Linux取证

最新推荐文章于 2024-02-16 02:13:16 发布

iteye_16188

最新推荐文章于 2024-02-16 02:13:16 发布

阅读量304

点赞数

分类专栏：安全审计文章标签：操作系统

本文链接：https://blog.csdn.net/iteye_16188/article/details/82608644

版权

安全审计专栏收录该内容

9 篇文章

订阅专栏

原文地址：http://resources.infosecinstitute.com/linux-and-disk-forensics/
数据取证调查通常由5步组成：
识别
数据获取
数据恢复
分析
报告
[img]http://dl2.iteye.com/upload/attachment/0102/9087/2a56df47-1865-3176-8697-84c118e37fb4.png[/img]
数据取证专用系统BackTrack, FIRE, Knoppix-STD, Linux LEO, Penguin Sleuth
我们将使用的工具
获取镜像: Dd, DdRescue, dc3dd, Aimage
数据恢复工具: Foremost, Magic Rescue,SafeCopy
取证分析工具: bulk_extractor, Miss Identify, RegLookup, readpst
取证工具套件: Autopsy, Sleuth Kit, PTK
在根目录下创建取证文件夹：

mkdir /evidence

创建一个用于分析的文件夹

mkdir /mnt/investigation

在这里，我们将会挂载外部数据来进行调查。
[b]获取镜像[/b]
[color=blue]使用dd命令来获得镜像[/color]

dd if=<media/partition on a media> of=<image_file>

例如

dd if=/dev/sdc of=image.dd

这里我们获得sdc硬盘的镜像，保存为image.dd。
针对本文，我们将使用开源测试样本。例如[url]http://dftt.sourceforge.net/[/url] , [url]http://pyflag.sourceforge.net[/url] 或 [url]http://linuxleo.com/[/url]。下载镜像到evidence文件夹中
我使用的镜像是通过

dd if=/dev/sdc of=pyflag_stdimage_0.1

命令获得的。
[img]http://dl2.iteye.com/upload/attachment/0102/9094/88f791a0-5da2-3801-9681-4d83f04c62db.png[/img]
下载完镜像后，copy到空的磁盘上，我们以后还会需要它：

dd if=pyflag_stdimage_0.1 of=/dev/fd0

现在我们有了两份镜像，一份在/evidence，一份在磁盘上。
[b]镜像分析：[/b]
把镜像mount到/investigation文件夹中
[color=blue]mount -o ro,noexec,loop pyflag_stdimage_0.1 /mnt/investigation[/color]
‘ro’ 和 ‘noexec’表明文件用只读和非执行方法挂载
现在切换到/mnt/investigation文件夹，可以看到系统镜像
把文件列表导入到一个文件，用于分析文件和他们的属性
[img]http://dl2.iteye.com/upload/attachment/0102/9098/ce54dd15-d902-3cf0-ab3a-3c5fb91398f8.png[/img]
通过这个列表可以搜索指定文件名，例如txt

grep txt ListOfFiles

[img]http://dl2.iteye.com/upload/attachment/0102/9100/5a79e4d9-a9c3-3b3e-9cfa-f30bdc1af75c.png[/img]
使用find命令来检查文件类型
find. -type f -exec file {} ; > /evidence/TypeOfFile
[img]http://dl2.iteye.com/upload/attachment/0102/9116/84f68ab3-7b6f-39eb-ad16-f145fadbca4e.png[/img]
从下图可以看到，我们发现了一个rootkit
[img]http://dl2.iteye.com/upload/attachment/0102/9118/b4d4f82e-3e19-33c9-a337-d57e52f0d698.png[/img]
来看看文件内容，DonVittos_private_key.txt含有DSA私钥。
[img]http://dl2.iteye.com/upload/attachment/0102/9120/248dcf01-d4bd-3b4a-b5b8-eb63d33ee876.png[/img]
看看其他文件夹，例如Document and Settings，Document and Settings/ Administrator/ Local Settings中的index.dat文件记录访问过的site。我们找到更有意思的文件，Document and Settings/ Administrator/文件夹下的outlook.pst 文件。它可能给我们更多信息。我们使用readpst工具:readpst用来将pst文件转换成mbox格式，从而可以使用各种mail软件来查看，修改。

readpst -D outlook.pst

-D表明包含在output中删除的内容
从而创建了几个文件夹，Inbox, Sent Items, MailBox, Deleted Items
[img]http://dl2.iteye.com/upload/attachment/0102/9122/36e71033-f795-3fc6-baae-1a8936f62412.png[/img]
现在这些文件夹中的mbox可以使用任何mail客户端来查看。我使用KMail来打开。其中一个邮件说道：
[img]http://dl2.iteye.com/upload/attachment/0102/9124/f690981b-cc5f-34e4-bb76-e418e2fae947.png[/img]
我们可以查看附件。现在我们坚持发件箱：
[img]http://dl2.iteye.com/upload/attachment/0102/9126/7e3b0853-dce0-3c59-a81c-278bf009926c.png[/img]
我们可以看到文件内容：
[img]http://dl2.iteye.com/upload/attachment/0102/9128/694737cd-4fd1-3a91-ab06-5f7c774f1003.png[/img]
把邮件放到Evidence文件夹：

readpst -D outlook.pst -o /evidence/MailsEvidence

[b]数据恢复[/b]
Autopsy用来分析磁盘镜像，帮助你浏览文件内容以及恢复数据。甚至有能力恢复删除的文件。
创建一个新的case，在第二步提供case name，描述和调查者的名字。第三步添加一个host。第四步，需要给出镜像的路径。接下来几步，它会要求你选择文件系统和分区等。点击Analyze，出现下图
[img]http://dl2.iteye.com/upload/attachment/0102/9130/3d1bf7ab-bd24-36ba-9143-45c0f3da64f9.png[/img]
File AnalysisFile Analysis允许你浏览整个文件系统。Keyword Search用于在文件系统中搜索指定的关键字。File Type允许你查看allocated和unallocated文件。Image Details告诉你文件系统的结构，大小和其他元数据。Meta Data给出inode的信息。Data Unit显示fragment的内容。我们对File Analysis感兴趣。
[img]http://dl2.iteye.com/upload/attachment/0102/9132/7213ca54-859a-3d7a-b80a-b6536c687054.png[/img]
现在我们可以浏览整个文件系统中的文件。蓝色表示存在的文件，红色表示删除的文件。点击他们来查看内容。