linux取证之可疑文件初步分析

最新推荐文章于 2025-07-21 14:26:08 发布
原创 最新推荐文章于 2025-07-21 14:26:08 发布 · 1.5k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#取证 #Linux #可疑文件分析

本文详述了在Linux系统中对可疑文件进行初步分析的步骤,包括收集系统和文件信息,计算hash值,使用ssdeep进行相似性比对,识别文件类型,反病毒扫描,提取元数据,分析文件依赖,以及去除保护技术。主要涉及的工具有md5sum、ssdeep、file、ldd、nm、strings等,同时提到了ELF文件结构的分析方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文件识别和构型—— 可疑文件的初步分析

  1. 文件构型流程

    1. 收集详细信息:对包含可疑文件的系统进行识别和用文档记录相关的系统详细资料,对可疑文件收集一些基本的文件详细信息和属性
      • 操作系统,版本,内核版本,补丁级别
      • 文件系统,可疑文件被发现时的完整路径
      • 防火墙,安全软件
      • 文件信息:文件属性,大小,数据和时间:ls -al
    2. 计算hash值:对可疑文件生成一个加密hash值或者“数字指纹”
      • Linux系统:md5sum filename
      • 将生成的hash值存入文件: md5sum filename > md5_filename.txt 或者 md5sum filename >>malware-hashes.txt
      • -c 参数 可以从hash库中读取MD5摘要值且对其进行比较
      • GUI工具:MD5Summer和 Parano
    3. 比较:将可疑文件与已知的恶意文件样本进行比较生成文件相似点索引。
      • 利用CTPH算法,该算法为一个文件计算出一系列随机大小的校验和。用于将并不完全等同但在文件内容上又很相似的文件进行关联起来。
      • 工具:ssdeep工具
      • 用法:
      • ssdeep filename :生成hash值和完整路径
      • ssdeep filename >> destPathandhashlistname
      • ssdeep -m hashlist filename 给出相似度评分
      • -p选项 文件与另一个文件进行比较
最低0.47元/天 解锁文章

200万优质内容无限畅学
23、Linux系统恶意软件取证文件识别与分析指南
plum99的博客
07-28 12
本文详细介绍了在Linux系统中进行恶意软件取证文件识别与分析方法。内容涵盖常用工具的使用、文件分析的注意事项、不同文件类型的分析步骤以及实际案例解析。通过静态分析和多种工具的结合使用,帮助读者全面了解恶意软件的特征与行为,为深入调查和安全防护提供指导。
17、Linux系统恶意软件文件识别与分析指南
最新发布
plum99的博客
07-22 12
本文是一份全面的Linux系统恶意软件文件识别与分析指南,涵盖从文件相似度索引、可视化分析、签名识别与分类,到反病毒签名检测、嵌入式工件提取以及文件依赖项检查等多个方面。通过介绍多种实用工具和技术,如ssdeep、bytehist、file、TrID、strings、ldd等,帮助安全研究人员和数字取证调查人员高效识别和应对Linux平台上的恶意软件威胁。
Linux操作系统安全及入侵排查
09-30
本PPT介绍: 1、Linux操作系统的安全配置,通过设置这些配置项可以在一定程度上保证系统的安全性,有效降低被攻击的风险,为业务稳定运行提供一定的保障。安全配置加固涉及的方面包括:账号口令、登陆认证授权、网络与服务、日志要求、其他安全配置,根据上述五个方面的要求提供了详尽的配置操作及说明。 2、Linux系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述检查内容提供相关的操作及说明。
Linux使用find命令查找可疑的木马文件
原名又逢乱世。不要放下学习的脚步,毕竟比天天打牌、钓鱼、打游戏更能从内在充实自己。
07-12 1043
查找:5天内被修改的文件 find ./ -mtime -5 -type f -exec ls -l {} \; 找到目录下所有的txt文件 find ./ -name "*.txt" -print 找到目录下所有的txt文件并删除 find ./ -name "*.txt" -exec rm -rf {} \; 找到目录下所有的php文件 并且在5天之类被修改的文件 find ./ -name "*.php" -mtime -5 -typef -exec ls -l {} \;...
保证Linux系统安全之分析和排查系统故障
小健健的博客
09-11 607
在处理Linux操作系统出现的各种故障时,故障的症状是最容易发现的,但导致故障的原因才是最终排除故障的关键。熟悉Linux操作系统中常见的日志文件,了解一般故障的分析与解决办法,将有助于管理员快速定位故障点,“对症下药”,及时解决各种系统问题。 博文大纲: 一、分析日志文件; 二、排除系统启动类故障; 三、排除文件系统类故障; 一、分析日志文件 日志文件是用于记录Linux操作系统中各种...
应急响应实战笔记——入侵排查篇:② Linux 入侵排查
君逍遥o
03-27 1706
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
Linux 扫描文件 检查异常(CentOS)
Amily Blog
02-10 1905
Linux 上使用clamav 扫描文件,检查文件是否异常sudo yum install clamav clamav-scanner-sysvinit clamav-update -yDataBaseDirectory: /var/lib/clamav UpdateLogFile: /var/log/freshclam.log DatabaseOwner: clamupdate更新配置文
16、数字取证:法律考量与文件分析全解析
plum99的博客
07-21 12
本文全面解析了数字取证中的法律考量与文件分析流程,涵盖与执法部门的合作、证据可采性提升方法、各州相关法规、国际资源、联邦证据规则以及Linux环境下可疑文件的识别与分析步骤。内容旨在帮助数字调查人员确保取证过程的合规性和证据的可靠性,同时提供详细的文件分析技术和工具使用方法,以应对网络安全和恶意软件调查中的挑战。
linux可疑程序,linux可疑程序追踪
weixin_33701632的博客
05-10 513
今天的主角是旁边的服务器,学姐的Fedora。发生的情况和我的那台ubuntu类似。(看来是一起被黑了)连接虽挡,进程犹在其实昨天已经发现学姐的系统出问题了,采取的措施和我那台一样,iptables直接DROP和可疑IP的连接。今天学姐说,又出现了大流量的上行,而且似乎是通过smb(一个传输工具,可以不改变权限),她担心项目代码泄漏。我过去看了下iptables,发现那条规则没了,于是就有了今天的...
应急响应-Linux-进程排查
qq_50765147的博客
01-22 1085
命令行 在命令行中输入【netstat】网络连接命令,可分析可疑端口、可疑地址、可疑PID及程序进程。如图所示,PID为2963的进程存在恶意外联情况 根据PID值,利用【ls -alt /proc/PID】命令,可查看其对应的可执行程序。如图所示,使用【ls -alt /proc/2963】命令,可查看PID为2963的进程的可执行程序。 也可利用【lsof-p PID】命令,查看进程所打开的文件,如图所示,使用【lsof -p 2963】命令,可查看PID为2953的进程所
查壳利器 Exeinfo PE 0.0.5.3 (2018.9.25) 最新单文件中文版+集成35个插件
02-12
查壳利器 Exeinfo PE 0.0.5.3 (2018.9.25) 最新单文件中文版+集成35个插件,下载的原程序未集成插件,本程序及所集成的插件均来源于网络,在此一并感谢他们的辛勤付出。
最好的查壳工具DIE (大家可以试试比PEID好用)
11-17
非常好用的查壳的工具,比PEID好用,没有查不出来的,可以反汇编 非常方便(强烈推荐)
加壳工具简介
Hank's Techblog
10-15 4382
<br />1.程序编写语言: <br />常见的程序制作语言有:<br />Borland Delphi 6.0 - 7.0<br />Microsoft Visual C++ 6.0<br />Microsoft Visual Basic 5.0 / 6.0<br />还有汇编、易语言等。 很多软件都通过加壳保护来提高软件的破解难度,下面我们简单的介绍一下加壳工具。 <br />2.软件加壳工具介绍: <br />II 压缩壳介绍: <br />常见压缩壳有:ASPack、UPX、PeCompact、N
die查壳工具 使用教程
热门推荐
fengtum的博客
08-03 1万+
这是一款开源软件,有兴趣的同学可以根据源代码自己DIY属于自己的查壳神器》》》https://github.com/horsicq/Detect-It-Easy “DIE”是一个跨平台的应用程序,除Windows版本外,还有适用于Linux和Mac OS的可用版本。 许多此类程序(PEID,PE工具)允许使用第三方签名。不幸的是,这些签名只能通过预设掩码扫描字节,并且无法指定其他参数。结果,经常发生错误的触发。程序本身通常严格设置更复杂的算法。因此,要添加新的复杂检测,需要重新编译整个项目。除作者自己外,没
可执行二进制文件的形成过程与简单调试
weixin_30325071的博客
08-31 547
1) 预处理:主要对源码预编译语句(如宏定义define)和文件包含进行处理。即对宏指令替换和包含文件放置到需要编译的文件中,完成后会生成完整的C程序源文件。 2) 编译:对预处理以后文件进行编译,生成.s后缀的汇编语言文件,即该文件里是汇编语言的代码,汇编是一种更底层的语言,直接对硬盘进行操作。 3) 汇编:对汇编语言文件进行汇编,主要调用汇编处理程序来完成汇编,汇编是生成二进制机器代码的过...
170628 逆向-安卓查壳软件ApkDetecter安装
whklhhhh的博客
06-29 3175
1625-5 王子昂 总结《2017年6月28日》 【连续第269天总结】 A. 今天折腾了一天查壳和脱壳软件 脱壳在论坛上发现了使用IDA动态调试的教程,准备用adb跟着的时候发现模拟器是x86架构的,而IDA提供的android_server是arm指令集的,手头又没真机OTZ遂再等两天吧 惊喜的发现了一个查壳的工具ApkDetecter:https://github.com/Andy
Linux 进程查看 跟踪 运行总结
Transformer
11-25 3149
序: 今天运行Eclipse 一段时间后,想关掉,但怎么也关不掉,用killall eclipse 也无济于事,看来我的方法还是不够多,因此又去学习总结了一把。 一 。 图形化工具 因为用的是ubuntu, 因此已经集成了工具,具体工具在system/administrator/system monitor , 一打开就知道了,哪个进程占用资源大,直接右键kill掉就可以了,
基于Windows的内存取证
03-14
### Windows 内存取证工具与方法 #### 使用 Volatility 进行内存分析 Volatility 是一款强大的开源内存取证分析工具,适用于多种操作系统环境,包括 Windows 和 Linux。对于 Windows 系统上的内存取证,可以通过 Volatility 提取并解析内存转储文件的内容。例如,它可以识别当前正在运行的进程、网络连接状态、命令历史记录以及其他关键数据[^1]。 以下是使用 Volatility 的基本流程: 1. **获取内存镜像**:通过专用工具(如 WinPMEM 或 pcqf)捕获目标系统的物理内存。 2. **加载插件**:根据需求选择合适的插件,比如 `pslist` 查看进程列表或 `connections` 获取活动网络连接。 3. **执行分析**:运行特定命令完成所需的任务。下面是一个简单的 Python 脚本示例用于自动化部分操作: ```python import subprocess def run_volatility_command(plugin_name, memory_dump_file): command = f"vol.py -f {memory_dump_file} --profile=Win7SP1x64 {plugin_name}" result = subprocess.run(command.split(), capture_output=True, text=True) return result.stdout if __name__ == "__main__": output = run_volatility_command("pslist", "example.dmp") print(output) ``` #### DFIRtriage 应用场景 除了专门针对内存的工具外,《DFIRtriage》提供了全面指导手册,涵盖了从基础理论到实际案例的应用说明。这有助于理解整个数字取证过程中涉及的技术细节及其实施策略[^2]。特别是当面对复杂情况时,这些资源能够提供宝贵的参考价值。 #### Pcqf 自动化解决方案 Pcqf 则代表了一种更加简便快捷的方式来进行初步调查。作为一款基于 Go 编程语言开发的小型应用程序,它能够在最少配置条件下迅速抓取必要的系统信息而不会侵犯过多用户隐私权。即使是没有深厚技术背景的人士也能轻松上手,在短时间内获得关于可疑行为的第一手资料[^3]。 #### MemLabs 实践平台 最后值得一提的是 MemLabs 项目,该项目不仅包含了丰富的学习材料还设计了许多互动练习环节供爱好者们尝试解决真实世界里的挑战性难题。因此如果希望深入研究这一领域的话,则不妨考虑加入其中进一步锻炼自己这方面的能力[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值