linux取证之可疑文件初步分析

最新推荐文章于 2024-03-27 17:30:05 发布
最新推荐文章于 2024-03-27 17:30:05 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: 恶意代码取证 文章标签: 取证 Linux 可疑文件分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NFMSR/article/details/81119893
版权
本文详述了在Linux系统中对可疑文件进行初步分析的步骤,包括收集系统和文件信息,计算hash值,使用ssdeep进行相似性比对,识别文件类型,反病毒扫描,提取元数据,分析文件依赖,以及去除保护技术。主要涉及的工具有md5sum、ssdeep、file、ldd、nm、strings等,同时提到了ELF文件结构的分析方法。
摘要由CSDN通过智能技术生成

文件识别和构型—— 可疑文件的初步分析

  1. 文件构型流程

    1. 收集详细信息:对包含可疑文件的系统进行识别和用文档记录相关的系统详细资料,对可疑文件收集一些基本的文件详细信息和属性
      • 操作系统,版本,内核版本,补丁级别
      • 文件系统,可疑文件被发现时的完整路径
      • 防火墙,安全软件
      • 文件信息:文件属性,大小,数据和时间:ls -al
    2. 计算hash值:对可疑文件生成一个加密hash值或者“数字指纹”
      • Linux系统:md5sum filename
      • 将生成的hash值存入文件: md5sum filename > md5_filename.txt 或者 md5sum filename >>malware-hashes.txt
      • -c 参数 可以从hash库中读取MD5摘要值且对其进行比较
      • GUI工具:MD5Summer和 Parano
    3. 比较:将可疑文件与已知的恶意文件样本进行比较生成文件相似点索引。
      • 利用CTPH算法,该算法为一个文件计算出一系列随机大小的校验和。用于将并不完全等同但在文件内容上又很相似的文件进行关联起来。
      • 工具:ssdeep工具
      • 用法:
      • ssdeep filename :生成hash值和完整路径
      • ssdeep filename >> destPathandhashlistname
      • ssdeep -m hashlist filename 给出相似度评分
      • -p选项 文件与另一个文件
最低0.47元/天 解锁文章
NFMSR
关注
专栏目录
Linux类服务器遭受攻击排查取证
weixin_42261331的博客
09-14 1285
前言: 大家日常早就对Windows中的病毒习惯了,对付Windows中的病毒,有很多办法:杀毒软件、专杀工具等,但是这些东西往往主要集中在windows这一领域。 很多企业使用了Linux操作系统,原因主要是Linux的安全性比较高,但随着业务及技术发展,面向Linux系统的攻击越来越多,Linux机器也会感染病毒。本文会对Linux病毒攻击排查及如何防范做初步的介绍。 Linux系统被入侵/中毒的表象,比较常见的中毒表现在以下三个方面: 1)服务器出去的带宽会跑高这个是中毒的一个特征。 ..
Linux操作系统安全及入侵排查
09-30
本PPT介绍: 1、Linux操作系统的安全配置,通过设置这些配置项可以在一定程度上保证系统的安全性,有效降低被攻击的风险,为业务稳定运行提供一定的保障。安全配置加固涉及的方面包括:账号口令、登陆认证授权、网络与服务、日志要求、其他安全配置,根据上述五个方面的要求提供了详尽的配置操作及说明。 2、Linux系统被入侵后可能出现的异常现象,通过这些异常特征来判断系统是否被入侵。课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述检查内容提供相关的操作及说明。
Linux使用find命令查找可疑的木马文件
又逢乱世
07-12 833
查找:5天内被修改的文件 find ./ -mtime -5 -type f -exec ls -l {} \; 找到目录下所有的txt文件 find ./ -name "*.txt" -print 找到目录下所有的txt文件并删除 find ./ -name "*.txt" -exec rm -rf {} \; 找到目录下所有的php文件 并且在5天之类被修改的文件 find ./ -name "*.php" -mtime -5 -typef -exec ls -l {} \;...
保证Linux系统安全之分析和排查系统故障
小健健的博客
09-11 577
在处理Linux操作系统出现的各种故障时,故障的症状是最容易发现的,但导致故障的原因才是最终排除故障的关键。熟悉Linux操作系统中常见的日志文件,了解一般故障的分析与解决办法,将有助于管理员快速定位故障点,“对症下药”,及时解决各种系统问题。 博文大纲: 一、分析日志文件; 二、排除系统启动类故障; 三、排除文件系统类故障; 一、分析日志文件 日志文件是用于记录Linux操作系统中各种...
应急响应实战笔记——入侵排查篇:② Linux 入侵排查
最新发布
君逍遥o
03-27 1476
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
Linux 扫描文件 检查异常(CentOS)
Amily Blog
02-10 1809
Linux 上使用clamav 扫描文件,检查文件是否异常sudo yum install clamav clamav-scanner-sysvinit clamav-update -yDataBaseDirectory: /var/lib/clamav UpdateLogFile: /var/log/freshclam.log DatabaseOwner: clamupdate更新配置文
法庭现场分析存留的Linux系统.pdf
01-06
- **基本数据分析**:对收集到的数据进行初步分析,识别可疑活动。 - **关键字搜索**:使用grep或awk等工具搜索日志文件中的关键词,如登录失败、异常访问等。 - **高级分析**:通过更深入的技术手段分析数据,比如...
网络安全-CTF取证方法大汇总,建议收藏!
Coisini的博客
05-30 6947
站在巨人的肩头才会看见更远的世界,这是一篇来自技术牛人的神总结,运用多年实战经验总结的CTF取证方法,全面细致,通俗易懂,掌握了这个技能定会让你在CTF路上少走很多弯路,不看真的会后悔! 本篇文章大约6千字,阅读时间需20分钟,希望大家耐心看完! 取证 在CTF(Capture The Flag,中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式)中,取证的...
网络数据包分析工具与技术:Wireshark在Kali Linux中的应用
# 1. 网络数据包分析工具简介 ## 1.1 什么是网络数据包分析工具?...同时,网络数据包分析也是网络安全排查和攻击检测的重要手段之一。 ## 1.3 常见的网络数据包分析工具及其特点 常见的网络数据包
反编译神器jeb(linux版)
01-19
linux 版反编译神器,解压后直接使用
跨库执行存储过程报错:不允许对系统目录进行即席更新。 (Microsoft SQL Server,错误259)
学习啊~~~~~~~~~
09-17 4596
解决方法如下: 需要更改下列2个地方为true; 在界面直接配置,有时候会出现下列错误 不允许对系统目录进行即席更新。 (Microsoft SQL Server,错误: 259) 解决方法: EXEC master.dbo.sp_serveroption @server=N'自定义的连接名称', @optname=N'rpc', @optvalue=N'true' EXEC master.dbo.sp_serveroption @server=N'自定义的连接名称', @opt..
不支持对系统目录进行即席更新
weixin_33985679的博客
03-25 1326
--如果"allow updates"选项被设置为"1",那么你在使用语句:   EXEC sp_configure 'show advanced options', 1 ;GORECONFIGURE ;  --没有加上WITH OVERRIDE,就会出现提示的错误GO   --所以,如果你要解决问题,有两个方法: sp_configure 'allow updates', 0 ;--设...
不允许对系统目录进行即席更新_科服干货丨如何正确地进行数据备份
weixin_39636253的博客
12-12 473
最近科服遇到了很多数据丢了、硬盘坏了的同学;相比于电脑故障,数据的丢失往往会带来更为严重的、不可逆的后果,很多同学却没有意识到数据备份的重要性。其实科服去年就发过数据备份的推送,这篇文章现在看还是很经典,所以今天旧文新发,讲讲有关数据的那些事。为什么我的数据会丢失?有人觉得,把数据放在系统盘(C盘)以外的分区,就已经足够稳妥,不会丢失了。然而,实际上这样的操作往往并不能起到保护数据的效果...
Redis(一)
Aizen_Sousuke的博客
11-27 278
概念: redis是一款高性能的NOSQL系列的非关系型数据库 1.1.什么是NOSQL NoSQL(NoSQL = Not Only SQL),意即“不仅仅是SQL”,是一项全新的数据库理念,泛指非关系型的数据库。 随着互联网web2.0网站的兴起,传统的关系数据库在应付web2.0网站,特别是超大规模和高并发的SNS类型的web2.0纯动态网站已经显得力不从心,暴露了很多难以克服的问题,而非...
不允许对系统目录进行即席更新_PostgreSQL 读书会 一期 系统目录 和 系统管理 2...
weixin_39825105的博客
12-09 324
接上期PostgreSQL 读书会 一期 系统目录 1 --291页上期讲到如何停止用户正在执行的session,这里PG 提供了不同的方式来终止。这里扩展一下为什么要停止用户的连接。可以总结出以下原因1 用户的查询时间较长,已经影响到正常的系统运作,例如vacuum相关的操作。2 需要进行删除数据库的操作,但是目前需要进行处理的数据库正在被某些线程占用,所以需要清理这...
sp_configure错误:不支持对系统目录进行即席更新。
weixin_33950035的博客
04-25 845
今天在一台数据库服务器上(Microsoft SQL Server 2008 R2 (SP2) - 10.50.4000.0 (X64) Standard Edition (64-bit))使用sp_configure更改当前服务器的全局配置设置时,遇到错误提示为“消息 5808,级别 16,状态 1,第 1 行 Ad hoc up...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值