[HACK] Analisis Forense - Problemas con mount

Antonio Sanz ansanz at unizar.es
Thu May 6 12:25:17 CEST 2004 

Muy buenas a todos ...

Mmmm ... tienes una buena parte de razón. Dado que no podemos confiar en 
los comandos del sistema, tenemos que montar en el sistema nuestro propio 
set de herramientas, y eso en la mayoría de los casos implica usar el 
comando "mount"

No sería muy complicado como tú dices el que un troyano hubiera modificado 
el comando mount para que realizara algun tipo de operación en el sistema 
(yo lo haría tan sibilino que buscara en el medio herramientas tipicas 
forenses como lsof, nc, md5sum, etc ... y que solo "abortara" con una 
identificación positiva).

Se tendrían que mirar posibles formas de montar un dispositivo empleando 
otros comandos (tendría que mirar comandos de "automontado", a ver que se 
puede sacar), o formas de acceder directamente a los /dev para sacar de 
allí los datos mínimos para poder montar el dispositivo.

De todas formas, el proyecto tiene un caracter investigativo puro, ya que 
desde que se teclea un comando en el sistema comprometido estamos alterando 
el estado del mismo. La idea pasa pq los beneficios son mayores que los 
prejuicios, al ser posible obtener más información y datos muy interesantes 
sobre el estado del sistema.

Es un tema que surgirá y que investigaremos , tranquilo.

Mantendremos informados de las posibles soluciones encontradas,

Un saludo,

Antonio

--------------------------------
Sacha said:

La idea es buena, porque puedes recoger información importante, como las
conexiones activas en ese momento, etc.. pero tiene un problema: tienes
que montar el medio donde tengas las herramientas (ya sea CD, ya sea
disco USB...), es decir, tienes que ejecutar un programa que está

residiendo en el sistema comprometido y que puede haber sido modificado.
Tan sencillo como modificar el ejecutable mount para que borre los
restos que hayamos ido dejando y desinstale los posibles rootkits que
hayamos instalado,... en caso de que detecte que se está montando algún
medio de almacenamiento externo.

IANAL, pero creo que eso invalidaria cualquier prueba que pudieras
conseguir, aparte de la potencial eliminación de información.

More information about the hacking mailing list