超级会员免费看
Linux系统恶意软件取证指南
1. 取证概述
在Linux系统中,若存在恶意软件,可通过特定的取证检查方法将其找出。遵循系统且有记录的方法,能发现与恶意软件事件相关的大部分痕迹证据,并且每次进行取证检查时都可重复该过程。按一致的方式进行每次取证检查,并记录每一步骤,数字调查人员在接受其他从业者评估或在法庭上展示工作成果时将更具优势。
同时,一些专注于入侵调查的团队开发了定制工具,用于检查远程系统中是否存在恶意代码痕迹。例如,有时可利用恶意软件分析过程中获得的信息,开发基于网络的扫描器,对网络中的远程系统进行扫描,以确定特定的rootkit是否存在。
2. 避免的陷阱
在进行取证检查时,有一些陷阱需要避免,具体如下:
|陷阱类型|错误做法|正确做法|
| ---- | ---- | ---- |
|破坏证据|不要在原始系统上执行取证步骤|创建原始系统硬盘的取证副本,并在该数据的工作副本上进行所有分析;制作取证副本的工作副本,防止在取证检查期间出现损坏或问题而破坏唯一的取证副本|
|遗漏或遗忘证据|不要为了方便而跳过取证检查过程中的任何步骤|制定调查计划并严格遵循;有条不紊地审查系统中可能包含恶意软件痕迹证据的每个区域;在工作过程中记录发现的内容;将所有可用数据源的信息整合到与事件相关的共享时间线中|
|未纳入其他来源的相关信息|不要假设已掌握事件的全部信息,或认为只有一人进行了初始事件审查和响应|确定所有进行现场访谈、易失性数据保存和日志分析的人员,并获取他们收集的任何信息;将这些信息纳入代表整个事件的总体时间线;审查现场访谈笔记等文档,获取有助于聚焦和指导取证检查的信息|
订阅专栏 解锁全文
扫一扫
8
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
