[HACK] Proyecto de Análisis Forense: Recogida de datos "in situ" para Linux

[Sacha Fuentes]

Antonio Sanz wrote:

La idea es buena, porque puedes recoger información importante, como las 
conexiones activas en ese momento, etc.. pero tiene un problema: tienes 
que montar el medio donde tengas las herramientas (ya sea CD, ya sea 
disco USB...), es decir, tienes que ejecutar un programa que está 
residiendo en el sistema comprometido y que puede haber sido modificado.

Tan sencillo como modificar el ejecutable mount para que borre los 
restos que hayamos ido dejando y desinstale los posibles rootkits que 
hayamos instalado,... en caso de que detecte que se está montando algún 
medio de almacenamiento externo.

IANAL, pero creo que eso invalidaria cualquier prueba que pudieras 
conseguir, aparte de la potencial eliminación de información.

My 0.02 de euro ;)

> Este punto es bastante peliagudo pq se puede recoger gran cantidad de 
> información vital que se pierde cuando se apaga el equipo, pero tb se 
> corre el riesgo de manipular el propio sistema sobre el q se trabaja.
> 
> Mi idea inicial era tener un CD con herramientras linkadas 
> estáticamente, que mediante una serie de scripts recogieran una serie de 
> información y la volcaran a un disquete (o a un llavero USB si es 
> posible), para tocar lo menos posible el equipo infectado.
> 
> Estoy MUY interesado en dos vertientes: las implicaciones que esta 
> recogida de información pueden tener sobre el sistema (hasta qué punto 
> es manipulado ), y sobre todo las posibilidades legales del mismo.
> 
> La intención final sería tener un conjunto de herramientas que pudieran 
> automatizar el proceso de recogida de información de un sistema 
> comprometido, conservando la validez tanto de la evidencia recogida como 
> de la que quede residente en el propio equipo.
>