超级会员免费看
Linux日志分析与取证指南
1. 日志完整性与时间范围提取
在日志分析中,日志的完整性至关重要。若日志文件被恶意修改,验证会在首次篡改处失败。例如,在一个示例中,日志文件在字节偏移量0x38fcc0处FSS完整性失败,存在被恶意修改的日志条目。
当调查特定时间段内发生的事件时,从明确的时间范围提取日志很有用。可以使用 journalctl 命令结合 -S (since)和 -U (until)两个标志来提取指定时间范围的日志,提取的日志是从 -S 指定的时间开始,到 -U 指定的时间(不包括该时间)为止。示例如下:
$ journalctl --directory ./evidence -S 2020-11-01 -U 2020-11-03
$ journalctl --file ./evidence/system.journal -S "2020-11-05 08:00:00" -U "2020-11-05 09:00:00"
第一个示例指定了包含日志文件的目录,提取了11月1日和11月2日的日志;第二个示例指定了更精确的时间范围,提取了11月5日上午8点到9点的日志。
systemd 的日志机制的新特性符合取证准备的期望,它提供了日志的完整性和完备性,这是数字取证的基本概念。
订阅专栏 解锁全文
扫一扫
8
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
