомпрометированной системы вроде Windows. Сам по себе процесс посекторного копирования жесткого диска несложен, если вы можете загрузить вашу операционную систему или снять жесткие диски и подключить их к другой машине. Общая проблема копирования взломанной системы Без перезагрузки состоит в том, что любое ее использование до некоторой степени повреждает улики. Разумеется, если вам необходимо произвести резервное копирование перед перезагрузкой, вы должны сделать все возможное, чтобы минимизировать ущерб. Здесь нельзя полагаться на установленные вспомогательные библиотеки, так как есть вероятность, что одна из них была подменена хакером. Наверное, вам понадобится CD-ROM или другой съемный носитель с режимом «только для чтения».

Что касается UNIX-систем, выполнить резервное копирование без особого ущерба можно, если вы заблаговременно подготовите статические библиотеки. Можно использовать комбинации команд dd и net cat для копирования целых разделов, включая «неиспользованные» секторы, которые файловая система отмечает как пустые. Этот метод был реализован на конкурсе сетевой криминалистики в рамках проекта Honeynet. В инструментарии к этому разделу кратко изложены достоинства и недостатки метода, в частности, цепь доступа здесь получается путаной из-за того, что информация на работающем диске постоянно изменяется.

Facebook Vk Ok Twitter Telegram

Похожие записи:

DMZ — военный термин, обозначающий область между двумя странами, на территории которой запрещены боевые действия. В теории компьютерной безопасности DMZ — это сегмент сети, где расположены общедоступные из Internet компьютеры, имеющие защитные механизмы против...
Еще одна мера предосторожности, которую стоит принять, — смена используемого внутри сети протокола. Поскольку протокол HTTP имеет врожденные пороки, нежелательно, чтобы он работал внутри сети, пройдя внешний экран. В противном случае хакер использует «туннель»...
Систематические проверки узлов вашей сети на предмет их потенциального участия в проведении атаки. Фильтрация исходящего трафика ограничит возможность компрометации узлов вашей сети и последующего использования их в нападении. Очень важно убедиться в том, что ...