Post 6 sie 2008, o 23:50

Sprawdzanie obecności intruza po ataku na komputer

Jeśli przypuszczacie, że Wasz komputer został zaatakowany przez hakera, poprzez sprawdzenie kilku miejsc możecie się upewnić, że atak nastąpił.
W tym celu:

· Wejdźcie i sprawdźcie zawartość następujących katalogów: Windows Desktop, Recent, Send. To oraz katalogi menu Start. Zawarte tam pliki (np. .lnk) są doskonałym śladem obecności włamywacza. Czasem nie zdąży on (lub zapomni) usunąć pozostałości po plikach/programach, które zainstalował na zdobytym systemie. Tymi śladami są zapisy ostatnio otwartych plików oraz właśnie pliki skrótów .lnk. Nawet jeśli same programy służące do włamania już zostały z systemu wykasowane, analiza plików z powyższych katalogów da Wam możliwość podejrzenia, co robił na Waszym dysku włamywacz (jakie narzędzie w Waszym systemie zainstalował).

· Następnie zbadajcie katalog z plikami Cookies z katalogów domowych. W plikach Cookies zapisywana jest historia korzystania przez użytkowników z Internetu. Tym samym sprawdzając, gdzie użytkownicy surfowali, będziecie mogli określić, nie tylko kto był agresorem, ale także co próbował zrobić (lub zrobił). Wnioski odnośnie do Cookies można wysnuwać na podstawie faktu, że znacie ulubione strony starych użytkowników, a więc wszelkie anomalie będą podejrzane. Pamiętajcie też, że zapis w Cookies stron, na których włamywacz był, może dać Wam pogląd na to, jakich narzędzi hakerskich włamywacz użył lub próbował użyć. Tym samym uzyskacie wiedzę o jego technice i celach.

· Sprawdźcie katalogi domowe wszystkich użytkowników (Documets and Settings\nazwa_użytkonika). Katalogi te mają taką samą nazwę jak nazwa konta służąca do logowania się. Ponadto katalogi domowe każdego użytkownika są tworzone w chwili pierwszego logowania. W każdym katalogu domowym znajduje się plik ntuser.dat, zawierający specyficzne ustawienia odnoszące do danego użytkownika. Plik ten zapisuje moment, w którym użytkownik wylogowuje się, a zatem sprawdzając atrybut last written, możecie uzyskać czas ostatniego wylogowania się napastnika z Waszego systemu (jeśli nie skasował swojego konta, a Wy wiecie, które konto zostało przez niego założone).

· Przejrzyjcie również skasowane pliki. Pamiętajcie, że usunięcie pliku za pomocą np. Explorera i usunięcie go z Kosza nie powoduje jego całkowitego wymazania z dysku. Zamiast tego system operacyjny nadaje skasowanemu plikowi atrybut skasowany i "ukrywa" go przed zwykłymi aplikacjami. Ponadto obszar, na którym ten plik wciąż istnieje, jest oznaczany jako dostępny dla innych danych. Dopóki nie nagracie w tym miejscu innego pliku, dopóty plik skasowany jest do odzyskania. Narzędzia do analizy powłamaniowej pozwolą na analizę skasowanych plików pod kątem występowania w ich nazwach określonych sekwencji znaków (np. hack*, drug*, trojan*, DoS*, trinoo*, Orifice*, smurf*, algorithm*, sniff*, spoofing*).