1、Linux 取证分析全解析

Linux 取证分析全解析

1. 历史背景

2007 年，一位从事事件响应分析工作的专业人士，为完成信息安全硕士学位论文，选择了 UNIX 取证分析这一主题。起初，他认为这既与工作相关，又能带来挑战。然而，经过一天的研究，他发现 UNIX 取证概念广泛，且市面上几乎没有专门的书籍。虽然找到了一些优秀的文章和白皮书，但缺乏全面系统的资料。

他个人曾接触过多种 UNIX 变体，如 Solaris、AIX、HP - UX、BSD、Tru64 以及多种 Linux 发行版（Ubuntu、Fedora Core、Red Hat、Gentoo、SUSE 和 Knoppix 等）。考虑到要涵盖所有变体及其架构和命令结构差异几乎不可能，最终决定专注于 Linux 2.6.22 - 14 内核，以 Ubuntu 7.10 Gutsy Gibbon 或 Fedora Core 8 为例进行讲解。

完成论文后，他意识到 UNIX 取证领域存在知识缺口。网络上虽有一些信息，但不集中，新手可能会因基础问题而感到困惑。于是，他决定编写一本专注于 Linux 取证的书籍，并与同事交流获取反馈，Cory Altheide 和 Todd Haverkos 也加入进来共同创作。

2. 目标受众

在事件响应分析工作中，约 80% 的事件与 Windows 系统相关，仅有约 20% 涉及 UNIX 变体。如果你遇到了这 20% 的 nix 案件，且对 Linux 作为主机操作系统或用于取证调查经验不足，那么这本书正适合你。当然，如果你还未遇到 nix 案件，阅读此书可提前做好准备；或者你熟悉 UNIX 不同版本，处理过相关案件，也能从中获取新知识，提升调