[0] Análisis Sistemas Forenses - Este documento se basa en el trabajo de David Dittrich de la Universidad de Washington.
[1] RootKit - Un "rootkit" es un conjunto de herramientas que: garantizan el acceso posterior al sistema, facilitan el potencial acceso a otros servidores, facilitan el borrado de huellas del atacador, intentan esconder al atacante de los usuarios legítimos del sistema.
[2] Ataque de Limpieza - Es un tipo de ataque informático local o remoto cuyo objetivo es la eliminación de las pruebas de compromiso anterior. El resultado de este tipo de ataques puede ser un destrozo de información en un equipo anteriormente comprometido o de un forense informático. El atacante intenta llevar acabo un borrado de información masivo, utilizando las técnicas de eliminación de información por sobre escritura si se trata de un ataque remoto y/o deformación magnética y des-magnetización de medios si se trata de un ataque local.
[3] UPX - Ultimate Packer for eXecutables (http://upx.sourceforge.net/). Una herramienta para comprimir el ejecutable a fin de reducir su tamaño.
[4] BurnEye - Una herramienta desarrollada por el grupo TESO (http://www.team-teso.net/) que utiliza las técnicas de inyección de código en ejecutables de tipo ELF. La aplicación ofrece 3 niveles de protección ofuscación de código, protección con contraseña, y "fingerprinting".
[5] BurnEye Nivel 1 - Para más información sobre el método de obtener el binario original de uno ofuscado vean http://www.activalink.com/reviews/elf.php y http://www.phrack.com/show.php?p=58.
[6] Burneye Nivel 2 - Para más información sobre métodos de ingeniería inversa de binarios protegidos con el nivel 2 de protección de BurnEye ver un caso práctico http://www.incidents.org/papers/ssh_exploit.pdf.
[7] Fenris - Un debugger popular y potente ya que interactúa con el sistema operativo y libc a un bajo nivel, sin utilizar las llamadas ptrace(); ver http://razor.bindview.com/tools/fenris/.
[8] Elfe - Lightweight Elf Encryptor (http://stealth.7350.org/) Una herramienta desarrollada por Stealth del grupo TESO que utiliza técnicas de inyección de un motor de cifrado dentro de un ejecutable. La aplicación protege la ejecución de un binario por una contraseña. Éste método de protección de ejecutables es menos fiable que 2º y 3er nivel de BurnEye.
[9] Phrack - Gnugq ha escrito un buen white paper sobre el tema de protección "run-time" de binarios que incluye más información sobre el tema www.phrack.com/show.php?p=58&a=5.
[10] RootKit - Una colección de utilidades para permitir al intruso ocultar su actividad dentro de un sistema, facilitar el acceso en un futuro, y recoger información útil del sistema. Ver la versión actualizada de FAQ en Inglés sobre RootKits creada por Dave Dittrich de la universidad de Washington D.C. http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq.
[11] Biatchux - Es una distribución de linux portable sobre el CD-ROM que proporciona herramientas y un entorno seguro para realizar análisis forense, recuperación de datos, detección de virus y evaluación de vunerabilidades (http://biatchux.dmzs.com/).
[12] Thomas Rude - El autor de un artículo sobre la manera de realización de copias físicas de particiones y discos para el análisis forense (http://www.crazytrain.com/dd.html).
[13] The Coroner's Toolkit- Una colección de herramientas de un investigador forense. Utilidades escritas por Dan y Wietse (trabaja para IBM, y el autor de postfix). Las utilidades incluidas en el kit proporcionan una ayuda substancial para el investigador (http://www.fish.com/tct/).
[14] Trinoo - Análisis de un ataque con una herramienta de DDoS (The DoS Project's "trinoo" distributed denial of service attack tool - http://staff.washington.edu/dittrich/misc/trinoo.analysis).
[15] Mstream - Análisis de un ataque con una herramienta de DDoS (The "mstream" distributed denial of service attack tool - http://staff.washington.edu/dittrich/misc/mstream.analysis.txt).
[16] Van Hauser - Lea el documento de Van Hauser sobre "Anonymizing Unix Systems" para la información de como pueden los hackers con experiencia complicar la sitiuación (http://www.thehackerschoice.com/papers/fw-backd.htm).
[17] Techniques of Crime Scene Investigation, por Barry A. J. Fisher, CRC Press, ISBN 0-8493-8119-3
[18] Mejora de Rendimiento de Sistemas de Copia de Seguridad - Whitepaper de Hewlett-Packard (http://www.hp.com/tape/papers/perftune.html).
[19] Clase de Farmer & Wietse Venema sobre análisis forense de sistemas informáticos - forensics.tar.gz contiene 6 diapositivas PostScript (http://www.fish.com/security/forensics.html).
[20] Forensic Computer Analysis: Introducción a la Reconstrucción de eventos pasados, por Dan Farmer y Wietse Venema, Dr. Dobb's Journal, Septiembre 2000 (http://www.ddj.com/articles/2000/0009/0009f/0009f.htm).
[21] ¿Qué son los MACtimes?: Herramientas poderosas para bases de datos, por Dan Farmer, Dr. Dobb's Journal, Octubre 2000 (http://www.ddj.com/articles/2000/0010/0010f/0010f.htm).
[22] Strangers In the Night: Encontrar el objetivo del binario desconocido, por Wietse Venema, Dr. Dobb's Journal, Noviembre 2000 (http://www.ddj.com/articles/2000/0011/0011g/0011g.htm).
[23] "Root Kits" y ocultación de directorios después del break-in (http://staff.washington.edu/dittrich/misc/faqs/rootkits.faq).
[24] Info.sec.radio segmentos de análisis
forense (@15:45.0), Julio 10, 2000 (http://www.securityfocus.com/media/41).
[25] SecurityFocus - Entrevista con Jennifer Grannick
(http://www.securityfocus.com/media/41).
[26] SecurityFocus - entrevista con Chad Davis (http://www.securityfocus.com/media/35).
[27] Anonymizing Unix Systems, por van Hauser, THC (http://thc.pimmel.com/files/thc/anonymous-unix.html).
[28] Federal Guidelines for Searching and Seizing Computers, Departamento de Justicia de EE. UU (http://www.usdoj.gov/criminal/cybercrime/searching.html).
[29] DD and Computer Forensics: Ejemplos de utilización de DD dentro de Unix para crear backups físicos, por Thomas Rude, CISSP, Agosto 2000 (http://www.crazytrain.com/dd.html).
[30] El kernel de GNU/Linux ofrece soporte para sistemas de ficheros loopback, siendo una técnica bastante común. Ver para más información Laptop-HOWTO (http://www.tldp.org/HOWTO/Laptop-HOWTO.html), Bootdisk-HOWTO (http://www.tldp.org/HOWTO/Bootdisk-HOWTO/), Loopback-Encrypted-Filesystem-HOWTO (http://www.tldp.org/HOWTO/Loopback-Encrypted-Filesystem-HOWTO.html).
[33] La información adicional puede ser obtenida a través de http://e2fsprogs.sourceforge.net.
[34] Brian Carrier "TCTUTILS"/"TASK" http://www.cerias.purdue.edu/homes/carrier/forensics/
[35] RuneFS - (http://www.activalink.com/data/runefs.tar.gz).
[36] TDT - (http://www.activalink.com/data/tdt.tar.gz).
[Subir]