Einbruch und Analyse

[schwip]

Hallo,

ich hätte mal ein paar Fragen zum Thema Einbruchserkennung und deren späteren Analyse. Kennt jemand bestimmte Seiten oder Howtos für einen Einstieg? Oder kann jemand direkt schon Tipps und Tricks nennen? Mit welchen Tools kann man am besten, im Nachhinein die Spuren nachvollziehen? Vielleicht auch gleich gefragt, wie zerstöre ich keine wertvollen Details?

Viele Grüße

[michaelmeier]

Wie du keine Details zerstörst? Am besten: Kiste aus! Und das zeitnah! Platte ausbauen... und dann die schön irgendwo anders an einer seperaten Kiste anschließen und dann mal begutachten, was denn da gelaufen ist.

Wobei: manch einer ist auch scharf darauf, zu sehen, was im Hauptspeicher gerade so vor sich geht... wenn man da weiß was man tut, dann muss man den natürlich zuvor noch dumpen.

Was meinste du denn mit Einbruchserkennung? Host-basiert? Netzwerk-basiert?

Top 5 Intrusion Detection Systems kann für den Einstieg helfen. Oder - vielleicht etwas theoretischer - der hier: Studie IDS Startseite

[schwip]

Super!

Vielen Dank für die schnelle Antwort. Einbruchserkennung meine ich in Bezug auf den jeweiligen Host.

Ist es sehr simpel den Speicherinhalt in eine Datei zu dumpen?

In puncto Begutachtung der Festplatte, gibt es dort empfehlenswerte Tools? Kennt jemand vielleicht ein gutes Buch zu dem Thema?

[lupo49]

z.B. das Buch hier:

LAN-Sicherheit: Schwachstellen, Angriffe und Schutzmechanismen in lokalen Netzwerken - am Beispiel von Cisco Catalyst Switches: Andreas Aurand: Amazon.de: Bücher

[carstenj]

Hi,

ich empfehle das hier:

Forensic Discovery

Meiner Meinung nach ein extrem lesenswertes Buch. Vor allem für diesen Teil:

Vielleicht auch gleich gefragt, wie zerstöre ich keine wertvollen Details?

Bearbeitet 23. Dezember 2008 von carstenj