File: 11_after-compromise.po

package info (click to toggle)
harden-doc 3.19%2Bnmu1
  • links: PTS, VCS
  • area: main
  • in suites: bookworm, bullseye
  • size: 15,332 kB
  • sloc: xml: 11,790; sh: 52; makefile: 16
file content (93 lines) | stat: -rw-r--r-- 25,529 bytes parent folder | download | duplicates (3) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
 
msgid ""
msgstr ""
"Project-Id-Version: harden-doc 3.19\n"
"Report-Msgid-Bugs-To: <debian-i18n@lists.debian.org>\n"
"POT-Creation-Date: 2017-05-01 19:29+0200\n"
"PO-Revision-Date: 2018-04-24 22:15+0100\n"
"Last-Translator: Simon Brandmair <sbrandmair@gmx.net>\n"
"Language-Team: German <debian-l10n-german@lists.debian.org>\n"
"Language: de\n"
"MIME-Version: 1.0\n"
"Content-Type: text/plain; charset=UTF-8\n"
"Content-Transfer-Encoding: 8bit\n"

msgid "After the compromise (incident response)"
msgstr "Nach einer Kompromittierung (Reaktion auf einem Vorfall)"

msgid "General behavior"
msgstr "Allgemeines Verhalten"

msgid "If you are physically present when an attack is happening, your first response should be to remove the machine from the network by unplugging the network card (if this will not adversely affect any business transactions). Disabling the network at layer 1 is the only true way to keep the attacker out of the compromised box (Phillip Hofmeister's wise advice)."
msgstr "Wenn Sie während eines Angriffs physisch anwesend sind, sollte Ihre erste Reaktion sein, den Rechner vom Netzwerk zu trennen, indem Sie das Kabel aus der Netzwerkkarte ziehen (wenn das keinen nachteiligen Einfluss auf Ihre Geschäfte hat). Das Netzwerk auf Schicht 1 abzuschalten ist der einzig wirklich erfolgreiche Weg, um den Angreifer aus dem gehackten Rechner herauszuhalten (weiser Ratschlag von Phillip Hofmeister)."

msgid "However, some tools installed by rootkits, trojans and, even, a rogue user connected through a back door, might be capable of detecting this event and react to it. Seeing a <literal>rm -rf /</literal> executed when you unplug the network from the system is not really much fun. If you are unwilling to take the risk, and you are sure that the system is compromised, you should <emphasis>unplug the power cable</emphasis> (all of them if more than one) and cross your fingers. This may be extreme but, in fact, will avoid any logic-bomb that the intruder might have programmed. In this case, the compromised system <emphasis>should not be re-booted</emphasis>. Either the hard disks should be moved to another system for analysis, or you should use other media (a CD-ROM) to boot the system and analyze it. You should <emphasis>not</emphasis> use Debian's rescue disks to boot the system, but you <emphasis>can</emphasis> use the shell provided by the installation disks (remember, Alt+F2 will take you to it) to analyze <footnote><para>&gt;If you are adventurous, you can login to the system and save information on all running processes (you'll get a lot from /proc/nnn/). It is possible to get the whole executable code from memory, even if the attacker has deleted the executable files from disk. Then pull the power cord.</para></footnote> the system."
msgstr "Allerdings können einige Werkzeuge, die durch Rootkits, Trojaner oder sogar unehrlichen Benutzern über eine Hintertür installiert wurden, diesen Vorgang erkennen und auf ihn reagieren. Es ist nicht wirklich lustig, wenn Sie sehen, dass <literal>rm -rf /</literal> ausgeführt wird, wenn Sie das Netzwerkkabel ziehen. Wenn Sie nicht bereit sind, dieses Risiko einzugehen, und Sie sich sicher sind, dass in das System eingebrochen wurde, sollten Sie <emphasis>das Stromkabel herausziehen</emphasis> (alle, wenn es mehr als eines gibt) und Ihre Daumen drücken. Das hört sich zwar extrem an, verhindert aber tatsächlich eine Logikbombe, die ein Eindringling programmiert haben könnte. Auf jeden Fall sollte ein kompromittiertes System <emphasis>nicht neugestartet</emphasis> werden. Entweder sollten die Festplatten in einem anderen System analysiert werden oder Sie sollten ein anderen Medium (eine CD-ROM) benutzen, um das System zu booten und analysieren. Sie sollten <emphasis>nicht</emphasis> die Rettungsdisk von Debian verwenden, um das System zu starten. Sie <emphasis>können</emphasis> aber die Shell auf der Installationsdisk benutzen (wie Sie wissen, erreichen Sie sie mit Alt+F2), um das System zu analysieren. <footnote><para> Wenn Sie abenteuerlustig sind, sollten Sie sich am System anmelden und die Informationen aller laufenden Prozesse speichern (Sie bekommen eine Menge aus /proc/nnn/). Es ist möglich, den gesamten ausführbaren Code aus dem Arbeitsspeicher zu ziehen, sogar dann, wenn der Angreifer die ausführbaren Dateien von der Festplatte gelöscht hat. Ziehen Sie danach das Stromkabel. </para></footnote>"

msgid "The most recommended method for recovering a compromised system is to use a live-filesystem on CD-ROM with all the tools (and kernel modules) you might need to access the compromised system. You can use the <package>mkinitrd-cd</package> package to build such a CD-ROM<footnote><para>&gt;In fact, this is the tool used to build the CD-ROMs for the <ulink name=\"Gibraltar\" url=\"http://www.gibraltar.at/\" /> project (a firewall on a live CD-ROM based on the Debian distribution).</para></footnote>. You might find the <ulink name=\"Caine\" url=\"http://www.caine-live.net/\" /> (Computer Aided Investigative Environment) CD-ROM useful here too, since it's also a live CD-ROM under active development with forensic tools useful in these situations. There is not (yet) a Debian-based tool such as this, nor an easy way to build the CD-ROM using your own selection of Debian packages and <package>mkinitrd-cd</package> (so you'll have to read the documentation provided with it to make your own CD-ROMs)."
msgstr "Die beste Methode, um ein gehacktes System wiederherzustellen, ist, ein Live-Dateisystem auf einer CD-ROM mit allen Programmen (und Kernel-Modulen) verwenden, die Sie brauchen, um auf das eingebrochene System zugreifen zu können. Sie können das Paket <application>mkinitrd-cd</application> benutzen, um eine solche CD-ROM zu erstellen <footnote><para> Das ist auch das Werkzeug, mit dem die CD-ROMs für das Projekt <ulink url=\"http://www.gibraltar.at/\" name=\"Gibraltar\" /> erstellt werden. Das ist eine Firewall auf einer Live-CD-ROM, die auf der Debian-Distribution beruht. </para></footnote>. Auch die CD-ROM von <ulink url=\"http://biatchux.dmzs.com/\" name=\"FIRE\" /> (früher als Biatchux bekannt) könnte hilfreich sein, da diese Live-CD-ROM forensische Werkzeuge enthält, die in solchen Situationen nützlich sind. Es gibt (noch) kein Programm wie dieses, das auf Debian basiert. Es gibt auch keinen leichten Weg, eine CD-ROM mit Ihrer Auswahl von Debian-Paketen und <application>mkinitrd-cd</application> zu erstellen. Daher werden Sie die Dokumentation lesen müssen, wie Sie Ihre eigenen CD-ROMs machen."

msgid "If you really want to fix the compromise quickly, you should remove the compromised host from your network and re-install the operating system from scratch. Of course, this may not be effective because you will not learn how the intruder got root in the first place. For that case, you must check everything: firewall, file integrity, log host, log files and so on. For more information on what to do following a break-in, see <ulink name=\"CERT's Steps for Recovering from a UNIX or NT System Compromise\" url=\"http://www.cert.org/tech_tips/root_compromise.html\" /> or SANS's <ulink name=\"Incident Handling whitepapers\" url=\"http://www.sans.org/reading_room/whitepapers/incident/\" />."
msgstr "Wenn Sie eine Kompromittierung wirklich schnell reparieren wollen, sollten Sie den kompromittierten Rechner aus dem Netzwerk entfernen und das Betriebssystem von Grund auf neu installieren. Dies könnte natürlich nicht sehr wirkungsvoll sein, da Sie nicht erfahren, wie der Eindringling zuvor Root-Rechte bekommen hat. Um das herauszufinden, müssen Sie alles prüfen: Firewall, Integrität der Dateien, Log-Host, Protokolldateien und so weiter. Weitere Informationen, was Sie nach einem Einbruch unternehmen sollten, finden Sie in <ulink url=\"http://www.cert.org/tech_tips/root_compromise.html\" name=\"CERT's Steps for Recovering from a UNIX or NT System Compromise\" /> oder in Sans' <ulink name=\"Incident Handling Guide\" url=\"http://www.sans.org/y2k/DDoS.htm\" />."

msgid "Some common questions on how to handle a compromised Debian GNU/Linux system are also available in."
msgstr "Einige häufige Fragen, wie mit einem gehackten Debian-GNU/Linux-System umzugehen ist, sind unter <xref linkend=\"vulnerable-system\" /> zu finden."

msgid "Backing up the system"
msgstr "Anlegen von Sicherheitskopien Ihres Systems"

msgid "Remember that if you are sure the system has been compromised you cannot trust the installed software or any information that it gives back to you. Applications might have been trojanized, kernel modules might be installed, etc."
msgstr "Wenn Sie sich sicher sind, dass das System kompromittiert wurde, vergessen Sie nicht, dass Sie weder der installierten Software noch irgendwelchen Informationen, die sie an Sie liefert, vertrauen können. Anwendungen könnten von einem Trojaner befallen sein, Kernel-Module könnten installiert worden sein, usw."

msgid "The best thing to do is a complete file system backup copy (using <command>dd</command>) after booting from a safe medium. Debian GNU/Linux CD-ROMs can be handy for this since they provide a shell in console 2 when the installation is started (jump to it using Alt+2 and pressing Enter). From this shell, backup the information to another host if possible (maybe a network file server through NFS/FTP). Then any analysis of the compromise or re-installation can be performed while the affected system is offline."
msgstr "Am besten ist es, eine komplette Sicherheitskopie Ihres Dateisystems (mittels <command>dd</command>) zu erstellen, nachdem Sie von einem sicheren Medium gebootet haben. Debian GNU/Linux CD-ROMs können dazu nützlich sein, da sie auf Konsole 2 eine Shell anbieten, nachdem die Installation gestartet wurde (mit Alt+2 und Enter aktivieren Sie sie). Von dieser Shell aus sollten Sie eine Sicherheitskopie möglichst auf einem anderen Host erstellen (vielleicht auf einen Netzwerk-Datei-Server über NFS/FTP). Dadurch kann eine Analyse des Einbruchs oder eine Neuinstallation durchgeführt werden, während das betroffene System offline ist."

msgid "If you are sure that the only compromise is a Trojan kernel module, you can try to run the kernel image from the Debian CD-ROM in <emphasis>rescue</emphasis> mode. Make sure to startup in <emphasis>single user</emphasis> mode, so no other Trojan processes run after the kernel."
msgstr "Wenn Sie sich sicher sind, dass es sich lediglich um ein trojanisiertes Kernel-Modul handelt, können Sie versuchen, das Kernel-Image von der Debian-CD-ROM im <emphasis>rescue</emphasis>-Modus zu laden. Stellen Sie sicher, dass Sie im <emphasis>single</emphasis>-Modus starten, so dass nach dem Kernel keine weiteren Trojaner-Prozesse gestartet werden."

msgid "Contact your local CERT"
msgstr "Setzen Sie sich mit dem lokal CERT in Verbindung"

msgid "The CERT (Computer and Emergency Response Team) is an organization that can help you recover from a system compromise. There are CERTs worldwide <footnote><para>&gt; This is a list of some CERTs, for a full list look at the <ulink name=\"FIRST Member Team information\" url=\"http://www.first.org/about/organization/teams/index.html\" /> (FIRST is the Forum of Incident Response and Security Teams): <ulink name=\"AusCERT\" url=\"http://www.auscert.org.au\" /> (Australia), <ulink name=\"UNAM-CERT\" url=\"http://www.unam-cert.unam.mx/\" /> (Mexico) <ulink name=\"CERT-Funet\" url=\"http://www.cert.funet.fi\" /> (Finland), <ulink name=\"DFN-CERT\" url=\"http://www.dfn-cert.de\" /> (Germany), <ulink name=\"RUS-CERT\" url=\"http://cert.uni-stuttgart.de/\" /> (Germany), <ulink name=\"CERT-IT\" url=\"http://security.dico.unimi.it/\" /> (Italy), <ulink name=\"JPCERT/CC\" url=\"http://www.jpcert.or.jp/\" /> (Japan), <ulink name=\"UNINETT CERT\" url=\"http://cert.uninett.no\" /> (Norway), <ulink name=\"HR-CERT\" url=\"http://www.cert.hr\" /> (Croatia) <ulink name=\"CERT Polskay\" url=\"http://www.cert.pl\" /> (Poland), <ulink name=\"RU-CERT\" url=\"http://www.cert.ru\" /> (Russia), <ulink name=\"SI-CERT\" url=\"http://www.arnes.si/si-cert/\" /> (Slovenia) <ulink name=\"IRIS-CERT\" url=\"http://www.rediris.es/cert/\" /> (Spain), <ulink name=\"SWITCH-CERT\" url=\"http://www.switch.ch/cert/\" /> (Switzerland), <ulink name=\"TWCERT/CC\" url=\"http://www.cert.org.tw\" /> (Taiwan), and <ulink name=\"CERT/CC\" url=\"http://www.cert.org\" /> (US). </para></footnote> and you should contact your local CERT in the event of a security incident which has lead to a system compromise. The people at your local CERT can help you recover from it."
msgstr "Das CERT (Computer and Emergency Response Team) ist eine Organisation, die Ihnen helfen kann, Ihr System nach einem Einbruch wiederherzustellen. Es gibt CERTs weltweit <footnote><para> Dies ist eine Liste einiger CERTs. Ein vollständige Liste erhalten Sie unter <ulink url=\"http://www.first.org/about/organization/teams/index.html\" name=\"FIRST Member Team information\" /> (FIRST ist das Forum von Incident Response and Security Teams): <ulink url=\"http://www.auscert.org.au\" name=\"AusCERT\" /> (Australien), <ulink url=\"http://www.unam-cert.unam.mx/\" name=\"UNAM-CERT\" /> (Mexiko) <ulink url=\"http://www.cert.funet.fi\" name=\"CERT-Funet\" /> (Finnland), <ulink url=\"http://www.dfn-cert.de\" name=\"DFN-CERT\" /> (Deutschland), <ulink url=\"http://cert.uni-stuttgart.de/\" name=\"RUS-CERT\" /> (Deutschland), <!--FIXME URL --> <ulink url=\"http://security.dico.unimi.it/\" name=\"CERT-IT\" /> (Italien), <ulink url=\"http://www.jpcert.or.jp/\" name=\"JPCERT/CC\" /> (Japan), <ulink url=\"http://cert.uninett.no\" name=\"UNINETT CERT\" /> (Norwegen), <ulink url=\"http://www.cert.hr\" name=\"HR-CERT\" /> (Kroatien) <ulink url=\"http://www.cert.pl\" name=\"CERT Polskay\" /> (Polen), <ulink url=\"http://www.cert.ru\" name=\"RU-CERT\" /> (Russland), <ulink url=\"http://www.arnes.si/si-cert/\" name=\"SI-CERT\" /> (Slowenien) <ulink url=\"http://www.rediris.es/cert/\" name=\"IRIS-CERT\" /> (Spanien), <ulink url=\"http://www.switch.ch/cert/\" name=\"SWITCH-CERT\" /> (Schweiz), <ulink url=\"http://www.cert.org.tw\" name=\"TWCERT/CC\" /> (Taiwan), und <ulink url=\"http://www.cert.org\" name=\"CERT/CC\" /> (USA). </para></footnote>. Sie sollten mit dem lokalen CERT Verbindung aufnehmen, wenn sich ein sicherheitsrelevanter Vorfall ereignet hat, der zu einem Einbruch in Ihr System geführt hat. Die Menschen in der lokalen CERT können Ihnen helfen, Ihr System wiederherzustellen."

msgid "Providing your local CERT (or the CERT coordination center) with information on the compromise even if you do not seek assistance can also help others since the aggregate information of reported incidents is used in order to determine if a given vulnerability is in wide spread use, if there is a new worm aloft, which new attack tools are being used. This information is used in order to provide the Internet community with information on the <ulink name=\"current security incidents activity\" url=\"http://www.cert.org/current/\" />, and to publish <ulink name=\"incident notes\" url=\"http://www.cert.org/incident_notes/\" /> and even <ulink name=\"advisories\" url=\"http://www.cert.org/advisories/\" />. For more detailed information read on how (and why) to report an incident read <ulink name=\"CERT's Incident Reporting Guidelines\" url=\"http://www.cert.org/tech_tips/incident_reporting.html\" />."
msgstr "Selbst wenn Sie keine Hilfe benötigen, kann es anderen helfen, wenn Sie dem lokalen CERT (oder dem Koordinationszentrum des CERTs) Informationen des Einbruchs zur Verfügung stellen. Die gesammelten Informationen von gemeldeten Vorfällen werden verwendet, um herauszufinden, ob eine bestimmte Verwundbarkeit weit verbreitet ist, ob sich ein neuer Wurm ausbreitet oder welche neuen Angriffswerkzeuge eingesetzt werden. Diese Informationen werden benutzt, um die Internet-Gemeinschaft mit Informationen über die <ulink url=\"http://www.cert.org/current/\" name=\"aktuellen Sicherheitsvorkommnisse\" /> zu versorgen und um <ulink url=\"http://www.cert.org/incident_notes/\" name=\"Hinweise zu Vorfällen\" /> und sogar <ulink url=\"http://www.cert.org/advisories/\" name=\"Ankündigungen\" /> zu veröffentlichen. Ausführliche Informationen, wie (und warum) ein Vorfall gemeldet wird, können Sie auf <ulink url=\"http://www.cert.org/tech_tips/incident_reporting.html\" name=\"CERT's Incident Reporting Guidelines\" /> nachlesen."

msgid "You can also use less formal mechanisms if you need help for recovering from a compromise or want to discuss incident information. This includes the <ulink name=\"incidents mailing list\" url=\"http://marc.theaimsgroup.com/?l=incidents\" /> and the <ulink name=\"Intrusions mailing list\" url=\"http://marc.theaimsgroup.com/?l=intrusions\" />."
msgstr "Sie können auch weniger formale Einrichtungen verwenden, wenn Sie Hilfe brauchen, um Ihr System wiederherzustellen, oder wenn Sie Informationen des Vorfalls diskutieren wollen. Dazu zählen die <ulink url=\"http://marc.theaimsgroup.com/?l=incidents\" name=\" Mailingliste für Vorfälle\" /> und die <ulink url=\"http://marc.theaimsgroup.com/?l=intrusions\" name=\" Mailingliste für Einbrüche\" />."

msgid "Forensic analysis"
msgstr "Forensische Analyse"

msgid "If you wish to gather more information, the <package>tct</package> (The Coroner's Toolkit from Dan Farmer and Wietse Venema) package contains utilities which perform a <emphasis>post mortem</emphasis> analysis of a system. <package>tct</package> allows the user to collect information about deleted files, running processes and more. See the included documentation for more information. These same utilities and some others can be found in <ulink name=\"Sleuthkit and Autopsy\" url=\"http://www.sleuthkit.org/\" /> by Brian Carrier, which provides a web front-end for forensic analysis of disk images. In Debian you can find both <package>sleuthkit</package> (the tools) and <package>autopsy</package> (the graphical front-end)."
msgstr "Wenn Sie mehr Informationen sammeln wollen, enthält das Paket <application>tct</application> (The Coroner's Toolkit von Dan Farmer und Wietse Venema) Werkzeuge für eine <emphasis>post mortem</emphasis>-Analyse des Systems. <application>tct</application> erlaubt es dem Benutzer, Informationen über gelöschte Dateien, laufende Prozesse und mehr zu sammeln. Sehen Sie für weitere Informationen in die mitgelieferte Dokumentation. Diese und andere Werkzeuge können auch auf <ulink name=\"Sleuthkit and Autopsy\" url=\"http://www.sleuthkit.org/\" /> von Brian Carrier, welches ein Web-Frontend zur forensischen Analyse von Disk-Images zur Verfügung stellt, gefunden werden. In Debian befindet sich sowohl <application>sleuthkit</application> (die Werkzeuge) und <application>autopsy</application> (die grafische Oberfläche)."

msgid "Remember that forensics analysis should be done always on the backup copy of the data, <emphasis>never</emphasis> on the data itself, in case the data is altered during analysis and the evidence is lost."
msgstr "Forensische Analysen sollten immer auf einer Sicherheitskopie der Daten angewendet werden, <emphasis>niemals</emphasis> auf die Daten selbst, da sie durch diese Analyse beeinflusst werden könnten und so Beweismittel zerstört werden würden."

msgid "You will find more information on forensic analysis in Dan Farmer's and Wietse Venema's <ulink name=\"Forensic Discovery\" url=\"http://www.porcupine.org/forensics/forensic-discovery/\" /> book (available online), as well as in their <ulink name=\"Computer Forensics Column\" url=\"http://www.porcupine.org/forensics/column.html\" /> and their <ulink name=\"Computer Forensic Analysis Class handouts\" url=\"http://www.porcupine.org/forensics/handouts.html\" />. Brian Carrier's newsletter <ulink name=\"The Sleuth Kit Informer\" url=\"http://www.sleuthkit.org/informer/index.php\" /> is also a very good resource on forensic analysis tips. Finally, the <ulink name=\"Honeynet Challenges\" url=\"http://www.honeynet.org/misc/chall.html\" /> are an excellent way to hone your forensic analysis skills as they include real attacks against honeypot systems and provide challenges that vary from forensic analysis of disks to firewall logs and packet captures. For information about available forensics packages in Debian visit <ulink name=\"Debian Forensics\" url=\"http://forensics.alioth.debian.org/\" />"
msgstr "Weiterführende Informationen über forensische Analyse können Sie in Dan Farmers und Wietse Venemas Buch <ulink url=\"http://www.porcupine.org/forensics/forensic-discovery/\" name=\"Forensic Discovery\" /> (online verfügbar), in ihrer <ulink url=\"http://www.porcupine.org/forensics/column.html\" name=\"Computer Forensics Column\" /> und in ihrem <ulink url=\"http://www.porcupine.org/forensics/handouts.html\" name=\"Computer Forensic Analysis Class Handouts\" /> finden. Eine weitere sehr gute Quelle für Tipps zur forensischen Analyse ist Brian Carriers Newsletter <ulink url=\"http://www.sleuthkit.org/informer/index.php\" name=\"The Sleuth Kit Informer\" />. Auch die <ulink url=\"http://www.honeynet.org/misc/chall.html\" name=\"Honeynet Challenges\" /> sind eine ausgezeichnete Möglichkeit, Ihre forensischen Fähigkeiten zu verbessern, da sie echte Angriffe auf Honigtopfsysteme umfassen und Herausforderungen bieten, die von der forensischen Analyse von Festplatten bis zu Protokollen der Firewall und Paketerfassung alles beinhalten."

msgid "FIXME: This paragraph will hopefully provide more information about forensics in a Debian system in the coming future."
msgstr "FIXME: This paragraph will hopefully provide more information about forensics in a Debian system in the coming future."

msgid "FIXME: Talk on how to do a debsums on a stable system with the MD5sums on CD and with the recovered file system restored on a separate partition."
msgstr "FIXME: Talk on how to do a debsums on a stable system with the MD5sums on CD and with the recovered file system restored on a separate partition."

msgid "FIXME: Add pointers to forensic analysis papers (like the Honeynet's reverse challenge or <ulink name=\"David Dittrich's papers\" url=\"http://staff.washington.edu/dittrich/\" />)."
msgstr "FIXME: Add pointers to forensic analysis papers (like the Honeynet's reverse challenge or <ulink url=\"http://staff.washington.edu/dittrich/\" name=\"David Dittrich's papers\" />)."

msgid "Analysis of malware"
msgstr "Analyse von Schadprogrammen"

msgid "Some other tools that can be used for forensic analysis provided in the Debian distribution are: <application>strace</application> and <application>ltrace</application>"
msgstr "Einige andere Programme aus der Debian-Distribution, die für forensische Analyse verwendet werden können, sind: <application>strace</application> und <application>ltrace</application>"

msgid "Any of these packages can be used to analyze rogue binaries (such as back doors), in order to determine how they work and what they do to the system. Some other common tools include <command>ldd</command> (in <package>libc6</package>), <command>strings</command> and <command>objdump</command> (both in <package>binutils</package>)."
msgstr "Alle diese Pakete können dazu benutzt werden, um Schurkenprogramme (wie z.B. Hintertüren) zu analysieren, um herauszufinden, wie sie arbeiten und was sie mit dem System anstellen. Einige andere gebräuchliche Werkzeuge sind <command>ldd</command> (in <application>libc6</application>), <command>strings</command> und <command>objdump</command> (beide in <application>binutils</application>)."

msgid "If you try to do forensic analysis with back doors or suspected binaries retrieved from compromised systems, you should do so in a secure environment (for example in a <package>bochs</package> or <package>xen</package> image or a <command>chroot</command>'ed environment using a user with low privileges<footnote><para>&gt;Be <emphasis>very</emphasis> careful if using chroots, since if the binary uses a kernel-level exploit to increase its privileges it might still be able to infect your system</para></footnote>). Otherwise your own system can be back doored/r00ted too!"
msgstr "Wenn Sie eine forensische Analyse von Hintertüren oder verdächtigen Programmen durchführen, die Sie von gehackten Systemen haben, sollten Sie dies in einer sicheren Umgebung durchführen, z.B. in einem <application>bochs</application>-, oder <application>xen</application>-Image oder in einer <command>chroot</command>-Umgebung eines Benutzers mit geringen Rechten.<footnote><para>Seien Sie <emphasis>äußerst</emphasis> vorsichtig, wenn sie Chroots einsetzen wollen, da das Binary durch Ausnutzung eines Kernel-Exploits seine Rechte erweitern und es ihm darüber gelingen könnte, Ihr System zu infizieren.</para></footnote> Andernfalls könnte auch auf Ihrem eigenen System eine Hintertür eingerichtet oder Root-Rechte erlangt werden."

msgid "If you are interested in malware analysis then you should read the <ulink name=\"Malware Analysis Basics\" url=\"http://www.porcupine.org/forensics/forensic-discovery/chapter6.html\" /> chapter of Dan Farmer's and Wietse Venema's forensics book."
msgstr "Falls Sie an der Analyse von Schadprogrammen interessiert sind, sollten Sie das Kapitel <ulink url=\"http://www.porcupine.org/forensics/forensic-discovery/chapter6.html\" name=\"Malware Analysis Basics\" /> aus dem Forensik-Buch von Dan Farmer und Wietse Venema lesen."