Развитие технологий приносит пользу и преступникам. Обнаружение следов неправомерного использования применяется к машинам, которые как использовались для проведения атак, так и стали их объектом. В настоящее время доступно множество исследований о том, как действовать на месте происшествия и анализировать работающие системы Linux с помощью команд, доступных после входа в систему на рабочем устройстве. Не менее важным методом следственной работы является исследование образа диска, созданного в соответствии с правилами криминалистики. Вы также можете подключить тестируемый диск к исследовательской машине безопасным способом, через судебно-медицинский блокировщик записи. Именно эти методы обсуждаются в этой книге.

В нем подробно описывается, как найти и интерпретировать электронные доказательства, расположенные на настольных компьютерах, серверах и устройствах Интернета вещей под управлением Linux, а также как восстановить последовательность событий, произошедших после совершения преступления или инцидента безопасности. Представлены принципы анализа запоминающих устройств, файловых систем и установленного программного обеспечения. Объясняет, как проверять журнал systemd, журналы ядра и его системы аудита, а также журналы демона и приложений. Кроме того, вы найдете обзор методов анализа конфигурации сети, включая интерфейсы, адреса, сетевые менеджеры и артефакты, связанные с беспроводными сетями, VPN и брандмауэрами.

Благодаря книге вы узнаете, как:

• проверьте важные настройки
• реконструировать процесс загрузки Linux
• анализировать таблицы разделов, управление томами, файловые системы, структуру каталогов, установленное программное обеспечение и конфигурацию сети.
• изучите историю физической среды, перезагрузок и сбоев системы.
• анализировать сеансы входа пользователей
• определить следы подключенных периферийных устройств

Анализ Linux: начните свое приключение с компьютерной криминалистики!