HPM Tech News

Dieser Beitrag beschreibt, wie der VMWare Server 1.0.3 auf einer Debian basierten Distribution installiert wird.
Diese Vorgehensweise funktioniert nicht mehr ab Kernel Versionen 2.6.20 (Ubuntu). Hier muß ein Patch eingespielt werden. Dazu wird vmware-any-any-update110.tar.gz einfach nach der abgebrochenen Original Installation aufgerufen.

Die neue Version des Forensik Programms Foremost (Version 1.5) hat im Debian Repository Einzug gefunden.
2 Anwendungsbeispiele:
foremost -t jpg,gif /dev/sda -o /case/sda
sucht nach Grafiken des Formats jpg und gif und legt die gefundenen Dateien im Verzeichnis /case/sda ab.
foremost /dev/sda
sucht nach Dateien die in foremost.conf (aktuelles Verzeichnis oder /etc/foremost.conf) aktiviert sind.

Die RTL 8139 ist eine preiswerte Netzwerkkarte, die häufig mit PXE oder Etherboot bei Terminalserver Lösungen eingesetzt wird. Unser Projekt Linux4Afrika setzt viele dieser Karten ein. Manche dieser Karten melden sich jedoch beim Booten nicht. Vermutlich ist lediglich PXE Boot deaktiviert. Abhilfe schafft das DOS Prgramm RSET8139. Im Konfigurationsmenü einfach das EPROM aktivieren (Größe 64k).

Samba-vscan und ClamAV bilden ein ideales Paar um Daten, die auf einer Samba Freigabe gespeichert werden sollen, auf Viren zu überprüfen. Das PDF Dokument zeigt, wie die im St. Ursula Gymnasium Freiburg eingesetzte Lösung auf einer Debian basierten Plattform realisiert werden kann.
Wer nicht selbst kompilieren möchte, kann das Debian Paket downloaden (einfach zum bestehenden samba Paket dazu installieren).
Nur zu Testzwecken: smb.conf

In einer Datei f1 stehen md5 Hashwerte, die in einer Datei f2 gesucht werden sollen. (f2 ist eine Datei, die die Hashwerte aller Dateien einer Festplatte enthält). Alle Treffer sollen ausgegeben werden:
grep -f f1 f2
Die Datei f2 wurde folgendermaßen erzeugt:
md5sum * | awk ‘{print $1}’ > f2

Gruß an ML in W..

Beim Aufzeichnen von großen Datenmengen mittels eines sniffers ist tcpdump den grafischen Programmen wie Wireshark vorzuziehen. Wireshark zeigt seine Stärken jedoch bei der Auswertung. Ein einfacher Trick vereint die beiden Stärken:
Zuerst wird eine Gesamtaufzeichnung mit tcpdump gemacht:
tcpdump -s 1514 -w mainfile.bpf
Nun soll aus dem großen File (mainfile.bpf) ein File erstellt werden, welches lediglich aufgezeichnetetn Telnet Verkehr enthält. Dieser Inhalt wird extrahiert und als file telnet.bpf gespeichert.
tcpdump -r mainfile.bpf -w telnet.bpf port 23
Das kleinere file telnet.bpf kann nun mit Wireshark ausgewertet werden.

Seit dem 5. Juni ist die neuste Version von Live View 0.6 verfügbar. Wichtigste Neuerung: Encase Evidence File Format kann genutzt werden!
Download
Unser Kurs im Juni wird bereits mit dieser Version arbeiten:
Live View mit VMWare

In unserem Projekt linux4afrika werden alle Client PCs ohne Festplatten ausgeliefert. Damit stellen wir u. a. sicher, dass die Geräte auch unter Linux eingesetzt werden. Neue moderne Mainboards besitzen meist Onboard Netzwerkkarten, die lediglich im BIOS auf Booten von LAN gestellt werden müssen. Diese Mainboards stehen uns aber nicht zur Verfügung. Statt dessen sind wir im Besitz von vielen PII Mainboards mit CPUs zwischen 300 und 800 MHz. Dazu haben wir aus Spenden viele 3COM 905 B NICs erhalten. Nachdem wir die gebrannten EPROMs in die Sockel eingesetzt haben gab es einen hellen Bildschirm statt des gewünschten Bootscreens. Während die 3C905 TX problemlos funktionieren, mussten die B -Typen erst von einem Bug befreit werden. Dazu muss das Patch file 3c905b_util.bin eingesetzt werden. Mit
dd if=3c905b_util.bin of=/dev/fd0
wird es auf eine Floppy übertragen. Danach wird mittels dieser Floppy gebootet. Das gebrannte EPROM darf sich noch nicht im Sockel befinden. Den Vorgang lässt man einige Sekunden laufen (Fehlermeldungen ignorieren). Dabei wird die Netzwerkkarte gepacht. Dieser Vorgang öffnet den EPROM Zugriff von 8K auf die notwendigen 32K.

Nun kann das EPROM eingesetzt werden. Die 3C905B bootet nun einwandfrei.