Si vous souhaitez rassembler plus d'informations, le paquet tct (The Coroner's Toolkit de Dan Farmer et Wietse Venema) contient des utilitaires pour effectuer une analyse post mortem d'un système. tct permet à l'utilisateur de collecter des informations sur les fichiers effacés, les processus qui s'exécutent et plus. Consultez la documentation fournie pour plus d'informations. Ces utilitaires, ainsi que quelques autres, sont disponibles dans http://www.sleuthkit.org/ de Brian Carrier. Ils permettent l'analyse post mortem d'une image des disques par une interface Web. Dans Debian, vous trouverez les paquets sleuthkit (les outils) et autopsy (l'interface graphique).

N'oubliez pas que l'analyse post mortem devrait toujours être faite sur une copie des données et jamais sur les données elles-mêmes. Si ces dernières sont altérées par cette analyse, vous pourriez perdre des indices importants pour comprendre ce qui s'est passé exactement, en plus de rendre les preuves potentiellement non recevables en cour.

You will find more information on forensic analysis in Dan Farmer's and Wietse Venema's http://www.porcupine.org/forensics/forensic-discovery/ book (available online), as well as in their http://www.porcupine.org/forensics/column.html and their http://www.porcupine.org/forensics/handouts.html. Brian Carrier's newsletter http://www.sleuthkit.org/informer/index.php is also a very good resource on forensic analysis tips. Finally, the http://www.honeynet.org/misc/chall.html are an excellent way to hone your forensic analysis skills as they include real attacks against honeypot systems and provide challenges that vary from forensic analysis of disks to firewall logs and packet captures. For information about available forensics packages in Debian visit https://salsa.debian.org and search for forensic.

FIXME : Ce paragraphe fournira, dans un avenir proche je l'espère, plus d'informations sur l'analyse post mortem d'un système Debian.

FIXME : Décrire comment utiliser debsums sur un système stable avec les md5sums sur un CD et le système de fichiers récupéré restauré sur une partition séparée.

FIXME : Ajouter des liens vers des articles d'analyse post mortem (tel que le défi inversé de Honeynet ou les http://staff.washington.edu/dittrich/).