web-dev-qa-db-ja.com

フォレンジックの宿題のためにログファイルを分析していますか?

2人のユーザーが午後6時にダンキンドーナツで殺人を犯したと仮定します。私は現場にハードディスクを持っています、disk1およびdisk2

ハードディスク上での各ユーザーのアクティビティの時間と順序を特定するにはどうすればよいですか?

Gmailの通信は簡単に選択できますが、他の通信はどこにも行きません。ユーザーが複数回ログオンしていることがわかります。また、いくつかの失敗したログインを見ることができます。これは、最初のディスクでそれらを引き起こした可能性があるのではないかと思います。 2番目のディスクはsshをインストールし、ブルートフォースパスワードクラッキングツールであるhydraを実行しているように見えます。肉体犯罪にどのように役立つのかわかりませんか? 2番目のディスクにもセッションが開いており、開いているセッションが閉じる前に他のセッションが開いていることが示されているため、これがリモートマシンであるかどうか疑問に思います。ここで何が起こっているのかよくわからないので、タイムラインがわかりません。

disk1(大きい)

(image containing a photograph of the logs of <code>disk1</code>, too long to reproduce)

disk2(大きい)

(image containing a photograph of the logs of <code>disk2</code>, too long to reproduce)

sshbrute-forceforensicslogginghydra
4
user2977715

私の解決策は次のとおりです。

ユーザーinnocentはソースから THC-Hydra をコンパイルし、必要なlibがないことに気づき、それをインストールします(したがって、Sudo aptitudeはinnocent-laptopにlibssh-2をインストールします)。その後、彼/彼女は18:22:30(ネットワーク構成でマークされている)にナイーブのsshに対してHydraを使用し始めます。攻撃は18:50:29に成功します。次に、イノセントはナイーブの.bash_historyの削除に進み、ナイーブのコンピューターでFirefoxを起動し(おそらくXトンネリングを介して)、ナイーブのGmailから自分のGmailに電子メールを送信して5で会議を要求します。午後50時。次に、イノセントはナイーブのコンピューターをシャットダウンし、彼/彼女のbash履歴を削除してから、イノセントラップトップもシャットダウンします。

これは基本的に、罪のない人が自分のためにアリバイを作ろうとしていることを意味し、それは基本的に彼/彼女を殺人の主な犯人にします。

TL; DR
無実は本当に無実ではありません。

ちなみに、このような宿題はどこで受けますか?このようなものは素晴らしいからです。

3
Wolfer