TIPS
----


MINNESDUMP

dd.exe if=\\.\physicalmemory of=X:\outputfile.dd bs=4096

 if = läs från angiven källa
 of = skriv till angiven fil
 bs = anger hur stora block av data som ska läsas åt gången

dd hittar du bla. i toolbox.zip


NÄTDUMP

För att skicka resultaten från ett program till er värddator kan man använda netcat. Generellt för att skicka utdata från ett program till ett annat använder man sig av pipes.

Starta server på värdsystemet
-----------------------------
nc -v -l -p 2222 > filnamn_värd


Skicka data från målsystemet
----------------------------
komando | nc IP_VÄRDDATOR 2222

eller

nc IP_VÄRDDATOR 2222 < filnamn_mål


LIVE RESPONSE

* Datum/tid
  - Riktig
  - Dator
  - date/ fröken ur
* Nätverksuppkopplingar/ Öppna portar
  - netstat -an
* Vilka program som hänger ihop med vilka portar
  - fport
* Cachad NETBIOS-information
  - nbstat -c
* Användare
  - psloggedon
* Lokal routingtabell
  - netstat -rn
* Körande processer
  - psexec
  - psservice
* Schemalagda program
  - at
* Öppna filer
  - psfile
* Minnesdump för processer
  - userdump
* Hel minnesdump
  - dd


ANALYS

* Ser vi något avvikande?
* Hittar vi något som ska följas upp?
* Kan vi etablera ett sammanhang?