Presentacion Herramienta de ayuda al análisis forense en vivo de sistemas Linux

De
Publicado por


Cada día se descubren nuevas vulnerabilidades en los sistemas operativos y, de manera intrínseca, formas de explotar esas vulnerabilidades. El objetivo principal de este proyecto consiste en el análisis, diseño e implementación de una herramienta desarrollada en Java que sirva de ayuda al análisis forense en vivo de sistemas Linux. Para ello presentará, de forma gráfica y en tiempo real, información de la máquina en la que se ejecuta, referente a procesos, conexiones de red, módulos cargados y conexiones SSH establecidas. Como resultado se ha obtenido una aplicación de análisis con las siguientes características: No modificable: está pensada para ser ejecutada desde dispositivos de sólo lectura y así evitar posibles infecciones de malware. Autocontenida: no llama a ejecutables del sistema operativo que pueden estar comprometidos, sino que trabaja con la información del kernel que procesa a través de /proc. Portable: gracias a los dos puntos anteriores conseguimos una herramienta funcional sin necesidad de instalación. _______________________________________________________________________________________________________________________
New vulnerabilities and different ways to exploit them on operative systems are discovered every day. The main targets of this project are the analysis, design and implementation of a Java developed tool, which helps us with the forensic analysis of Linux live systems. To accomplish this task, the application will display, graphically and in real time, information about the computer in which the tool is being executed. These data will inform about processes, network connections, kernel loaded modules and established SSH connections. The obtained result is an application with the following features: Unmodificable: the tool must be executed from read-only devices in order to avoid malware attacks. Self-contained: instead of calling system executables that could be already corrupt it works with the kernel information that is processed through /proc. Portable: thanks to the previous features, we get a functional tool that doesn’t need to be installed.
Ingeniería Industrial
Publicado el : viernes, 23 de septiembre de 2011
Lectura(s) : 28
Etiquetas :
Fuente : e-archivo.uc3m.es
Licencia: Más información
Atribución, no uso comercial, sin cambios
Número de páginas: 14
Ver más Ver menos
Proyecto Fin de CarreraHerramienta de ayuda al anlisis forense en vivo de sistemas LinuxUniversidad Carlos III de MadridAutor: Jos María López OteroTutor: Juan Manuel Canelada Oset6 de octubre de 2011
eHrarmineMotivaciónObjetivosContenidoPosibles escenariosSoluciones actualesWarroningLíneas futurast aeda uyada  lnalásii sofersn enev iovd  essitmesaL nixu2
eHrarmineMotivación (I)Sistemas operativos en red vulnerablesAumento en la diversidad de ataquesContraseñas dbilesProgramas que podrían estar comprometidos (ps, netstat, lsmod, etc)Necesidad de una solución portable, autocontenida y resistente a ataquesFacilitar el trabajo al investigador/administradort aeda uyada  lnalásii sofersn enev iovd  essitmesaL nixu3
eHrarMotivación (II)Número de incidentes de seguridad entre 1999 y 2010minet aed ayuda al anlásii sofersn enev iovd  essitmesaL nixuTaxonomía de los incidentes en 20104
eHrarmineObjetivosLectura rápida de información del sistemaProcesosConexiones de redMódulos cargados en el kernelRegistro de accesos SSHPortableNo modificableIndependiente de ejecutables del sistemat aeda uyada  lnalásii sofersn enev iovd  essitmesaL nixu5
eHrarminePosibles escenariosNotamos comportamiento anómaloCon el sistema en reposo se consumen recursosTráfico de red elevadoAlta carga en el procesadorEspacio en disco reducidoNo puedo acceder con mi usuarioProgramas no cargan, se cierran, se bloquean, etct aeda uyada  lnalásii sofersn enev iovd  essitmesaL nixu6
eHrarmineSoluciones actualesWhat's RunningInterfaz gráficaSólo para WindowsLínea de comandost aeda uydNecesidad de especializaciónDatos presentados poco amigablesLos programas podrían estar modificados (rootkits de usuario) alaa nlásii sofersn enev iovd  essitmesaL nixu7
eHrarmineWarroning: características (I)No modificableEjecutable desde dispositivos de sólo lecturaCD, DVD, pendrive protegido frente a escrituraAutocontenidaNo llama a ejecutables del sistemaJVM incluida en la herramientaTrabaja con información del kernel a travs de /procPortablet aeda uyada  lnalásii sofersn enev iovd  essitmesaL nixu8
eHrarmineWarroning: características (II)Desarrollada en JavaInterfaz gráficaFramework SwingInformación en vivot aeda uydAutorefresco de los datos mediante threads alaa nlásii sofersn enev iovd  essitmesaL nixu9
eHrarmineWarroning: funcionalidadesInfo. de procesosInfo. de conexiones de redInfo. de módulos cargados en el kernelInfo. de accesos SSHNavegación entre conexiones y procesosExploración del .bash_historyExportación de datos en XMLt aeda uyada  lnalásii sofersn enev iovd  essitmesaL nixu01
eHrarminet aeda uyada  lnalásii sofersn eWarroning: demonev iovd  essitmesaL nixu11
¡Sé el primero en escribir un comentario!

13/1000 caracteres como máximo.