---

Hvordan tager jeg bedst en kopi af systemfilerne og en eller anden form for
overvågning af disse, så at jeg får en meddelelse om ændringer i disse?? Jeg
har lavet politikker vedr. adgang osv. altså lukket unødvendige services ned
samt pillet ved indstillingerne i IE.

Jeg ved godt at det har været oppe i gruppen før, men jeg kan ikke huske
hvor det var jeg læste om det... Noget med md5 og hash-værdi, eller roder
jeg begreberne sammen??

/ Michael...

---

In article <40656f72$0$238$edfadb0f@dread16.news.tele.dk>, Michael Korsgaard wrote:
> Hvordan tager jeg bedst en kopi af systemfilerne og en eller anden form for
> overvågning af disse, så at jeg får en meddelelse om ændringer i disse?? Jeg

Hvis du har en angriber der kan ændre disse, er det trivielt
at ændre dit system så du ikke kan se det er ændret så længe du spørger
systemet om det er ændret.

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Michael Korsgaard wrote:
>
> Hvordan tager jeg bedst en kopi af systemfilerne og en eller anden form for
> overvågning af disse, så at jeg får en meddelelse om ændringer i disse?? Jeg
> har lavet politikker vedr. adgang osv. altså lukket unødvendige services ned
> samt pillet ved indstillingerne i IE.

Som det allerede er blevet forklaret. Så kan
ændringerne skjules, hvis man virkelig ønsker det.

>
> Jeg ved godt at det har været oppe i gruppen før, men jeg kan ikke huske
> hvor det var jeg læste om det... Noget med md5 og hash-værdi, eller roder
> jeg begreberne sammen??

MD5 er en hash-funktion. Det er ikke den eneste.
En anden mulighed er SHA1.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:40658B39.93F690ED@daimi.au.dk...
> Som det allerede er blevet forklaret. Så kan
> ændringerne skjules, hvis man virkelig ønsker det.

Jeg mente ellers at det var sådan at man på en måde kunne detecte ændringer
i systemet og derved tage de skridt som skal til for at standse et evt,
angreb.. Her tænker jeg kun på mit eget lille netværk, og ikke større såsom
virksomheder og lign.. Altså: Er det muligt at inst. en form for software
som advarer mig i tilfælde af at der er ved at ske ændringer som ikke er
autoiseret??

> MD5 er en hash-funktion. Det er ikke den eneste.
> En anden mulighed er SHA1.

Ja..Jeg fandt lige noget på http://sikkerhed-faq.dk/ordforklaring#ir

/ Michael..

---

Michael Korsgaard wrote:
> "Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
> news:40658B39.93F690ED@daimi.au.dk...
>
>>Som det allerede er blevet forklaret. Så kan
>>ændringerne skjules, hvis man virkelig ønsker det.
>
>
> Jeg mente ellers at det var sådan at man på en måde kunne detecte ændringer
> i systemet og derved tage de skridt som skal til for at standse et evt,
> angreb..

Hvis en cracker har adgang til at ændre dine systemfiler, så kan du ikke
stole på at noget software på det kompromiterede system virker som det skal.

Mvh
Thomas Damgaard

---

"Thomas Damgaard Nielsen" <me@peps.dk> skrev i en meddelelse
news:4065f5b7$0$290$edfadb0f@dread11.news.tele.dk...
> Hvis en cracker har adgang til at ændre dine systemfiler, så kan du ikke
> stole på at noget software på det kompromiterede system virker som det
skal.

Det har han ikke.....

/ Michael...

---

Michael Korsgaard uttered:
>> Hvis en cracker har adgang til at ændre dine systemfiler, så kan du ikke
>> stole på at noget software på det kompromiterede system virker som det
>> skal.
>
> Det har han ikke.....

Hvad er så problemet? Hvorfor vil du så tjekke overhovedet?

\\kristian
--
MS is to security what McDonald's is to gourmet cooking.

---

"Kristian Thy" <thy@it.edu> skrev i en meddelelse
news:c45t3s$2f9fn4$1@ID-157676.news.uni-berlin.de...
> Hvad er så problemet? Hvorfor vil du så tjekke overhovedet?

Undgå at det opstår... Hvis f.eks man skulle være så uheldig at få en TROJ
ind et eller andet sted må der vel ske visse ændringer i nogle filer. Det
vil jeg gerne at jeg kunne se med det samme, så jeg kan tage skridt til at
få det ud igen..

/ Michael....

---

In article <4066a9ed$0$274$edfadb0f@dread16.news.tele.dk>, Michael Korsgaard wrote:
> Undgå at det opstår... Hvis f.eks man skulle være så uheldig at få en TROJ
> ind et eller andet sted må der vel ske visse ændringer i nogle filer. Det
> vil jeg gerne at jeg kunne se med det samme, så jeg kan tage skridt til at
> få det ud igen..

Er du ligeglad med en troj der benytter et root-kit, eller
indgår det blot ikke i din risiko vurdering?

--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/

---

Michael Korsgaard skrev:

> Hvordan tager jeg bedst en kopi af systemfilerne og en eller anden
> form for overvågning af disse, så at jeg får en meddelelse om ændringer i
> disse??

Måske kan du bruge http://www.drivesnapshot.de/en/index.htm?

"Generate checksums for all files on a drive (useful when verifying)

C:\> SNAPSHOT -!Z C:\*.*
will create checksums for all files C:\*.* incl. subdirectories similar to
Checksum of c: and subdirectories

44959739 \BOOTLOG.TXT,14047
C73BFBF2 \BOOT.INI,813
E83C01A9 \NTDETECT.COM,34724"

---

Peder Vendelbo Mikkelsen wrote:
>
> Michael Korsgaard skrev:
>
> > Hvordan tager jeg bedst en kopi af systemfilerne og en eller anden
> > form for overvågning af disse, så at jeg får en meddelelse om ændringer i
> > disse??
>
> Måske kan du bruge http://www.drivesnapshot.de/en/index.htm?
>
> "Generate checksums for all files on a drive (useful when verifying)
>
> C:\> SNAPSHOT -!Z C:\*.*
> will create checksums for all files C:\*.* incl. subdirectories similar to
> Checksum of c: and subdirectories
>
> 44959739 \BOOTLOG.TXT,14047
> C73BFBF2 \BOOT.INI,813
> E83C01A9 \NTDETECT.COM,34724"

Hvad kun 32 bits checksum? det må da være en joke.
Du kan i hvert fald kun regne med at finde ændringer,
der er sket ved et uheld. Det vil kræve en forholdsvis
begrænset mængde CPU tid at finde et andet indhold med
samme checksum. Et par dages beregninger burde kunne
gøre det (mindre hvis man har mange computere). Hvis
man bare vil finde en kollision, så kan det gøres på
få sekunder.

Jeg vil helt klart foretrække MD5 fremfor nogen hash
funktion med så få bits. De problemer, som er blevet
beskrevet i denne tråd har intet med hash funktionen
at gøre. Du vil have disse problemer uanset valget af
hash funktion, men der er ingen grund til at vælge en
dårlig hash funktion, som blot medfører endnu flere
problemer.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

---

Michael Korsgaard wrote:

> Hvordan tager jeg bedst en kopi af systemfilerne og en eller anden form for
> overvågning af disse, så at jeg får en meddelelse om ændringer i disse?? Jeg
> har lavet politikker vedr. adgang osv. altså lukket unødvendige services ned
> samt pillet ved indstillingerne i IE.

   http://md5deep.sourceforge.net/

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org