Linux取证之事后取证

最新推荐文章于 2025-07-11 14:31:11 发布
原创 最新推荐文章于 2025-07-11 14:31:11 发布 · 1.3k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#事后取证 #linux

事后取证:从Linux系统中搜索并提取恶意软件以及相关线索

1.从Linux系统中发现和提取恶意软件
  1. 前提:
    • 熟悉Linux工作原理
    • ext2和ext3文件系统
  2. 取证检查:
    • 检查文件的hash值和已知恶意软件特征是 否匹配
    • 检查加壳文件
    • 检查用户账号
    • 检查其他配置信息
    • 检查日志记录
  3. 搜索已知恶意软件方法:
    1. 哈希比较技术:
      • NSRL等hash数据库
      • Rookit Hunter 和 chkrootkit
    2. 查找与已知的正常的系统配置不同的配置部分
      • Linux系统上的 rpm -Va 命令,该命令可以对所有使用RedHat Package Manger 安装的程序包进行验证
      • S,表示文件大小
      • M,模式
      • 5, 表示MD5值
      • U ,表示用户
      • G,表示用户组
      • T,表示时间上被修改
      • 当验证已安装程序的完整性时,目标系统的取证映像应该被挂载到检查系统上,并且应该使用一个已知的安全版本的rpm命令进行验证,Rookit Hunter提供了一个选项用来调用rpm命令和dpkg包管理器来验证文件哈希值
      • 反病毒软件:ClamAV 和F-Port
    3. 审查已安装的程序和潜在的可疑可执行文件
      • Debian 和Ubuntu系统:使用 dpkg –get-sections命令获得已安装的程序包
      • RedHat 或其他Linux系统:使用 rpm -qa 命令
      • 从恶意时间出现时间一致方面查找最近被安装的程序
      • 从经常被用户访问的区域查找可执行文件
    4. 审查自启动区域,配置文件和计划任务
      • Linux系统初始化脚本/etc/inittab 会调用其他脚本:如rs.sysinit 和大量位于/etc/rc.d/(较老版本系统位于/etc/rc.boot/目录下)目录下的脚本。
      • /etc/ineted.conf 或者/etc/xineted/目录下的很多常见服务也会开启,需要逐一审查
      • 配置文件:/var/spool/cron/crontabs 和 /var/spool/cron/atjobs 配置文件,可以指定预定任务的方式启动
    5. 检查日志
      1. 概念
        • 主日志通常被称为messages或者syslog:记录系统事件和用户账号行为
        • security日志:记录一些指定的安全事件
      2. 在恶意事件中,有效日志可能被删除,因此通常明智的做法是搜索未被分配的空间以找到被删除的日志项:可以用SleuthKit 工具恢复
      3. Unix系统中的一些登录事件日志项可能位于:utmp 和 wtmp文件中,使用who 和last 命令可以查询
      4. 一些Unix系统包含 process accounting(pacct)日志,这些日志可以通过lastcommon命令显示,记录系统上执行的每个命令,命令的时间和用户账户
      5. 关闭系统上的所有日志程序:rm -rf /etc/rc.d/init.d/*log*
    6. 审查用户账户
      • 检查不寻常账户的/etc/passwd,/etc/shadow 和/etc/sudoers文件(注意UID为0的账户)
      • 检查不寻常用户组的/etc/groups文件
      • 通过使用密码破解工具(John the Ripper)来识别具有弱口令或空口令的账户
    7. 检查文件系统
      • 查找不正常或者隐藏的文件或目录,如:’..’
      • /dev/是常见的用于隐藏恶意软件的目录,因为该目录下存放着大量的文件且这些文件文件的日期时间戳经常改变,因为/dev/目录下很多文件都是特殊文件,通过这些文件可以访问到块或字符设备(文件权限中包含b或c),所以调查人员通过寻找正常的(非特殊的文件或者目录)来找到恶意软件。
      • 使用mactime 柱状图特征来找到系统活动峰值:mactime -b fieath -i hour index.hourly 04/01/2004-04/30/2004
    8. 关键字搜索
      • strings - /dev/sda8 |grep “Dec 01”
      • SleuthKit 工具
    9. 案列:
      1. 使用calmscan,chkrootkit 和rkhunter进行恶意软件搜索
      2. 审查已安装程序
      3. 审查自启动配置
      4. 审查可执行文件路径
      5. 审查日志
linux取证——基础取证命令集合
记录并分享学习安全的知识点..
10-20 1435
linux取证——基础取证命令集合
26、Linux桌面取证分析全解析
最新发布
mm9012的博客
07-31 26
本文深入解析了Linux桌面取证分析的各个方面,包括GPG密钥管理、桌面配置、剪贴板数据、垃圾桶文件、书签与最近使用文件、缩略图图像、桌面搜索索引、文件管理器痕迹等关键取证数据源。同时提供了取证分析流程、不同组件的取证要点对比、注意事项以及未来发展趋势,为Linux系统数字取证工作提供了全面的指导和实用参考。
Linux取证
Sulli的博客
02-01 1070
Linux系统取证和Windows系统取证程序并无差异,主要还是使用现场勘验和电子证据检验鉴定两种方式。现场勘验的目的是为了提取和保存易丢失数据,如网络连接信息、系统进程信息。电子证据检验鉴定是在确保电子证据合法有效、不被恶意篡改的情况下、使用相关取证设备进行分析。 现场勘验 现场取证服务器及网络环境进行勘验,对易丢失证据优先取证是现场取证的最主要工作,现场取证可以加快取证 工作进度,特别针对非...
Linux入侵取证:从一次应急事件讲起
chengfangang的专栏
11-11 3214
转载地址:http://www.freebuf.com/articles/system/50728.html 0×00 背景 最近接手了一起应急事件,事件的起因是这样,某IP地址在短时间内攻击国家CN顶级域名(203.119.x.1)近8万次。于是便作为一员接手了此次事件。 0×01 事件取证过程 1.Nmap扫描,存在的未知端口 如上图所示,存在着未知的端口8093,我们尝试在
linux取证教程,Linux中的取证(Forensics in Linux)
weixin_33595380的博客
05-07 808
Linux中的取证(Forensics in Linux)数字调查的主要问题是通过加密或任何其他格式保护重要证据或数据。 基本示例是存储密码。 因此,有必要了解Linux操作系统在数字取证实施中的使用,以保护这些有价值的数据。所有本地用户的信息大多存储在以下两个文件中 -/etc/passwdetc/shadow第一个是必需的,它存储所有密码。 第二个文件是可选的,它存储有关本地用户的信息,...
一种基于Linux的动态取证策略.pdf
09-06
与传统的事后取证相比,动态取证更注重犯罪行为的即时分析,从而能够更有效地对抗和预防计算机犯罪。 在基于Linux的动态取证策略中,首先,将Linux系统中的数据分为易失性数据和非易失性数据两类。易失性数据如内存...
基于Chameleon聚类的Linux日志取证算法研究.pdf
09-06
关联规则挖掘通过设定的置信度和支持度来寻找数据项之间的关联,但这种方法需要在分析前获取所有日志数据,即事后的静态分析,可能无法满足实时动态取证的需求。 本文提出的基于Chameleon聚类的Linux日志取证算法,...
Linux服务器遭受攻击排查取证
weixin_42261331的博客
09-14 1491
前言: 大家日常早就对Windows中的病毒习惯了,对付Windows中的病毒,有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 很多企业使用了Linux操作系统,原因主要是Linux的安全性比较高,但随着业务及技术发展,面向Linux系统的攻击越来越多,Linux机器也会感染病毒。本文会对Linux病毒攻击排查及如何防范做初步的介绍。 Linux系统被入侵/中毒的表象,比较常见的中毒表现在以下三个方面: 1服务器出去的带宽会跑高这个是中毒的一个特征。 ..
6、Linux文件系统取证分析全解析
mm9012的博客
07-11 25
本文深入解析了Linux文件系统的取证分析技术,涵盖RAID系统的基本概念、文件系统的物理结构、inode和超级块的取证信息,以及ext4文件系统的详细分析。通过使用如TSK、debugfs等工具,介绍了文件系统识别、数据提取和取证工件查找的方法。同时,对比了不同文件系统的取证特点,并提供了取证分析的整体流程和实际案例,为数字取证调查提供了全面的技术支持和实践指导。
linux入侵取证
02-22
linux入侵取证
linux 取证知识点
qq_29566629的博客
06-23 333
linux取证
liunx命令之lsblk
weixin_44652157的博客
10-09 395
简介 lsblk命令用于列出所有可用块设备的信息,而且还能显示他们之间的依赖关系,但是它不会列出RAM盘的信息。块设备有硬盘,闪存盘,cd-ROM等等。lsblk命令包含在util-linux-ng包中,现在该包改名为util-linux。 选项 -a, --all 显示所有设备。 -b, --bytes 以bytes方式显示设备大小。 -d, --node...
linux 恶意代码取证,恶意代码取证[PDF][91.63MB]
weixin_33573857的博客
05-13 308
内容简介网络犯罪是信息时代的产物。近年来随着计算机以及互联网的普及,尤其是各类金融业务通过因特网不断得到拓展,全球的网络犯罪案件迅速增长。如何有效防范并打击网络犯罪不但是各国立法机关、司法机关及行政机关迫切要解决的问题,而且是计算机技术领域、法学及犯罪学研究领域中最引人关注的课题。本书旨在提出一套完整的恶意软件取证方法和流程,并以Windows和Linux两种操作系统为平台详细介绍了恶意软件取证过...
linux 日志 取证,Linux系统取证
weixin_29706351的博客
05-01 672
Linux系统取证1、查看系统信息name -a #查看内核/操作系统/CPU1.pnghead -n 1 /etc/issue #查看操作系统版本2.pngcat /proc/cpuinfo #查看cpu信息3.pngenv #查看系统环境变量4.png2、用户及组信息w #查看活动用户5.pngcut -d: -f1 /etc/passwd #查看系统所有用户6.pngcut -d: ...
linux远程取证,铁三Linux取证(示例代码)
weixin_42517466的博客
05-09 392
01 现场取证与计算机取证一个静态一个动态线下取证设备 现场取证——硬盘复制机(对硬盘做镜像,进行复制然后取证取证过程不允许对原硬盘操作的)ENcaseFTK取证大师盘石介质取证分析内存取证技术虚拟内存文件/休眠文件/内存转储/DMA/冷启动芯片取证操作系统取证Windows系统未分配空间实际上有数据的文件残留区 Filestack(磁盘碎片)逻辑大小 + 文件残留区 = 物理大小文件残留区没被...
[墨者学院] Linux硬盘文件分析取证(SSH过的IP)
0of_blog
05-30 542
给出百度云地址,下载附件 给出的是一个ssh1.img镜像 还是用AccessData FTK打开 File -> Add Evidence Item...,选择 Image File 选择我们的文件地址。Finish 我们要找的是ssh过的ip,那么首先要知道系统的日志是会记录在/var/log/messages的, 那么我们去看看这个文件 Nov 1 12:39:10 localhost auth.info sshd[3898]: Server listenin...
Linux基础】基础取证命令集合
南京信息工程大学数字取证中心的博客
12-15 1365
Linux基础】基础取证命令集合
Kali Linux 数字取证(一)
龙哥盟
07-15 2052
在今天的世界中,新的威胁、违规行为和恶意活动经常在新闻、网站和门户网站上被发现和发布。尽管我们尽力保护我们的数据、系统和网络,但仍然会发生违规行为。为了了解发生了什么,我们转向数字取证领域。尽管数字取证仍然是一个相对较新的领域,但在考虑到任何访问互联网并意图进行恶意活动的人可以获得的大量信息时,取证已经变得和安全一样重要。值得庆幸的是,数字指纹和工件有时会留下痕迹,无论是在已删除或隐藏的文件、电子邮件、某人的浏览历史、远程连接列表,甚至是移动短信中。
朔源取证工具
05-07
### 关于朔源取证工具 #### 什么是朔源取证工具? 朔源取证工具主要用于网络攻击事件发生后,帮助安全人员追踪溯源并获取证据。这些工具能够解析日志文件、提取关键信息,并提供可视化界面以便更高效地分析数据[^2]。 #### 常见的朔源取证工具 以下是几种常见的朔源取证工具及其功能概述: 1. **Volatility** Volatility 是一款开源内存分析框架,支持多种操作系统(Windows、Linux 和 macOS)。它可以从内存转储中提取进程列表、网络连接、注册表键值等重要信息,对于深入分析恶意软件行为非常有用[^3]。 2. **Autopsy** Autopsy 是 The Sleuth Kit 的图形化前端,提供了强大的数字取证能力。它可以用于硬盘镜像分析、文件恢复、元数据分析等功能。其易用性和丰富的插件使其成为初学者的理想选择[^4]。 3. **Wireshark** Wireshark 是一个广泛使用的网络协议分析器,可以帮助用户捕获和查看实时流量数据包。虽然它的主要用途是调试网络通信问题,但在某些情况下也能辅助进行攻击路径重建工作[^5]。 4. **Log2Ram** Log2Ram 并不是一个专门的取证工具,但它可以通过减少磁盘写入次数延长 SSD 寿命的同时保存临时的日志记录,在事后调查过程中可能间接发挥作用[^1]。 #### 如何下载与安装这些工具? - 对于 **Volatility** ,可以直接访问官方 GitHub 页面 (https://github.com/volatilityfoundation/volatility) 进行克隆或者下载压缩包后再解压至本地目录即可完成部署; - 如果想获得最新的稳定版本,则建议前往 SourceForge 或者 PyPI 上搜索相应名称来进行安装操作(`pip install volatility`); - 至于 **Autopsy**, 用户只需进入官网(https://www.sleuthkit.org/autopsy/)点击Download按钮按照提示步骤执行便可轻松搞定一切准备工作; - 而关于 **Wireshark**, 访问官方网站 https://www.wireshark.org/#download 就能找到适合当前系统的安装程序链接地址. 请注意,在实际环境中运用任何第三方应用程序之前都应仔细阅读许可条款并确认合法性合规性! ```bash # 安装Volatility via pip命令示例 pip install volatility ``` ```python # 示例Python脚本调用Volatility模块读取Dump文件基本信息 import volatility.conf as conf from volatility.framework import contexts, exceptions, plugins context = contexts.Context() config_path = "/path/to/config/file" memory_image = "/path/to/memory/dump" try: config = conf.ConfObject(config_path) context.config['plugins'] = ['pslist'] result = plugins.run_plugin(context, memory_image) except Exception as e: print(f"Error occurred: {e}") else: for process in result.processes(): print(process.name(), process.pid()) ``` ### 使用教程概览 每种工具都有详细的在线文档和技术博客可供查阅学习资源: - Volatility 提供了详尽的手册页面说明各个子命令参数含义及应用场景实例演示. - Autopsy 则内置了一套完整的向导引导新手快速上手基本流程操作指南. - Wireshark 社区活跃度极高,无论是入门级还是进阶型话题都能找到大量讨论帖分享经验心得.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值