Jednym z elementów analizy systemu (po incydencie) jest analiza pamięci fizycznej. Problemem jest oczywiście zdobycie obrazu tej pamięci. Kiedyś można było zdobyć go bezpośrednio nawet za pomocą narzędzia dd przy czym a samą pamięć można było odczytywać z \Device\PhysicalMemory. To się jednak zmieniło. W ostatnich dniach pojawiło się jednak kilka narzędzi, które na uzyskanie obrazu pamięci pozwalają.
Tak jak pisałem z debuggerem nie czuję się jakoś specjalnie zaprzyjaźniony. Jest jednak narzędzie, które może być pomocne w odkryciu tego, w jaki sposób proces explorer.exe jest infekowany przez malware. Narzędzie to jest częścią pakietu Debugging Tools For Windows i nazywa się Logger.
Znalezienie plików identycznych jest dość proste. Wystarczy porównać ich sumy kontrolne. Dwa identyczne pliki dają tą samą sumę kontrolną (oczywiście pod pojęciem suma kontrolna rozumiem hash). Dla pewności można zastosować dwie funkcje skrótu – MD5 i SHA1 są w zupełności do tego wystarczające, nawet mimo (bardziej lub mniej) potencjalnych kolizji. Problem pojawia się wtedy, gdy trzeba zidentyfikować pliki podobne.
Rambo IV, Rocky (wiele razy), to będzie i Tamagotchi XIII, mimo, że niby część XII miała być ostatnią częścią sagi. Powód jednak jest istotny – niewyjaśniona zagadka...
Jeśli ktoś jest stałym czytelnikiem mojego bloga, a statystyki wskazują, że jest ich kilku, na pewno zauważył, że ostatnio coraz częściej pojawiają się wpisy związane z czymś, co można określić ogólnie jako computer forensics. Z tej okazji kilka słów wyjaśnienia...
Pora zakończyć cykl o moim Tamagotchi. Tym razem (z uwagi na obrazki) wpis znajduje się na wiki. Lista wpisów dotyczących tematu Tamagotchi znajduje się tu.
Ostatnio na newsach (to takie coś, co było przed forami) pojawiło się pytanie czym wyczyścić dysk przed sprzedażą. Jedną z odpowiedzi było narzędzie cipher. Jak już miałem okazję się przekonać, nie działa ono zbyt skutecznie:
To skłoniło mnie do małego eksperymentu...
W temacie identyfikatorów globalnych wypowiadałem się między innymi tutaj. Temat jednak jest na tyle istotny, że napiszę na jego temat kolejny raz.
...i z tego powodu należy poświęcać temu tematowi należną uwagę: Giving SQL Injection the Respect it Deserves.
(...) The SDL is very specific about what do here, there are three requirements – they are requirements not recommendations, which means you must do the following coding requirements and defenses: \* Use SQL Parameterized Queries \* Use Stored Procedures \* Use SQL Execute-only Permission (...)
To są na prawdę trzy proste kroki. W dodatku bardzo skuteczne.
Oryginał tego wpisu dostępny jest pod adresem Bo SQL Injection to problem jest...
Autor: Paweł Goleń
Ostatnio Tomek widząc moje zainteresowanie tematem sekcji zwłok (komputera oczywiście) podesłał mi informację o narzędziu F-Response. Co prawda już o nim wiedziałem wcześniej, ale mimo wszystko, dzięki za pamięć. Wiedziałem, ale nie używałem (i nadal nie miałem tej przyjemności niestety). Niektórzy ludzie jednak mieli okazję sprawdzić działanie tego narzędzia własnoręcznie. Opinie są bardzo pozytywne: