Forenzní analýza zjišťuje co se stalo, jak se to stalo a kdo za tím stojí. Klíčové je zachovat integritu důkazů.
Chain of custody¶
- Dokumentujte nález (čas, místo, kdo)
- Hash evidence před analýzou (SHA-256)
- Pracujte na kopii, nikdy na originálu
- Zaznamenávejte každý krok
- Ukládejte evidence bezpečně
Klíčové nástroje¶
Disk image¶
dd if=/dev/sda of=disk.img bs=4M status=progress sha256sum disk.img > disk.img.sha256
Memory dump¶
sudo avml memory.dmp
Volatility — memory analysis¶
vol3 -f memory.dmp windows.pslist vol3 -f memory.dmp windows.netscan
Log analysis¶
grep -r “Failed password” /var/log/auth.log | sort | uniq -c | sort -rn
Linux forensics¶
Timeline¶
find / -newer /tmp/reference_time -print 2>/dev/null
Persistence¶
crontab -l ls -la /etc/cron.d/ systemctl list-unit-files –state=enabled
Network¶
ss -tulpn iptables -L -n
Klíčový takeaway¶
Hash evidence, pracujte na kopii, dokumentujte. Volatility pro paměť, dd pro disky.