Computer Forensics foredrag - Prosa
Computer Forensics foredrag - Prosa Computer Forensics foredrag - Prosa
Hvordan slettes data Filsystemer skal være hurtige - skal ikke lave unødvendige operationer En harddisk er en fysisk disk med en arm der skal bevæges og et læse/skrivehoved som skal tændes og slukkes Hvis man kan undgå at skulle skrive over hele filen ved sletning er det hurtigere De fleste operativsystemer sletter derfor kun metadata og overskriver derfor ikke alle datablokke for filer Eksempel DOS FAT • Når man slettede en fil på MS-DOS fjernede man reelt kun det første bogstav i filnavnet • undelete bestod i at skrive det første bogstav i filnavnet - og håbe på at alle datablokke der hørte til filen stadig var at finde på disken c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 42
Hvorfor er data blevet slettet Er det et uheld ... eller med vilje Vigtigere: er de blevet overskrevet? c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 43
- Page 1 and 2: Velkommen til Computer Forensics fo
- Page 3 and 4: Computer Forensics foredrag Emner d
- Page 5 and 6: Hvis I har travlt og går før tid
- Page 7 and 8: Incident response Hvad er en hænde
- Page 9 and 10: Fordele ved computer forensics Hvad
- Page 11 and 12: Brug af F.I.R.E forensics cd-rom F.
- Page 13 and 14: Data som bevismateriale Data er fly
- Page 15 and 16: FRED First Responders Evidence Disk
- Page 17 and 18: Registreringsdatabasen Windows syst
- Page 19 and 20: Andre typer computer forensics Netv
- Page 21 and 22: TCT The Coroner’s Toolkit (TCT) i
- Page 23 and 24: Forbindelser til autopsy Når I sta
- Page 25 and 26: Analyse første skridt - create dat
- Page 27 and 28: Hvorfor er tiden så vigtig tid por
- Page 29 and 30: Encase Kommercielt værktøj Bruges
- Page 31 and 32: Incident response plan Et værn mod
- Page 33 and 34: Ligegyldighed - er hurtigst kræver
- Page 35 and 36: Hændelse - metodik Ved at have en
- Page 37 and 38: Er systemet slukket eller tændt? T
- Page 39 and 40: Recovering from root compromise Hå
- Page 41: ”I only replaced index.html” De
- Page 45 and 46: Steganografi Emnet hedder generelt
- Page 47 and 48: Darik’s Boot and Nuke • Autocla
- Page 49 and 50: netcat og cryptcat netcat (nc) er e
- Page 51 and 52: Case: Hvad kan man komme ud for And
- Page 53 and 54: Hvad skal man bruge til et incident
- Page 55 and 56: Confidentiality Integrity Availabil
- Page 57 and 58: Reklamer: kursusafholdelse Security
- Page 59 and 60: File System Forensic Analysis • F
- Page 61 and 62: Hackerværktøjer • nmap - http:/
- Page 63 and 64: Referencer Internet • http://www.
- Page 65: GIAC GSEC krav Security Essentials
Hvordan slettes data<br />
Filsystemer skal være hurtige - skal ikke lave unødvendige operationer<br />
En harddisk er en fysisk disk med en arm der skal bevæges og et<br />
læse/skrivehoved som skal tændes og slukkes<br />
Hvis man kan undgå at skulle skrive over hele filen ved sletning er det<br />
hurtigere<br />
De fleste operativsystemer sletter derfor kun metadata og overskriver<br />
derfor ikke alle datablokke for filer<br />
Eksempel DOS FAT<br />
• Når man slettede en fil på MS-DOS fjernede man reelt kun det første bogstav i filnavnet<br />
• undelete bestod i at skrive det første bogstav i filnavnet - og håbe på at alle datablokke der<br />
hørte til filen stadig var at finde på disken<br />
c○ copyright 2005 Security6.net, Henrik Lund Kramshøj 42