Documente Academic
Documente Profesional
Documente Cultură
anul 1936 de catre Konrad Zuse, sub numele de Z1. In anul 1944, a fost construit
computerul Mark I de la Harvard. In perioada in care au aparut tranzistorii, una
dintre cele mai importante componente pentru functionarea calculatoarelor, a fost
introdus si ENIAC 1. Electronic Numerical Integrator And Computer, a fost primul
calculator electronic de uz general. Era un calculator numeric, Turing-complet,
capabil de a fi reprogramat pentru a rezolva o gamă largă de probleme calculatorii.
In anul 1953 a aparut pe piata International Business Machines (IBM) creand
sisteme si servere noi pentru uz public si privat.
Master Boot Record (MBR) este zona de stocare pe care sistemul de operare o
foloseste pentru a gasi informatii in legatura cu pornirea PC-ului.
Windows-ul are 2 sisteme de fisiere:
I. FAT – atunci cand un fisier este scris, locatia clusterului este folosita pentru
a identificata unde fisierul este localizat logic. Cand se sterge fisierul,
sistemul de fisiere FAT pune o secventa E5 de caractere hexazecimale in
tabel pentru a se vedea ca un cluster este disponibil pentru fisiere noi. Se
poate localiza prin tool-uri fisiere care au fost sterse din FAT directory, dar
sunt inca localizate fizic in sistemul de stocare.
II. NTFS - acest sistem gestioneaza fisiere prin doua metode: (a) recycle bin
sterege fiserele folosind interfata GUI. O intrare este creata apoi in Info2
record file (contine metadata); (b) sistemul marcheaza clusterele ca fiind
disponibile. Schimbarile apar si in MFT. Se poate gasi cached data in spatiul
nealocat (informatii salvate temporar).
Identificare anomalii:
o Array-urile pot fi utilizate pentru a reprezenta diferite structuri de date,
iar anomaliile din aceste structuri pot indica activități rău intenționate
sau incidente de securitate. Modelele neobișnuite sau valorile
neașteptate din matrice pot fi indicatori de compromis.
Corelatii si reconstructie:
o Corelarea informațiilor în diferite matrice sau structuri de date este o
sarcină comună în criminalistica memoriei. Înțelegerea modului în
care sunt organizate datele permite analiștilor criminalistici să
reconstruiască evenimente, relații sau acțiuni ale utilizatorului în
timpul unui incident. De exemplu, corelarea marcajelor de timp în
matrice legate de execuția procesului și conexiunile la rețea poate oferi
informații despre secvența evenimentelor.
Unul dintre telurile principale pe care le are Forensic Analysis este reconstructia
scenei prin analiza temporala, functionala si relationala.
A. Identificare
a. Inventar al incidentului ce urmeaza a fi investigat.
b. Prezentare situatie initiala
c. Intrebari ce trebuie ulterior clarificate
B. Backup
a. A se determina daca sistemul poate sa opereze dupa incident.
C. Analiza
a. Indiferent de incident
b. Identificare: procese, cauze, parti responsabile
D. Documentatie
a. Toti pasii vor fi consemnati.
E. Prezentare
a. O sumarizare intr-un raport
b. Contine factori precum: identitatea faptasului, durata si gravitatea
situatiei, cauze si motive.
Este important sa se inteleaga procesul in care codul sursa este compilat, legat si
devine executabil. Pasii pe care ii urmeaza un autor al codului malicios in timpul
compilarii codului vor determina elementele care pot fi puse la probe - descoperite
in timpul examinarii codului. Atunci când un program este compilat, codul sursă al
programului este procesat intr-un compilator, un program care traduce
instrucțiunile de programare într-o altă formă. Odată procesat de compilator, codul
sursă este convertit într-un anumit fisier obiect sau cod masina, deoarece conține o
serie de instrucțiuni destinate nu citirii umane, ci executării de către CPU. Un fișier
obiect este rezultatul procesului de compilare a codului sursă într-un limbaj de
programare, cum ar fi C sau C++. Compilatorul traduce codul sursă într-un format
special, numit fișier obiect. Acest fișier conține codul mașină, care este un set de
instrucțiuni într-un format pe care procesorul computerului îl poate înțelege și
executa. După ce codul sursă este compilat într-un fișier obiect, un linker
asamblează orice biblioteci și cod obiect necesare împreună pentru a produce un
fișier executabil care poate fi rulat pe sistemul de operare gazdă. Bibliotecile sunt
colecții de cod predefinite care pot fi utilizate în programele noastre. Ele conțin
funcții și resurse comune folosite pentru a rezolva diferite probleme. De exemplu o
functie de matematica folosita fara a mai scrie codul din spate. Adesea, în timpul
compilării, sunt adăugate în fișierul executabil bucăți de informație care pot fi
relevante pentru investigația generală.