Product SiteDocumentation Site

11.5. Analyse von Schadprogrammen

Einige andere Programme aus der Debian-Distribution, die für forensische Analyse verwendet werden können, sind: strace und ltrace
Alle diese Pakete können dazu benutzt werden, um Schurkenprogramme (wie z.B. Hintertüren) zu analysieren, um herauszufinden, wie sie arbeiten und was sie mit dem System anstellen. Einige andere gebräuchliche Werkzeuge sind ldd (in libc6), strings und objdump (beide in binutils).
Wenn Sie eine forensische Analyse von Hintertüren oder verdächtigen Programmen durchführen, die Sie von gehackten Systemen haben, sollten Sie dies in einer sicheren Umgebung durchführen, z.B. in einem bochs-, oder xen-Image oder in einer chroot-Umgebung eines Benutzers mit geringen Rechten.[79] Andernfalls könnte auch auf Ihrem eigenen System eine Hintertür eingerichtet oder Root-Rechte erlangt werden.
Falls Sie an der Analyse von Schadprogrammen interessiert sind, sollten Sie das Kapitel http://www.porcupine.org/forensics/forensic-discovery/chapter6.html aus dem Forensik-Buch von Dan Farmer und Wietse Venema lesen.


[79] Seien Sie äußerst vorsichtig, wenn sie Chroots einsetzen wollen, da das Binary durch Ausnutzung eines Kernel-Exploits seine Rechte erweitern und es ihm darüber gelingen könnte, Ihr System zu infizieren.