Analysstrategi. Förutsättningar. Översikt. Windowsbaserade system. Initial respons Juridisk översyn Forensisk duplicering (292)

Relevanta dokument
Ämnesintroduktion. Varför incidenthantering? Vårt mål? Incidenthantering - Datautvinning

Mattias Martinsson Länskriminalpolisen Halland

Storegate Pro Backup. Innehåll

Funktionsbeskrivning MyPayslip för Hogia Lön

Manual - Phonera Online Backup

Avancerade IT-Forensiska Verktyg I

Laboration 3 MEN ---- STOPP! GÖR INTE DET

Apple Remote Desktop 3. Viktor Glemme Systemingenjör - Apple glemme.v@euro.apple.com

Vad händer med dina kortuppgifter?

Acer erecovery Management

Micro Focus Vibe Desktop för Mac

D A T A U T V I N N I N G F R Å N D I G I T A L A L A G R I N G S M E D I A K U N S K A P S P R O V DT

Acer erecovery Management

Välkommen till Capture.

Filsystem. Varför? Hur? För att kunna lagra data mer permanent än i RAM. Vettig organisation Vettiga namn

Aktivitetsstöd Importfunktion

Laboration 3. Du har just brutit mot din egen policy. Vad måste du nu göra?

Hantera organisationens SDL-användare. Anvisningar för SDL-huvudanvändare

BOOK-IT 6.0. Backup Solaris

PRINTER DRIVER ADMINISTRATOR GUIDE

Manual - Storegate Team med synk

Manual - Storegate Team

Byggsektorns Miljöberäkningsverktyg Användarmanual

LABORATIONSRAPPORT Operativsystem 1 Linux

iphone/ipad Snabbguide för anställda på HB

Mobilus får inte användas under tiden uppdateringen genomförs.

Användarhandledning. Man trycker på Visa certifikat

Användarmanual. UPS Billing Center

Manual för publicering av tävlingar på MapandCoach

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Uppstart av ipad och konfigurering av itunes konto.

Skapa mapp. * Gör så här: Det finns många sätt att skapa mappar, men det enklaste sättet brukar vara följande.

Instruktion för Betanias Kundportal

Messit Webb användarhandledning

Datautvinning från digitala lagringsmedia

Lathund för Svenskt Näringsliv

Akzo Nobel AB. Användarguide - FAQ Externa användare. Sök jobb hos Akzo Nobel i vårt Rekryteringssystem

Snabbstartguide för McAfee VirusScan Plus

Boss installationsmanual förberedelser

Konton skapas normalt av användaren själv, men kan i undantagsfall behöva läggas upp av annan person, exempelvis en junioradmin.

INNEHÅLLS FÖRTECKNING

Välkommen till snabbstartsguiden - Hjälpprogram

Administrationsmanual ImageBank 2

Guide för överföring av kurser från Moodle 1.9 till 2.4

Instruktion: Trådlöst utbildningsnät orebro-utbildning

CLIENT DATA ÖVERFÖRING OCH RAPPORTERINGSPROGRAMVARA

10 TIPS FÖR ATT SÄKRA DIN HEMSIDA. Hur du gör för skydda dig mot att din hemsida ska hackas.

Dela, samarbeta, byt. Bruksanvisning för medlemmar

Lathund Elektronisk fakturahantering

Manual - Storegate Team

LUVIT Mobil 1.0 Manual

Definition DVG A06. Varför operativsystem? Operativsystem. Översikt. - Vad är ett operativsystem?

MANUAL FÖR UPPSATSADMINISTRATÖRER

LVDB i GEOSECMA. Innehåll. Inledning. Produkt: GEOSECMA Modul: LVDB Skapad för Version: Uppdaterad:

Lathund Blanketthotell Komma igång

Instruktioner för Axxell's Trådlösa Nät

Spårbarhet i digitala system. Biografi. Spårbarhet. Osynlig övervakning och de spår vi lämnar efter oss

Nordiskt frågeformulär om säkerhet på arbetsplatsen. Webbenkät utvecklad av Stilit AB

RUTINBESKRIVNING FÖR INSTALLATION AV KAMERA

Import av fastighetsfiler

JobOffice SQL databas på server

Frågor och svar om ArcGIS Pro Licensiering

ISA Informationssäkerhetsavdelningen

Administratörsroller Strukturen (Hierarkier) Användarhantering Kurshantering Bedömningsinställningar

INSTALLATIONSINSTRUKTIONER FÖR VIDA INNEHÅLL

Tomas Axelsson

Tipsen är skrivna utifrån Windows 10. Det kan se lite annorlunda ut i Windows 7 och 8 men tipsen bör fungera för alla operativsystemen.

Statistiska centralbyrån

Lathund för lämning och godkännande av sidor i V-TAB Online

Manual för din hemsida

Icarus Guard v1.05. Copyright Keylogic AB, 2008

Fillagringsplatser. Fillagringsplatser (information om fillagringsplatserna du har att tillgå på Konstfack) Inledning... 12

Lathund för uppsatsadministratörer

Linuxadministration I 1DV417 - Laboration 7 SSH-magi och systemtrolleri. Marcus Wilhelmsson 6 mars 2013

DVG A06. Operativsystem, mm. Karlstads universitet Datavetenskap. DVG A06 Johan Eklund. Datavetenskap, Karlstads universitet 1

MONA-handledning. 1. Inloggning. Version 2 1(5) Användarhandledning - UTKAST MONA-support. 1. Inloggning 2. Användning 3.

Skånetrafikens nya. Skolportal. Introduktionsutbildning

FANS Network Meeting. SAS Platform 25/10-18

Översikt över nya TwinSpace

Windowsadministration I

LVDB i GEOSECMA. Innehåll. Inledning. Produkt: GEOSECMA Modul: LVDB Skapad för Version: Uppdaterad:

1 Slutanvändarguide för installation. 1.1 Installera SmartDashBoard och SmartLog (Smart Console R77.20)

Ladda upp filer fra n PLC till PC

Evenemang på na.se. Klicka på Skapa evenemang! Klicka på Skapa nytt konto!

- ArcGIS Pro är en ny applikation som är tillgänglig som del av ArcGIS for Desktop. För att få ArcGIS Pro, köper man ArcGIS for Desktop

Essential Php Security Författare: Shiflett, Chris Antal sidor: 124 Förlag: O'Reilly

LVDB i GEOSECMA. Innehåll. Produkt: GEOSECMA Modul: LVDB Skapad för Version: Uppdaterad:

1 Översikt Vad är kontokoder? Konto/Mapp uppbyggnad Tillgång till Kontokoder Område Kontokoder...5

Uppdateringsguide v4 SR-3

Rekommenderad IT-miljö

Inlämning i Studentportalen

Krav: * Filen MpUpdate.exe får inte köras när du startar denna uppdatering.

Innehållsförteckning. 1. Log in 2. Home 3. My online visitors 4. Active chat 5. Settings

ANVÄNDAR-GUIDE för Bränneriets LAN

Det går att fixa på egen hand! Licens för 3 datorer ingår Kompatibel med Windows XP & Vista (Alla Versioner)

Generell säkerhet. Loggning - Hur mycket ska man logga? Inloggningsrutinerna i Unix. Loggning fortsättning

Manual Godman Redovisning

ABAX KÖRJOURNAL FÖR FÖRMÅNSBIL ABAX - problemlösare för alla med bil i arbetet

DGC IT Manual Citrix Desktop - Fjärrskrivbord

Transkript:

Analysstrategi Windowsbaserade system Förutsättningar Initial respons Juridisk översyn Forensisk duplicering (292) Översikt Volatil data Slack Fritt/oallokerat utrymme Filsystemet Händelseloggar Registret Övriga loggar Swap Applikationsfiler Temporärfiler Papperskorgen Utskriftskön Epost Nyckelordssök Intressanta filer Användare/ grupper Processer/ tjänster Filer/ foldrar Accesspunkter Schemaläggaren Pålitliga system Säkerhetsparametrar (292) 1

Loggar System Applikationer Säkerhet Filaccess Systemaccess Applikationsaccess Säkerhetsrättigheter Användarrättigheter (294) Händelseloggar Exempel Problem med händelseloggar Du loggar bara det du bett om. Dåligt användargränssnitt. Överfulla loggfiler. Felaktiga tolkningar vid offline-analys. (299) 2

Nyckelordssök Minimera fokus Fokus på vad? (302) Relevanta filer Verifiera filtypen (303) Tidslinjen Scriptade attacker ger täta händelsekedjor Manuella attacker ger också händelsekedjor Ett tungt lastat system gör mycket annat som kan interferera (304-307) 3

Epost Properitära format Specialkunskap om vart filerna finns Specialverktyg för datautvinning Kryptering? (308) Raderade filer och data Undelete Inte återställa på plats i ett körande system. Papperskorgen Inte alla program En papperskorg för alla användare (intern sturktur) Temporärfiler/ autosave (309) Återställning från backup Backuper Har backup gjorts? Vad har kopierats? (312) 4

Registret Programvara Hårdvara Registerbackuper (313-314) Swapfilen pagefile.sys Gömd fil Svårtydd Kolla registret Ska swapfilen tömmas vid nedstängning? (315-316) Skadade länkar Antyder att det funnits en fil en gång i tiden Ingen data (317) 5

Webläsaren History Cache Cookies Plugins (318) Användare User Manager usrstat Security Log event 636 (grupp), 642 (användare) \%systemroot%\profiles\... Endast använda konton SID (320) Skumma processer Kända profiler Magkänsla Flera olika saker som inte stämmer (321) 6

Dolda filer Filsystemspecifikt NTFS Strömmar (321-322) Hashdatabaser Sortera bort kända filer Peka ut kända filer (322) Accesspunkter Gör man en attack måste man komma in i systemet någonstans Lista alla accesspunkter telnet/ssh databas/sql ftp webserver tunnlar xserver dialup inte så vanligt (323-324) 7

Administratörsproblem Fjärradministration för administratörer öppnar upp hela diskar och partitioner (325) Schemaläggaren Perfekt för att gömma körningar off-hours Det räcker inte att döda processen en gång (326) Pålitlighetsberoenden Fungerar olika på olika system Viktigt att kartlägga Undvika? SID (327-328) 8

Granskning För att genomföra en attack måste man förbereda sig hacka ett hål skaffa lösenord ladda upp filer Detta går att se om man gör undersökningar av filträden Det kan vara svårt att skapa bra regler för otillåtna filer (329-330) Anställda som slutar Förbered med ett detaljerat avtal vid anställningens start Var öppen med vad som kommer att ske vid olika händelser Kontrollera loggar och cachar Finns misstanke kan sökningen göras fokuserad mot en viss fil Raderade filer i närtid kan vara extra intressanta Radera inte användaren, avaktivera den. Spara ett antal gamla backuper och ta en sista backup. (331-333) 9

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss