linux取证之可疑文件初步分析

最新推荐文章于 2025-08-21 11:03:00 发布
原创 最新推荐文章于 2025-08-21 11:03:00 发布 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#取证 #Linux #可疑文件分析

本文详述了在Linux系统中对可疑文件进行初步分析的步骤,包括收集系统和文件信息,计算hash值,使用ssdeep进行相似性比对,识别文件类型,反病毒扫描,提取元数据,分析文件依赖,以及去除保护技术。主要涉及的工具有md5sum、ssdeep、file、ldd、nm、strings等,同时提到了ELF文件结构的分析方法。

文件识别和构型—— 可疑文件的初步分析

  1. 文件构型流程

    1. 收集详细信息:对包含可疑文件的系统进行识别和用文档记录相关的系统详细资料,对可疑文件收集一些基本的文件详细信息和属性
      • 操作系统,版本,内核版本,补丁级别
      • 文件系统,可疑文件被发现时的完整路径
      • 防火墙,安全软件
      • 文件信息:文件属性,大小,数据和时间:ls -al
    2. 计算hash值:对可疑文件生成一个加密hash值或者“数字指纹”
      • Linux系统:md5sum filename
      • 将生成的hash值存入文件: md5sum filename > md5_filename.txt 或者 md5sum filename >>malware-hashes.txt
      • -c 参数 可以从hash库中读取MD5摘要值且对其进行比较
      • GUI工具:MD5Summer和 Parano
    3. 比较:将可疑文件与已知的恶意文件样本进行比较生成文件相似点索引。
      • 利用CTPH算法,该算法为一个文件计算出一系列随机大小的校验和。用于将并不完全等同但在文件内容上又很相似的文件进行关联起来。
      • 工具:ssdeep工具
      • 用法:
      • ssdeep filename :生成hash值和完整路径
      • ssdeep filename >> destPathandhashlistname
      • ssdeep -m hashlist filename 给出相似度评分
      • -p选项 文件与另一个文件进行比较
最低0.47元/天 解锁文章
应急响应-Linux-服务排查
qq_50765147的博客
01-24 1567
Linux系统铭感目录如下。
Linux使用find命令查找可疑的木马文件
原名又逢乱世。不要放下学习的脚步,毕竟比天天打牌、钓鱼、打游戏更能从内在充实自己。
07-12 1134
查找:5天内被修改的文件 find ./ -mtime -5 -type f -exec ls -l {} \; 找到目录下所有的txt文件 find ./ -name "*.txt" -print 找到目录下所有的txt文件并删除 find ./ -name "*.txt" -exec rm -rf {} \; 找到目录下所有的php文件 并且在5天之类被修改的文件 find ./ -name "*.php" -mtime -5 -typef -exec ls -l {} \;...
Linux操作系统安全及入侵排查
09-30
本PPT介绍: 1、Linux操作系统的安全配置,通过设置这些配置项可以在一定程度上保证系统的安全性,有效降低被攻击的风险,为业务稳定运行提供一定的保障。安全配置加固涉及的方面包括:账号口令、登陆认证授权、网络与服务、日志要求、其他安全配置,根据上述五个方面的要求提供了详尽的配置操作及说明。 2、Linux系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述检查内容提供相关的操作及说明。
保证Linux系统安全之分析和排查系统故障
小健健的博客
09-11 636
在处理Linux操作系统出现的各种故障时,故障的症状是最容易发现的,但导致故障的原因才是最终排除故障的关键。熟悉Linux操作系统中常见的日志文件,了解一般故障的分析与解决办法,将有助于管理员快速定位故障点,“对症下药”,及时解决各种系统问题。 博文大纲: 一、分析日志文件; 二、排除系统启动类故障; 三、排除文件系统类故障; 一、分析日志文件 日志文件是用于记录Linux操作系统中各种...
应急响应实战笔记——入侵排查篇:② Linux 入侵排查
君逍遥o
03-27 1799
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
Linux 扫描文件 检查异常(CentOS)
Amily Blog
02-10 1962
Linux 上使用clamav 扫描文件,检查文件是否异常sudo yum install clamav clamav-scanner-sysvinit clamav-update -yDataBaseDirectory: /var/lib/clamav UpdateLogFile: /var/log/freshclam.log DatabaseOwner: clamupdate更新配置文
23、Linux系统恶意软件取证文件识别与分析指南
plum99的博客
07-28 141
本文详细介绍了在Linux系统中进行恶意软件取证文件识别与分析方法。内容涵盖常用工具的使用、文件分析的注意事项、不同文件类型的分析步骤以及实际案例解析。通过静态分析和多种工具的结合使用,帮助读者全面了解恶意软件的特征与行为,为深入调查和安全防护提供指导。
17、Linux系统恶意软件文件识别与分析指南
plum99的博客
07-22 127
本文是一份全面的Linux系统恶意软件文件识别与分析指南,涵盖从文件相似度索引、可视化分析、签名识别与分类,到反病毒签名检测、嵌入式工件提取以及文件依赖项检查等多个方面。通过介绍多种实用工具和技术,如ssdeep、bytehist、file、TrID、strings、ldd等,帮助安全研究人员和数字取证调查人员高效识别和应对Linux平台上的恶意软件威胁。
10、Linux文件类型、识别与分析全解析
最新发布
yhn456789的博客
08-21 34
本文全面解析Linux文件类型及其识别与分析方法,涵盖POSIX文件类型、魔数串与文件扩展名、隐藏文件机制、应用程序元数据、文件内容分析、可执行文件格式(如ELF)以及取证分析注意事项。文章还提供了分析流程图、关键信息总结和实际案例分析,适用于数字取证、系统管理和安全研究人员。
linux 查壳工具,die查壳工具 使用教程
weixin_39552317的博客
05-12 2159
die查壳工具 使用教程die查壳工具 使用教程这是一款开源软件,有兴趣的同学可以根据源代码自己DIY属于自己的查壳神器》》》https://github.com/horsicq/Detect-It-Easy“DIE”是一个跨平台的应用程序,除Windows版本外,还有适用于Linux和Mac OS的可用版本。许多此类程序(PEID,PE工具)允许使用第三方签名。不幸的是,这些签名只能通过预设掩码...
最好的查壳工具DIE (大家可以试试比PEID好用),
04-10
Detect It Easy简称Die,是一款专业查壳工具,比PEID强大得多,能查一次查到底。并支持超大文件读取,其他查壳工具无法打开的程序,这个都能读取。虽然没有PEID出名,但是相当的强大,完全可以替代PEID。 软件特色 绿色免费,不用安装 支持文件拖放 支持添加右键菜单 支持多国语言(包含简体中文) 支持 Windows,Mac,Linux 系统 支持自定义插件 支持脚本编写与定义 支持多种皮肤选择 支持 16 进制编辑
反编译神器jeb(linux版)
01-19
linux 版反编译神器,解压后直接使用
linux入侵取证
02-22
linux入侵取证
解决linux下删除文件或oracle表空间后空间不释放的问题
csdn6538954的博客
04-27 1009
linux下删除文件或oracle表空间后,很多人会遇到linux空间不释放的问题,这个问题可以如下解决:[@more@]用root用户登陆执行命令: lsof | grep 你要删除的操作系统文件名就会看到类似如下信息:or...
Linux指令+查壳脱壳
2403_87020251的博客
10-23 712
常用参数: -b 显示匹配行距文件头部的偏移量 -o 显示匹配词距文件头部的偏移量 -c 只显示匹配的行数 -q 静默执行模式 -E 支持扩展正则表达式 -r 递归搜索模式 -F 匹配固定字符串的内容 -s 不显示没有匹配文本的错误信息 -h 搜索多文件时不显示文件名 -v 显示不包含匹配文本的所有行 -i 忽略关键词大小写 -w 精准匹配整词 -l 只显示符合匹配条件的文件名 -x 精准匹配整行 -n 显示所有匹配行及其行号?
溯源取证-Linux内存取证 中难度篇
weixin_48421613的博客
04-14 3184
此处场景为linux环境下的rootkit病毒,我们通过这篇文章可以通过内存取证发现rootkit病毒相关的知识,我个人觉得还是挺实用的,比较linux的rootkit病毒在不借助工具的前提下是不太好发现的
Windows与Linux取证分析
PICACHU+++的博客
07-18 4790
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件的属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。
linux可疑程序,linux可疑程序追踪
weixin_33701632的博客
05-10 536
今天的主角是旁边的服务器,学姐的Fedora。发生的情况和我的那台ubuntu类似。(看来是一起被黑了)连接虽挡,进程犹在其实昨天已经发现学姐的系统出问题了,采取的措施和我那台一样,iptables直接DROP和可疑IP的连接。今天学姐说,又出现了大流量的上行,而且似乎是通过smb(一个传输工具,可以不改变权限),她担心项目代码泄漏。我过去看了下iptables,发现那条规则没了,于是就有了今天的...
Linux服务器取证研究,linux系统取证
weixin_29748637的博客
05-06 1108
1、查看系统信息[root@server02~]#uname-a#查看内核Linuxserver023.10.0-957.el7.x86_64#1SMPThuNov823:39:32UTC2018x86_64x86_64x86_64GNU/Linux[root@server02~]#cat/etc/redhat-release#查看操作...
Windows内存取证实验:工具使用与取证分析
资源摘要信息:中南大学计算机取证课程实验内容围绕Windows内存取证Linux取证以及网络取证三大核心方向展开,旨在为信息安全专业学生提供全面的电子证据获取与分析能力。本实验以Windows内存取证为核心模块之一,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值