 
字體:小 中 大 |
|
|
|
| 2009/06/17 14:16:19瀏覽300|回應1|推薦0 | |
| 資訊安全事件的採證想法..
我發現很多文章在探討這個主題,實務上的模擬實作也很多(但很貴),真正的作完整模擬實作的人恐怕不多,可是很多人沒有作過模擬實作就上場作資安的採證,往往所遺漏的比收集的多,而且現在網路發達的情形下,就整個電腦(或伺服器)的蒐證是完全不夠的,所以現場工作就顯得十分重要。 首先很多人的思考是問,我為什麼會發生這個情形! 許多資安人員的想法也是這樣,然後開始清查系統服務、系統資訊等等,想從這一些訊息得到一絲可能的線索,但是很大的比例告訴我們,這樣是不夠的,所以我才會有不同的想法!我換個角度談好了,很多人認為從LOG檔(稽核檔)可以看到問題,往往就找不到問題! 以下是我的看法: 1.找出系統特性:視窗系統有各種版本,資安人員必需要認真的了解每個版本的特性,其次是更新後的特性,再來就是使用的特性,要把這種特性轉化一下成為一種獨特性,一定要經過比較及量化。 2.系統工作行為:就是系統開機到開機完成後的工作情形! -有空再寫- |
|
| ( 休閒生活|生活情報 ) |
