Forensic Acquisitions over Netcat

In the past I used to write here what I did so I do not forget, so I’ll try to get back to that habit again :)

These days whenever I find time, I’m playing with TSURUGI, which is a new (at least to me) Linux DFIR distro. More about the distro could be found on the system’s website here. I highly recommend if you are reading these words of mine, that you go download TSURUGI and give it a try. It can be seen as the KALI Linux of DFIR!

Now, there is a project that I’m working on related to Linux, so I needed to acquire an image of a Linux system running on my testing system. So, I turned off the the system to be acquired and used the TSURUGI Linux to boot the system to be acquired. The problem in my setup, is I do not want to use a removable drive to acquire the image using TSURUGI and copy it to that target drive. Therefore, I had to go with other options, one was SSH. Doing acquisitions over SSH will be a great option, but unfortunately, in my situation, it did not work. I have not troubleshooted the reason why, since I’m not into that now, but I assume SSH did not work and every time I tried to connect to the running SSH, it just gave me a reset, because it was running in Read-Only mode from the RAM and therefore SSH sessions could not be created! (not 100% sure, just an assumption).
Continue reading

Disable Automount for SIFT

مشكلة بسيطة في إستعمال SANS Investigation Forensic Toolkit أو ما يسمى SIFT تكمن في عمل ربط mount للأجهزة الخارجية مثل USB بشكل تلقائي وهذا أمر سيء في مجال الـ Digital Forensics ولهذا لحل هذه المشكلة، كل ما عليك فعله هو:

gconftool-2 --type bool --set /apps/nautilus/preferences/media_automount false
gconftool-2 --type bool --set /apps/nautilus/preferences/media_automount_open false
gconftool-2 --type bool --set /apps/nautilus/preferences/media_automount_never false

هذه المشكلة لمن يستعملون SIFT بداخل Virtualbox ولربما مع منتجات VMWare كذلك … تم تجربة هذه الحلول على المستخدم sansforensics …

بعد ذلك لقيامك بربط الجهاز mount بشكل يدوي، يمكنك الرجوع الى مقالة Rob Lee على موقع مدونة SANS الخاصة بالـ Computer Forensics هنا

حل مشكلة إرتفاع درجات الحرارة وإستهلاك البطارية

من باب توثيق ما قمت به لكي أحل مشكلة إرتفاع درجة الحرارة وإستهلاك الطاقة بشكل كبير من بطارية جهازي المحمول … فإن الخطوات التي عملتها كانت التي وجدتها في هذا الرابط … وكل ما قمت به هو:

قمت بتحرير ملف:

vim /etc/rc.local

ووضعت قبل السطر الأخير exit التالي:

echo 1 > /sys/module/snd_hda_intel/parameters/power_save
echo Y > /sys/module/snd_hda_intel/parameters/power_save_controller
pkill /usr/bin/pulseaudio 

هكذا بعد كل عملية تشغيل للجهاز ستكون هذه الإعدادات جاهزة … طبعاً لمعرفة مالذي يستهلك الطاقة لديك هناك أداة رائعة إسمها powertop قم بإستعمالها لإكتشاف ذلك … هذا طبعاً بالإضافة لباقي أدوات مراقبة النظام في جنو/لينُكس …

ما بعد تنصيب Debian 6 Squeeze

بالنسبة لي بعد أن قمت بتنصيب التوزيعة قمت بإضافة المستودعات التي أحتاجها … وبالنسبة لي هذه هي المستودعات التي أفضلها بصراحة … غيري لربما يفضل مستودعات آخرى لكن أنا أستعمل المستودعات التالية: قم بتحميلها من هنا

بعد ذلك كل الذي عليك عمله هو إضافتهم الى مستودعاتك أو تبديلهم بمستودعاتك وعمل:

apt-get update
apt-get upgrade

إذا واجهتك مشاكل في مفاتيح GPG الخاصة بالمستودعات قم بالبحث عنها في مواقعها الخاصة … يعني: مفتاح جوجل من موقع جوجل وهكذا …
Continue reading

Install Firefox on Debian

بعد المشاكل التي حصلت لدي كان يجب ان اعيد العمل مرة أخرى ولهذا سأقوم بتدوين الأمور لعل أحتاجها في المستقبل … أول حاجة قمت بها هو تحميل وتركيب المتصفح فايرفوكس … كل ما عليك فعله هو تحميل المتصفح من هنا … بعد ذلك لك حرية الإختيار بين تخزينه في المجلد /opt/ او المجلد /usr/share/ عني أستعمل الأخير … قم بفك الضغط عن الملف ونقله الى هناك … إذا كان الجهاز يستعمله أكثر من شخص فيفضل أن تعطيه الصلاحيات التالية:

chown -R root:users /usr/share/firefox

وإذا لم يكن فلو تركته كما هو لا يوجد مشكلة … بالحالة أعلاه كل من هو عضو في مجموعة users له صلاحيات لإستعمال المتصفح … بعد لنقم بعمل symbolic link لتشغيل المتصفح:

ln -s /usr/share/firefox/firefox /usr/bin/firefox

الآن لنعمل أيقونة لسطح المكتب:

touch /usr/share/applications/firefox.desktop

Continue reading