Re: Analisis Forense de Sistema (Debian)
> Tengo una PC en la cual me gustaría realizar algún tipo de estudio o
> análisis para determinar si tuvo o no algún compromiso de seguridad.
>
> Como debería guardar "la imagen" de la instalación para poder reinstalar
> la PC y luego realizar los correspondientes estudios?
Apaga el ordenador mediante botonazo (a menos que quieras examinar la
memoria) y clonala con dd o dd_rescue.
Te recomiendo que te descargues Helix, es una liveCD basada en debian
especializada en estos menesteres. Una vez que tengas una copia del
disco duro, trabaja sobre esa copia. Herramientas para el análisis
forense tienes muchas, pero te aconsejo pyflag o autopsy (ambas libres e
incluidas en el CD.
Nunca de botonazo!. Es fácil hacer un script que se ejecute cuando aprietas el botón ON/OFF.
Siempre hay que tirar del cable. Si tienes un servidor con más de una fuente de alimentación y éstas son reemplazables en caliente lo mejor es directamente sacar todas las fuentes a la vez.
Recuerda que tienes que clonar también la partición de SWAP ya que ahí es donde más información vas a sacar.
Y muy importante (sobre todo si descubres algo y vas a emprender acciones) tienes que documentar todo el proceso exaustivamente para establecer una sólida base.
[fecha / hora] Apago el equipo quitando el cable
[fecha / hora2] Arranco con el liveCD versión x.x
[fecha / hora3] Arranco la utilidad de clonado zzzzz versión y.y.y
...
Reply to: