[ nukleus @ 22.09.2011. 15:24 ] @
U nekim slučajevima neophodno je prikupiti podatke sa računara čiji se rad ne sme prekidati i ne postoji mogućnost da se računar se isključi ili resetuje (web server, produkcioni sistemi ...). U takvim slučajevima neophodno je koristiti live odnosno živu forenziku kako bi se prikupili potrebni podaci.
S obzirom na mesto sa kog se prikupljaju podaci kao i mogućnosti ili nemogućnosti pristupa samom hardveru računara live forenzika se deli na dve glavne kategorije
- lokalna (local live response)
- udaljena (remote live response)
pored ovoga postoji i treća varijanta a to je hibridna metoda prikupljanja podatka (hibryd live response) koji predstavlja kombinaciju prethodna dva.
U sledećim postovima ću objasniti svaku od njih i dati kompletne bach fajlove koje možete koristiti prilikom prikupljanja podataka!

[Ovu poruku je menjao nukleus dana 22.09.2011. u 22:25 GMT+1]
[ nukleus @ 22.09.2011. 21:37 ] @
localna metoda prikupljanja podataka Local live response koristi se u situacijama kada forenzičar ili tehničar ima pristup samom hardveru računara. Potrebno je da ubaci USB na kome se nalazi određeni broj fajlova i bach fajl koji je dodat u ovom postu. Izvršavanjem ovog bach fajla svi podaci će biti sačuvani na USB disku zbog toga vodite računa da na USB-u ima dovoljno slobodnog mesta. Takođe na USB disku se mora nalaziti i određeni broj izvršnih fajlova ali svi su dodati uz ovaj post i dovoljno je samo raspakovati ih na USB i posle toga se mogu bez problema koristiti.
Koristite tako što uđete u folder localna a zatim pokrene upišete komandu:
batchlocal E: (vodite računa da je ovde stavljno slovo E kao oznaka uređaja a vi treba da upišete oznaku koju USB dobije na sistemu na kom radite!)

P.S. zbog ograničene veličine fajlova morao sam arhivu da podelim na više delova!

--
clamav pronasao virus u attachmentu, uklonjeno

[Ovu poruku je menjao Gojko Vujovic dana 01.05.2013. u 09:40 GMT+1]
[ nukleus @ 22.09.2011. 21:47 ] @
udaljena metoda prikupljanja podataka remote live response koristi se u situacijama kada forenzičar ili tehničar nema pristup samom hardveru računara. Potrebno je da pokrene fajl sa svog računara i putem mreže će se podaci preneti do vašeg računara. U postu je dodat određeni broj fajlova i bach fajl koji je kreiran za ovu namenu. Izvršavanjem ovog bach fajla koristiće se pcexec.exe program preko koga se preko mreže izvršavaju aplikacije kao da su pokrenute u lokalu. Ovde postoji problem što forenzičar mora znati korisničko ime i šifru za pristup tom računaru i ukoliko nema saradnju nekog administratora iz te mreže mora se koristiti tehnikama etičkog hakinga kako bi došao do tih podataka.

Koristite tako što uđete u folder hibridna a zatim pokrene upišete komandu:
batcremote ipadresa username password (vodite računa da je potrebno sa razmacima uneti prvo IP pa onda Username pa Password na primer batcremote 192.168.80.8 Administrator Testiranje)

P.S. zbog ograničene veličine fajlova morao sam arhivu da podelim na više delova!

--
clamav pronasao virus u attachmentu, uklonjeno

[Ovu poruku je menjao Gojko Vujovic dana 01.05.2013. u 09:40 GMT+1]
[ nukleus @ 22.09.2011. 22:06 ] @
hibridna metoda prikupljanja podataka Hibryd live response koristi se u situacijama kada forenzičar nema pristup samom hardveru računara jer je računar udaljen i nema se vremena ili nije isplativo da forenzičar izlazi na teren. Potrebno je da neko lice (tehničar, administrator) pokrene fajl sa osumnjičenog računara i putem mreže će se podaci preneti do vašeg računara. U postu je dodat određeni broj fajlova i 2 bach fajl koji su kreiran za ovu namenu.

Koristite tako što uđete u folder hibridna na svom računaru a zatim u folder server i upišete komandu: batchserver - nije potrebno unostiti nikakve parametre ali morate znati koja je IP adresa jer ste sada pokrenuli server koji očekuje da mu klijent pošalje podatke putem mreže

Zatim je potrebno da ovlašćeno lice koje ima pristup računaru uđe u folder hibridna a zatim u folder client i upišete komandu: batchclient IPadress (ovde unosite umesto IPadress adresu računara na kome je pokrenut serverski batch fajl) a zatim je potrebno sačekati neko vreme da bi se svi podaci preneli putem mreže!



P.S. zbog ograničene veličine fajlova morao sam arhivu da podelim na više delova!

--
clamav pronasao virus u attachmentu, uklonjeno

[Ovu poruku je menjao Gojko Vujovic dana 01.05.2013. u 09:40 GMT+1]
[ svedok @ 18.10.2011. 12:48 ] @
Odlicno, za pohvalu.
[ Aco_83 @ 09.01.2014. 09:13 ] @
Citat:
nukleus:
localna metoda prikupljanja podataka Local live response koristi se u situacijama kada forenzičar ili tehničar ima pristup samom hardveru računara. Potrebno je da ubaci USB na kome se nalazi određeni broj fajlova i bach fajl koji je dodat u ovom postu. Izvršavanjem ovog bach fajla svi podaci će biti sačuvani na USB disku zbog toga vodite računa da na USB-u ima dovoljno slobodnog mesta. Takođe na USB disku se mora nalaziti i određeni broj izvršnih fajlova ali svi su dodati uz ovaj post i dovoljno je samo raspakovati ih na USB i posle toga se mogu bez problema koristiti.
Koristite tako što uđete u folder localna a zatim pokrene upišete komandu:
batchlocal E: (vodite računa da je ovde stavljno slovo E kao oznaka uređaja a vi treba da upišete oznaku koju USB dobije na sistemu na kom radite!)

P.S. zbog ograničene veličine fajlova morao sam arhivu da podelim na više delova!

--
clamav pronasao virus u attachmentu, uklonjeno

[Ovu poruku je menjao Gojko Vujovic dana 01.05.2013. u 09:40 GMT+1]





Pozdrav,

mozes li ponovo postaviti prvi dio datoteke localna.part1 ili ako mozes poslati na mail [email protected]



hvala