Linux 下的电子取证

最新推荐文章于 2025-05-18 17:53:19 发布
最新推荐文章于 2025-05-18 17:53:19 发布 · 3.1k 阅读 · 25

    

      此篇文章我是根据信息安全铁人三项赛前培训视频和小组学习过后的经验所写。重现视频中的步骤吧。实验吧视频连接地址:

      http://nuc.shiyanbar.com/course/80668/vid/2223

     其中有些结论是根据老师同学的结论总结而来,具体原理有些不懂。将通过进一步学习,理解其原理。

     电子取证百度百科上是这样说的:电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击等犯罪行为进行证据获取、保存、分析和出示的过程。从技术方面看,计算机犯罪取证是一个对受侵计算机系统进行扫描和破解,对入侵事件进行重建的过程。具体而言,是指把计算机看作犯罪现场,运用先进的辨析技术,对计算机犯罪行为进行解剖,搜寻罪犯及其犯罪证据。

    我是这样认为的,取证,即取得证据。取得他人入侵记录,得到证据。今天在这写的是,通过linux平台下的Volatility的工具取证。kali下自带这个工具。其他的系统下载后解压后可以直接使用。下载地址:https://github.com/volatilityfoundation/volatility

下载后,解压。通过python vol.py -h 

我们可以通过 python vol.py -h  命令查看帮助,获取常用的命令。例如

查看插件、地址空间、以及Profiles。如下图。



    我们实战分析的题:http://www.honeynet.org/challenges/2011_7_compromised_server

    看到挑战提供的问题如下。

朝歌1122
关注
Windows与Linux取证分析
PICACHU+++的博客
07-18 4689
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件的属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。
电子数据取证】从SSH开始使用Linux
longxintec的博客
07-19 1093
SSH为Secure Shell的缩写,是一种网络协议,是一个提供数据通信安全、远程登录、远程指令执行等功能的安全网络协议(允许用户远程向服务器发送shell命令,并让它们执行),最初提出目的是替代非安全的Telnet(23端口,没有使用加密连接)、rsh、rexec等远程Shell协议。如果一个用户从本地计算机,使用SSH协议登录另一台远程计算机,我们就可以认为,这种登录是安全的,即使被中途截获,密码也不会泄露。如果有人截获了登录请求,然后冒充远程主机,将伪造的公钥发给用户,那么用户很难辨别真伪。
linux入侵取证
02-22
linux入侵取证
电子数据取证(数字取证)技术全面指南:从基础到实践
最新发布
05-18 2011
数字取证(Digital Forensics)是一门应用科学,主要关注数字设备中的证据获取、保存、分析和呈现。作为传统法医学在数字世界的延伸,数字取证是连接计算机科学与法律系统的重要桥梁。 数字取证的核心目标包括: - 确保数据完整性和不被篡改 - 恢复被删除、隐藏或加密的数据 - 重建数字事件的时间线 - 以符合法律标准的方式提供分析结果
使用 Linux 工具进行计算机取证
煜铭2011
06-15 8932
使用 Linux 工具进行计算机取证     本文通过介绍 Linux 系统工具(Ftkimage、xmount、Volatility、dd、netcat)来介绍使用计算机取证的方法和步骤。 硬盘数据的取证是指为了证据保全,确保取证工作造成数据丢失,在获取到证据介质后,首先要做的就是对介质数据进行全盘镜像备份。内存取证主要通过对内存数据及其缓存硬盘数据进行分析,提取那些对案件侦破可能有重要意义的
UNIX/Linux系统取证之信息采集案例
weixin_33949359的博客
06-18 277
UNIX/Linux系统取证之信息采集案例在UNIX/Linux系统取证中,及时收集硬盘的信息至关重要,《Unix/Linux网络日志分析与流量监控》一书中,将详细讨论各种常见系统进程系统调用及镜像文件获取方法。下面简单举几个例子。1.收集正在运行的进程在UNIX/Linux取证时很多系统和网络信息是短时存在的可谓是转瞬即逝,如何准确的捕捉到哪些蛛丝马迹呢?网络安全人员需要具有敏锐的观察力和丰富的...
在线linux 系统初步取证
lepton126的专栏
10-08 1345
在线unix/linux 系统初步取证 下面我们来做个实验 取证对像是192.168.1.101,收集数据的机器是192.168.1.97 在192.168.1.101上运行 [root@PowerLeader /]# (ps aux;lsof)|nc 192.168.1.97 10005 -w 3 在192.168.1.87上运行 [root@m3650 backup]# nc -l
linux系统取证基础
ntrybw的博客
09-13 475
cat /etc/udev/rules.d/70-persistent-net.rules 查看网卡基本信息。可以根据参数排序:输入c,显示完整路径,输入p,cpu占有率排序可以就此查看恶意程序、自己做一定要修改密码,我感觉绕过密码后登录有问题,一定要改密码重启,机器会显示完全。如果还是错误,一般是因为制作镜像的时候网卡存在冲突导致的,就要看一下网卡内部信息。下面就是centos6的密码绕过,百度随便搜,很多,基本上都可以。cd /etc/passwd 查看用户信息,展示了信息存在位置。
LINUX系统下的计算机取证技术研究.pdf
09-06
"LINUX系统下的计算机取证技术研究" 计算机取证技术是指在计算机系统中收集、分析和恢复电子证据的过程。随着计算机技术的发展,计算机犯罪案件也日益增加,计算机取证技术因此变得越来越重要。 在LINUX系统下,...
linux内存镜像取证,W3bSafe-记一次Linux镜像取证
weixin_35224065的博客
05-03 530
查看题目要求下载这三个镜像并将victoria-v8.sda1.img挂载到/mnt目录下sudo mount -o loop victoria-v8.sda1.img /mnt在/mnt目录下可以看见首先查看系统版本cat etc/issue在var/log目录下查看Linux的版本然后制作版本对应的profile,可自己手动制作,也可以使用github上制作好的Github项目:https:/...
linux 日志 取证,Linux系统取证
weixin_32286661的博客
05-01 394
Linux系统取证1、查看系统信息name -a #查看内核/操作系统/CPU1.pnghead -n 1 /etc/issue #查看操作系统版本2.pngcat /proc/cpuinfo #查看cpu信息3.pngenv #查看系统环境变量4.png2、用户及组信息w #查看活动用户5.pngcut -d: -f1 /etc/passwd #查看系统所有用户6.pngcut -d: ...
Linux入侵取证:从一次应急事件讲起
chengfangang的专栏
11-11 3207
转载地址:http://www.freebuf.com/articles/system/50728.html 0×00 背景 最近接手了一起应急事件,事件的起因是这样,某IP地址在短时间内攻击国家CN顶级域名(203.119.x.1)近8万次。于是便作为一员接手了此次事件。 0×01 事件取证过程 1.Nmap扫描,存在的未知端口 如上图所示,存在着未知的端口8093,我们尝试在
linux远程取证,linux系统取证
weixin_33256627的博客
05-09 484
linux系统取证目录0x00 查看系统信息0x01 用户及组信息0x02 防火墙及路由信息0x03 查看网络、端口信息0x04 系统运行信息查看0x05 日志查看分析0x00 查看系统信息name-a #查看内核/操作系统/CPU head-n1/etc/issue #查看操作系统版本 cat/proc/cpuinfo #查看cpu信息 env #查看系统环境变量 0x01 用户及组信息w#查看...
Linux基础】基础取证命令集合
南京信息工程大学数字取证中心的博客
12-15 1362
Linux基础】基础取证命令集合
Linux 系统取证
YT的博客
04-24 3346
初始响应阶段应该收集的数据: 系统日期和时间 当前登录的用户清单 整个文件系统的时间/日期戳 当前正在运行的进程列表 当前打开的套接字列表 在打开的套接字上监听的应用程序列表 当前或最近连接到系统系统列表 易失性数据收集: 首先需要上传取证人员自己可信任的 shell 记录系统的日期和时间: date 记录网卡信息,包括网络地址和状态等: ifconfig -a 查看系统每...
linux远程取证,铁三Linux取证(示例代码)
weixin_42517466的博客
05-09 391
01 现场取证与计算机取证一个静态一个动态线下取证设备 现场取证——硬盘复制机(对硬盘做镜像,进行复制然后取证取证过程不允许对原硬盘操作的)ENcaseFTK取证大师盘石介质取证分析内存取证技术虚拟内存文件/休眠文件/内存转储/DMA/冷启动芯片取证操作系统取证Windows系统未分配空间实际上有数据的文件残留区 Filestack(磁盘碎片)逻辑大小 + 文件残留区 = 物理大小文件残留区没被...
查找linux入侵证据
huike008的博客
04-09 82
要查找linux系统入侵证据,可从如下几个方面入手: 1.last,lastlog命令可查看最近登录的帐户及时间 2./var/log/secure , /var/log/messages日志信息可以通过accept关键字查看系统是否有被可疑IP地址登录成功信息。 3.用户任务计划,文件/var/spool/cron/tabs/用户,某些黑客会将后门程序,病毒设置为计划任务,定时执行 ...
linux 内存取证_【技术分享】电子数据证据远程勘验取证流程分享
weixin_39577908的博客
11-28 3688
电子数据证据远程勘验在日常的取证工作中必不可少,但由于存在信息安全差、数据可能被篡改的问题 。取证过程中,有明确的取证要求来确保取证过程的规范显得至关重要,今天我们就一起来回顾下遇到远程勘验的取证场景,正确的取证流程是什么呢?01准备工具工具准备作为取证前期准备的重要部分之一,不可马虎。主要包含以下几点:外置录像设备;不小于目标容量的存证盘(存储内存镜像、磁盘镜像);建议准备软件:屏幕录...
电子取证服务器Linux常用指令集
04-27
<think>好的,我现在需要帮用户找到与电子取证服务器相关的Linux常用指令集。首先,用户提到了电子取证,所以我要回忆一下电子取证通常需要哪些方面的信息。根据引用[1]的内容,系统运行状态、任务计划、进程信息和服务信息都是关键点。比如查看crontab、进程ps命令和服务相关的systemctl命令。 然后,用户的需求是常用命令列表,所以需要分门别类组织。可能包括系统信息、文件分析、网络取证、日志检查、用户账户、安全审计等方面。引用[1]里提到的任务计划、进程和服务信息都是系统状态的重要部分,这些命令必须包含进去。 另外,引用[2]提到了SSH的使用,虽然用户现在的问题不是关于远程连接,但电子取证中可能需要检查SSH日志或配置,所以相关的命令比如查看/var/log/auth.log或者检查sshd_config也应该包括在内。 接下来要考虑其他电子取证的关键领域,比如磁盘取证可能需要用到dd、mount、fsstat等命令。文件分析方面,find、stat、md5sum这些工具也很重要。网络取证需要netstat、lsof、tcpdump之类的命令。 还要注意用户可能需要检查用户登录历史,所以last、lastb、who这些命令也要列出来。另外,权限相关的ls -l、chmod、chown可能有助于分析文件权限问题。 日志分析部分,journalctl和查看/var/log/下的各种日志文件是必须的。安全审计工具如auditd的相关命令也可能有用。 最后,需要确保每个类别都有对应的命令示例,并且解释每个命令的用途,这样用户能清楚如何应用这些命令在电子取证过程中。同时,参考引用中的信息,正确标注来源,比如任务计划和进程信息来自引用[1],SSH相关来自引用[2]。 总结下来,我需要分系统信息、文件分析、网络取证、日志检查、用户账户、安全审计等模块,每个模块下列举常用命令,并简要说明用途。同时生成相关问题,帮助用户进一步学习,比如磁盘镜像方法或SSH日志分析等。</think>以下是与电子取证服务器相关的Linux常用命令分类整理,结合系统状态检查、文件分析和网络取证等核心需求: --- ### 一、系统信息与运行状态取证 1. **任务计划检查** ```bash cat /etc/crontab # 查看系统级定时任务 ls /etc/cron.* # 检查所有预置任务目录 cat /var/spool/cron/<USERNAME> # 查看用户自定义定时任务[^1] ``` 2. **进程与服务分析** ```bash ps -aux # 查看所有进程详细信息(CPU/内存占用) ps -ef # 显示完整格式进程树 systemctl list-units --type=service --all # 列出所有服务状态[^1] lsof -p <PID> # 查看进程打开的文件 ``` 3. **硬件与系统配置** ```bash uname -a # 内核版本信息 dmidecode # 获取硬件详细信息 lsblk # 查看磁盘分区结构 ``` --- ### 二、文件与磁盘取证 1. **文件完整性校验** ```bash md5sum <file> # 计算文件MD5哈希 sha256sum <file> # 计算SHA-256哈希 stat <file> # 查看文件元数据(修改/访问时间) ``` 2. **磁盘镜像与恢复** ```bash dd if=/dev/sda of=image.dd bs=4M status=progress # 创建原始磁盘镜像 mount -o ro,loop image.dd /mnt # 只读挂载镜像文件 fls -r /dev/sda1 # 查看文件系统删除记录(需安装The Sleuth Kit) ``` 3. **敏感文件搜索** ```bash find / -name "*.log" -mtime -7 # 查找7天内修改的日志文件 grep -Rn "keyword" /path # 递归搜索文件内容 ``` --- ### 三、网络取证 1. **连接与端口监控** ```bash netstat -tulpn # 查看活跃连接及关联进程 ss -antup # 更现代的连接状态查看工具 tcpdump -i eth0 -w capture.pcap # 抓取网络流量包 ``` 2. **SSH相关取证** ```bash cat /var/log/auth.log | grep sshd # 查看SSH登录记录 cat /etc/ssh/sshd_config # 检查SSH服务配置[^2] lastlog # 显示所有用户最后登录时间 ``` --- ### 四、用户与日志审计 1. **用户行为追溯** ```bash last -ai # 查看登录历史(IP地址和主机名) lastb # 显示失败登录尝试 cat /etc/passwd # 查看用户账户列表 ``` 2. **日志集中分析** ```bash journalctl -u sshd --since "2023-01-01" # 按服务查看系统日志 zcat /var/log/syslog.*.gz # 解压分析压缩日志 ausearch -k suspicious_login # 查询审计日志(需启用auditd)[^1] ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值