linux取证之可疑文件初步分析

本文详述了在Linux系统中对可疑文件进行初步分析的步骤,包括收集系统和文件信息,计算hash值,使用ssdeep进行相似性比对,识别文件类型,反病毒扫描,提取元数据,分析文件依赖,以及去除保护技术。主要涉及的工具有md5sum、ssdeep、file、ldd、nm、strings等,同时提到了ELF文件结构的分析方法。
摘要由CSDN通过智能技术生成

文件识别和构型—— 可疑文件的初步分析

  1. 文件构型流程

    1. 收集详细信息:对包含可疑文件的系统进行识别和用文档记录相关的系统详细资料,对可疑文件收集一些基本的文件详细信息和属性
      • 操作系统,版本,内核版本,补丁级别
      • 文件系统,可疑文件被发现时的完整路径
      • 防火墙,安全软件
      • 文件信息:文件属性,大小,数据和时间:ls -al
    2. 计算hash值:对可疑文件生成一个加密hash值或者“数字指纹”
      • Linux系统:md5sum filename
      • 将生成的hash值存入文件: md5sum filename > md5_filename.txt 或者 md5sum filename >>malware-hashes.txt
      • -c 参数 可以从hash库中读取MD5摘要值且对其进行比较
      • GUI工具:MD5Summer和 Parano
    3. 比较:将可疑文件与已知的恶意文件样本进行比较生成文件相似点索引。
      • 利用CTPH算法,该算法为一个文件计算出一系列随机大小的校验和。用于将并不完全等同但在文件内容上又很相似的文件进行关联起来。
      • 工具:ssdeep工具
      • 用法:
      • ssdeep filename :生成hash值和完整路径
      • ssdeep filename >> destPathandhashlistname
      • ssdeep -m hashlist filename 给出相似度评分
      • -p选项 文件与另一个文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值