memax Δημοσ. 8 Μαΐου 2011 Δημοσ. 8 Μαΐου 2011 Καλησπέρα. Λοιπον η ερωτηση μου εχει να κανει με ενα καπως μπερδεμενο θεμα και δεν ειμαι σιγουρος αν μπορω να το διατυπωσω οπως πρεπει. Πριν λιγο καιρο μου ειχαν κλεψει το λαπτοπ αλλα τωρα το εχω παλι στα χερια μου. Τα windows ηταν κλειδωμενα με κωδικο στην εναρξη αλλα αυτο ξερω οτι ειναι κατι ευκολο να παρακαμφθει. Η ερωτηση μου ειναι : Υπάρχει καποιος τροπος να δω εαν αυτος που ειχε το λαπτοπ μου στα χερια του για περιπου 10 μερες, αν τελικα καταφερε να παρακαμψει τον κωδικο εισοδου και ακομη καλυτερα αν μπορώ να μαθω και τι εκανε μεσα στα windows Φαντάζομαι πως υπάρχει καποιο αρχείο καταγραφης στα windows για κατι παρομοιο αλλα με μια συντομη αναζητηση που εκανα δεν μπορεσα να βρω κατι ικανοποιητικό Ευχαριστω εκ των πρωτέρων
Moderators Gi0 Δημοσ. 9 Μαΐου 2011 Moderators Δημοσ. 9 Μαΐου 2011 Ανοιξε τον Event Viewer και πηγαινε στο Windows Logs-->Security. Στα δεξια σου θα δεις την λιστα με ολα τα σχετικα events της κατηγοριας. Αυτο που ψαχνεις ειναι το Logon (λογικα θα ειναι ψηλα στη λιστα απο τη στιγμη που εχεις μπει εσυ στα windows) Ριξε μια ματια σε ολα τα Logon events για να παρεις μια ιδεα.
memax Δημοσ. 9 Μαΐου 2011 Μέλος Δημοσ. 9 Μαΐου 2011 Ανοιξε τον Event Viewer και πηγαινε στο Windows Logs-->Security. Στα δεξια σου θα δεις την λιστα με ολα τα σχετικα events της κατηγοριας. Αυτο που ψαχνεις ειναι το Logon (λογικα θα ειναι ψηλα στη λιστα απο τη στιγμη που εχεις μπει εσυ στα windows)Ριξε μια ματια σε ολα τα Logon events για να παρεις μια ιδεα. Βασικα δεν εχω μπροστα μου τον συγκεκριμενο υπολογιστη οποτε δεν μπορω να το ελεγξω τωρα, αλλα με αυτον τον τροπο θα δω αν καποιος εκανε εισοδο στο συστημα σαν διαχειρηστης η κατι τετοιο Εννοω οτι δεν μπορω να δω αν ανοιξε το λαπτοπ---->παρεκαμψε τον κωδικο ή ακομη χειροτερα μπηκε απο Dos και εκανε την δουλεια του. Γιατι εμενα αυτο που με ενδιαφερει ειναι να μπορω να πω με σιγουρια οτι αντεγραψε καποια συμαντικα για μενα εγγραφα. Δεν ξερω αν εγινα κατανοητος αλλα οι γνωσεις μου ειναι περιορισμενες και αυτο που ζηταω ισως να ειναι δυσκολο Εσυ μου λες δηλαδη με λιγα λογια οτι αν μπηκε στο συστημα και καταφερε να ανοιξει τα windows θα υπαρχει καποια καταγραφη εισοδου σε αυτες τις ημερομηνιες ενω δεν θα επρεπε να εχει τπτ για οσο καιρο δεν το ειχα εγω ...... Σωστα τα λεω?
Moderators Gi0 Δημοσ. 9 Μαΐου 2011 Moderators Δημοσ. 9 Μαΐου 2011 Εσυ μου λες δηλαδη με λιγα λογια οτι αν μπηκε στο συστημα και καταφερε να ανοιξει τα windows θα υπαρχει καποια καταγραφη εισοδου σε αυτες τις ημερομηνιες ενω δεν θα επρεπε να εχει τπτ για οσο καιρο δεν το ειχα εγω ...... Σωστα τα λεω? Σωστα. Τωρα οσον αφορα τα εγραφα και αν τα εχει αντιγραψει καποιος, δεν μπορεις να κανεις και πολλα πραγματα σχετικα με τον εντοπισμο της αντιγραφης. Μπορεις να ριξεις μια ματια στο timestamp τους ομως, για να παρεις μια ιδεα εαν εχουν ανοιχτει.
memax Δημοσ. 9 Μαΐου 2011 Μέλος Δημοσ. 9 Μαΐου 2011 Σ ευχαριστω πολυ για την απαντηση σου. Αν σου ερθει και καμια αλλη ιδεα στειλ΄ την
AiWaaa Δημοσ. 9 Μαΐου 2011 Δημοσ. 9 Μαΐου 2011 Aπο την στιγμή που έιχε στη κατοχή του το λάπτοπ δεν χρειαζεται να μπει τα windows για να σου πάρει τα αρχεία.. Ένα απλο live cd φτάνει..
memax Δημοσ. 9 Μαΐου 2011 Μέλος Δημοσ. 9 Μαΐου 2011 Aπο την στιγμή που έιχε στη κατοχή του το λάπτοπ δεν χρειαζεται να μπει τα windows για να σου πάρει τα αρχεία.. Ένα απλο live cd φτάνει.. Ναι φιλε μου, αυτο που με νοιαζει ειναι να μπορω να πω με καποιον τροπο με σιγουρια οτι το εκανε και οχι αν μπορει να το κανει η οχι.... Απλα ρωταω αυτο για τα Windows γιατι φανταζομαι οτι αν πηρε καποια αρχεια μεσα απο dos δεν εχω καμια ελπιδα να μαθω τπτ...
lexmark Δημοσ. 11 Μαΐου 2011 Δημοσ. 11 Μαΐου 2011 Με σιγουριά δεν μπορείς να το πεις με κανέναν τρόπο. Από εκεί και πέρα, για τα win κάνε αυτό που σου είπε ο Gi0.
sphinxgr Δημοσ. 11 Μαΐου 2011 Δημοσ. 11 Μαΐου 2011 Δεν μπορείς να βεβαιωθείς με σιγουριά. Απλά μπορεί να μπήκε όπως είπε κ ο φίλος απο πάνω με Live cd και να τα πήρε. Αυτό δεν καταγραφεται πουθενά. Επίσης μπορεί να έβγαλε το δίσκο και να τον έβαλε σε άλλο υπολογιστή και να έκανε ότι ήθελε. Γενικά είσαι προστατευμένος μόνο σε εντελώς άπειρους χρήστες. Αν ήθελε να το κάνει, απλά το έκανε
Moderators Gi0 Δημοσ. 21 Μαΐου 2011 Moderators Δημοσ. 21 Μαΐου 2011 Τελικα μπορεις να πεις με σιγουρια αν καποιος εχει δει τα αρχεια, ακομα και αν δεν εχει χρησιμοποιησει τα windows. Μονο που ειναι πολυ advanced για το μεσο χρηστη. Forensics with Linux 101 (Blackhat 2003) Performing Digital Forensics with Open Source Tools (Fosscom 2011) Τα συγκεκριμενα μπορουν να γινουν προφανως οταν ο σκληρος που ελεγχουμε δεν εχει χρησιμοποιηθει απο τη στιγμη που μας ενδιαφερει και μετα. Ακομα και ενα απλο mount του, μπορει να καταστρεψει τυχον αποδειξεις.
lexmark Δημοσ. 21 Μαΐου 2011 Δημοσ. 21 Μαΐου 2011 Καλά αυτό είναι το μόνο σίγουρο. Κάπου είχα πετύχει και για τεχνολογία που θα μπορούσε να "ψαρεύει" data ακόμα και από τη ram. Βέβαια τότε δεν το είχα προχωρήσει το θέμα και δεν ξέρω κατά πόσο κάτι τέτοιο είναι εφικτό. Απλά για τον μέσο χρήστη, μην πω ακόμα και για έναν power user, κάτι τέτοιο δεν γίνεται (έπρεπε να το είχα ξεκαθαρίσει αλλά είπα να μην μπω σε λεπτομέρειες ).
Moderators Gi0 Δημοσ. 21 Μαΐου 2011 Moderators Δημοσ. 21 Μαΐου 2011 To post μου δεν ηταν "απαντηση" σε καποιον, sorry αν φανηκε κατι τετοιο Καθαρα απο περιεργεια το εψαξα λιγο περισσοτερο το θεμα και ειπα να ποσταρω τα ευρηματα για καθε ενδιαφερομενο. Οσον αφορα την ram και οτι data περιεχει, αναφερεται και η συγκεκριμενη περιπτωση στα pdfs.Αξιζουν τον κοπο για οποιον θελει να αφιερωσει λιγο χρονο, ειναι ενδιαφερον γνωσεις.
lexmark Δημοσ. 21 Μαΐου 2011 Δημοσ. 21 Μαΐου 2011 Όχι δεν είπα τίποτα για σένα! Προς θεού! Απλά είχα σκεφτεί όταν έγραφα την πρώτη μου απάντηση ότι μιας και είμαστε σε γενικές γραμμές πίσω σε τέτοια πράγματα εδώ στο Ελλαντα δεν υπάρχει λόγος να αναφερθεί μιας και θα φαινόταν κινέζικα (). Εσύ καλά έκανες και το ανέφερες για όποιον ενδιαφερθεί. Edit για πρωινά λάθη 2ο Edit: Περίεργο πάντως που δεν αναφέρουν και το Live View. Το έχω βρει πολύ καλό και χρήσιμο για αρκετές περιπτώσεις Επίσης περίεργο που, τουλάχιστον το πιο καινούργιο pdf, δεν αναφέρει και το backtrack. όπως κατάλαβες τώρα μόνο έκανα τον κόπο να τα δω -> Κανόνας: ποτέ μην κοιτάς κάτι σοβαρό αν δεν έχεις πιει τον πρώτο σου καφέ πρώτα
Moderators Gi0 Δημοσ. 21 Μαΐου 2011 Moderators Δημοσ. 21 Μαΐου 2011 Ουσιαστικα και το live view κατι αντιστοιχο με το dd κανει (οκ σε virtual machine αλλα η λογικη ειναι ιδια), οποτε υποθετω πως και στις 2 περιπτωσεις επιασαν μια γενικη εικονα, με επικεντρο αυτα που χρησιμοποιησε ο καθε παρουσιαστης. Λογικο αλλωστε, υποθετω πως δεν θα μπορουσε κανεις να αναπτυξει σε ενα paper καθε forensic tool που υπαρχει
memax Δημοσ. 21 Μαΐου 2011 Μέλος Δημοσ. 21 Μαΐου 2011 Ευχαριστώ όλους Gi0 τα δυο pdf που εβαλες λινκ ειναι φοβερα ακομη και για μενα τον " κατω απο medium user " χρηστη Linux Σ' ευχαριστω
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.