linux取证之可疑文件初步分析

最新推荐文章于 2024-03-27 17:30:05 发布
最新推荐文章于 2024-03-27 17:30:05 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: 恶意代码取证 文章标签: 取证 Linux 可疑文件分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NFMSR/article/details/81119893
版权
本文详述了在Linux系统中对可疑文件进行初步分析的步骤,包括收集系统和文件信息,计算hash值,使用ssdeep进行相似性比对,识别文件类型,反病毒扫描,提取元数据,分析文件依赖,以及去除保护技术。主要涉及的工具有md5sum、ssdeep、file、ldd、nm、strings等,同时提到了ELF文件结构的分析方法。
摘要由CSDN通过智能技术生成

文件识别和构型—— 可疑文件的初步分析

  1. 文件构型流程

    1. 收集详细信息:对包含可疑文件的系统进行识别和用文档记录相关的系统详细资料,对可疑文件收集一些基本的文件详细信息和属性
      • 操作系统,版本,内核版本,补丁级别
      • 文件系统,可疑文件被发现时的完整路径
      • 防火墙,安全软件
      • 文件信息:文件属性,大小,数据和时间:ls -al
    2. 计算hash值:对可疑文件生成一个加密hash值或者“数字指纹”
      • Linux系统:md5sum filename
      • 将生成的hash值存入文件: md5sum filename > md5_filename.txt 或者 md5sum filename >>malware-hashes.txt
      • -c 参数 可以从hash库中读取MD5摘要值且对其进行比较
      • GUI工具:MD5Summer和 Parano
    3. 比较:将可疑文件与已知的恶意文件样本进行比较生成文件相似点索引。
      • 利用CTPH算法,该算法为一个文件计算出一系列随机大小的校验和。用于将并不完全等同但在文件内容上又很相似的文件进行关联起来。
      • 工具:ssdeep工具
      • 用法:
      • ssdeep filename :生成hash值和完整路径
      • ssdeep filename >> destPathandhashlistname
      • ssdeep -m hashlist filename 给出相似度评分
      • -p选项 文件与另一个文件
最低0.47元/天 解锁文章
NFMSR
关注
专栏目录
Linux类服务器遭受攻击排查取证
weixin_42261331的博客
09-14 1282
前言: 大家日常早就对Windows中的病毒习惯了,对付Windows中的病毒,有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 很多企业使用了Linux操作系统,原因主要是Linux的安全性比较高,但随着业务及技术发展,面向Linux系统的攻击越来越多,Linux机器也会感染病毒。本文会对Linux病毒攻击排查及如何防范做初步的介绍。 Linux系统被入侵/中毒的表象,比较常见的中毒表现在以下三个方面: 1)服务器出去的带宽会跑高这个是中毒的一个特征。 ..
Linux操作系统安全及入侵排查
09-30
本PPT介绍: 1、Linux操作系统的安全配置,通过设置这些配置项可以在一定程度上保证系统的安全性,有效降低被攻击的风险,为业务稳定运行提供一定的保障。安全配置加固涉及的方面包括:账号口令、登陆认证授权、网络与服务、日志要求、其他安全配置,根据上述五个方面的要求提供了详尽的配置操作及说明。 2、Linux系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述检查内容提供相关的操作及说明。
Linux使用find命令查找可疑的木马文件
又逢乱世
07-12 826
查找:5天内被修改的文件 find ./ -mtime -5 -type f -exec ls -l {} \; 找到目录下所有的txt文件 find ./ -name "*.txt" -print 找到目录下所有的txt文件并删除 find ./ -name "*.txt" -exec rm -rf {} \; 找到目录下所有的php文件 并且在5天之类被修改的文件 find ./ -name "*.php" -mtime -5 -typef -exec ls -l {} \;...
保证Linux系统安全之分析和排查系统故障
小健健的博客
09-11 573
在处理Linux操作系统出现的各种故障时,故障的症状是最容易发现的,但导致故障的原因才是最终排除故障的关键。熟悉Linux操作系统中常见的日志文件,了解一般故障的分析与解决办法,将有助于管理员快速定位故障点,“对症下药”,及时解决各种系统问题。 博文大纲: 一、分析日志文件; 二、排除系统启动类故障; 三、排除文件系统类故障; 一、分析日志文件 日志文件是用于记录Linux操作系统中各种...
应急响应实战笔记——入侵排查篇:② Linux 入侵排查
最新发布
君逍遥o
03-27 1476
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
Linux 扫描文件 检查异常(CentOS)
Amily Blog
02-10 1809
Linux 上使用clamav 扫描文件,检查文件是否异常sudo yum install clamav clamav-scanner-sysvinit clamav-update -yDataBaseDirectory: /var/lib/clamav UpdateLogFile: /var/log/freshclam.log DatabaseOwner: clamupdate更新配置文
法庭现场分析存留的Linux系统.pdf
01-06
- **基本数据分析**:对收集到的数据进行初步分析,识别可疑活动。 - **关键字搜索**:使用grep或awk等工具搜索日志文件中的关键词,如登录失败、异常访问等。 - **高级分析**:通过更深入的技术手段分析数据,比如...
网络安全-CTF取证方法大汇总,建议收藏!
Coisini的博客
05-30 6933
站在巨人的肩头才会看见更远的世界,这是一篇来自技术牛人的神总结,运用多年实战经验总结的CTF取证方法,全面细致,通俗易懂,掌握了这个技能定会让你在CTF路上少走很多弯路,不看真的会后悔! 本篇文章大约6千字,阅读时间需20分钟,希望大家耐心看完! 取证 在CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)中,取证的...
网络数据包分析工具与技术:Wireshark在Kali Linux中的应用
# 1. 网络数据包分析工具简介 ## 1.1 什么是网络数据包分析工具?...同时,网络数据包分析也是网络安全排查和攻击检测的重要手段之一。 ## 1.3 常见的网络数据包分析工具及其特点 常见的网络数据包
反编译神器jeb(linux版)
01-19
linux 版反编译神器,解压后直接使用
Linux应急响应排查
swordheart的博客
08-24 1100
1] 可疑进程名[2] 可疑域名/IP流量[3] 可疑定时任务[4] 可疑文件路径。
几个实用的linux查看工具
向往的生活
07-10 463
写在前面 下载需要epel源, yum install epel-release 主机状态监测 yum install ncdu #磁盘大小查看 yum install htop atop #内存,CPU yum install iotop #磁盘使用IO yum install iftop #网络 端口 yum install lsof #端口查看 lsof -i:8080 ...
釜底抽薪:用autoruns揪出流氓软件的驱动保护
11-13 1343
作者:网络安全日志    日期:2006/10/01   ( 转载请保留此申明) 一、为什么流氓软件总是删不掉?    经常有网友发贴子说文件删除不掉,或者流氓软件清除不了,或者删除了相关的文件,但是马上它又出现了。现在流氓软件为了保护自己,采取的手段是五花八门,无所不用其极:进程保护,交叉感染,自启动,自我恢复,文件隐藏,进程注入,驱动保护。在我的上一篇文章中《[惊天大发现]顽固文件
Linux恶意攻击自查方案
W1124824402的博客
12-12 1699
实际上,/etc/rc.d/init.d和/etc/xinetd.d目录,以及/etc/rc.d/rc.local文件是通过软链接到/etc/rc*.d目录下执行加载的,而/etc/inittab是启动配置文件,因此重点关注/etc/rc0.d~rc6.d目录下的文件。注:各服务的启动脚本存放在/etc/init.d/和/etc/xinetd.d目录下,对于没有或无法使用chkconfig命令的系统,可通过创建或删除到/etc/rc*.d目录下的软链接,手工实现管理服务开机是否启动。
linux可疑程序追踪
Reformatsky的博客
08-27 3231
今天的主角是旁边的服务器,学姐的Fedora。发生的情况和我的那台ubuntu类似。(看来是一起被黑了)连接虽挡,进程犹在其实昨天已经发现学姐的系统出问题了,采取的措施和我那台一样,iptables直接DROP和可疑IP的连接。今天学姐说,又出现了大流量的上行,而且似乎是通过smb(一个传输工具,可以不改变权限),她担心项目代码泄漏。我过去看了下iptables,发现那条规则没了,于是就有了今天的另
Linux取证之事后取证
NFMSR的博客
07-19 1222
事后取证:从Linux系统中搜索并提取恶意软件以及相关线索 1.从Linux系统中发现和提取恶意软件 前提: 熟悉Linux工作原理 ext2和ext3文件系统 取证检查: 检查文件的hash值和已知恶意软件特征是 否匹配 检查加壳文件 检查用户账号 检查其他配置信息 检查日志记录 搜索已知恶意软件方法: 哈希比较技术: NSRL等hash数据库 Rookit Hunter 和 ...
Linux 内存取证 之进程空间取证(Volatility取证
NFMSR的博客
08-10 2934
进程分析目标: 识别出进程和他们的父进程或者子进程(恶意进程的启动进程和别的不一样)pstree 区分内核中的进程(恶意进程通常作为内核进程来运行) grep UID /etc/{passwd,group} 将进程和用户或者组联系起来 进程地址空间分析目标: 学会怎样从一个内存dump中提取出进程的堆,栈,可执行代码的区域 Cat /proc/<pid>/maps...
linux漏洞扫描工具【lynis】
吴业亮的专栏
12-21 5277
作者:【吴业亮】云计算开发工程师 博客:http://blog.csdn.net/wylfengyujianchengLynis是针对Unix/Linux的安全检查工具,可以发现潜在的安全威胁。这个工具覆盖可疑文件监测、漏洞、恶意程序扫描、配置错误等。A. 检查项举例: B. 系统允许的登陆操作 C. 失效的SSL证书 D. 不需要密码的账户 E. 未授权的文件 F. 配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值