Инструментальные средства обеспечения безопасности

DIR


Команда каталогов (dir) не является настоящей программой, которую вы можете скопировать на свой компакт диск, содержащий инструменты для "живого ответа". Это команда интерпретируется в программе командной оболочки (cmd.exe). В этом разделе приведены опции командной строки, которые вам потребуются для сбора информации, касающейся последних обращений к системе, последних изменений и времени создания или модификации файлов на машине-жертве.

Поскольку вы захотите фиксировать информацию о машине-жертве в таком порядке, когда в первую очередь собираются наиболее "коротко живущие" данные, то сначала вы получите сведения о самом последнем обращении к системе. Затем вы зафиксируете временные метки последних модифицированных файлов, а затем метки последних созданных файлов. Мы рекомендуем выполнить эту команду где-то в начале вашего расследования так, чтобы вы имели хороший набор временных меток в случае, если они будут изменены в процессе вашего ответа на атаку взломщика.

Совет. Необходимо фиксировать временные метки как можно раньше, потому что это может оказаться единственной хорошей копией, которую вы сможете получить. Например, если в процессе расследования происходит непреднамеренное обращение к файлу, вы можете всегда вернуться к данным с временными метками, которые вы зафиксировали в начале.



Содержание раздела