恶意代码取证
文章平均质量分 76
NFMSR
小白!!
展开
-
Linux 目录各文件夹含义
Linux 目录标准linux 目录配置标准: FHS。 FHS: Filesystem Hierarchy Standard. 建立这个标准的主要目的是希望让用户可以了解到已安装软件通常放置于那个目录下,所以希望独立的软件开发商、操作系统制作者以及想要维护系统的用户,都能够遵循 FHS 标准。各目录含义根目录(/) 根目录是整个 linux 系统最重要的一个目录,所有的目录都是由...原创 2018-07-23 10:56:08 · 685 阅读 · 0 评论 -
linux内存取证之内核信息取证(Volatility取证)
Linux kernel 内存分析: Volatility Linux_iomem 插件:查看内存区域的地址范围 验证LIME获取区域是否完整,两个工具结果比较:Volatility limeInfo和Volatility linux_iomem | grep "System RAM",如果System RAM 缺失的话,暗示这工具设计的不符合,操作不准确 虚拟地址映射:32位系统, 用...原创 2018-08-10 14:42:16 · 1136 阅读 · 0 评论 -
Linux内存取证之网络信息取证(Volatility 取证)
Linux Bash history 分析: 对抗Bash history分析的方法: HISTFILE变量在 ~./bashrc 中 Unsetting the HISTFILE environment variable (命令:unset HISTORY)或者将变量指向 /dev/null 设置 HISTSIZE变量=0 利用SSH 登陆时 加上-T参数 Li...原创 2018-08-10 14:40:03 · 1556 阅读 · 0 评论 -
Linux 内存取证 之进程空间取证(Volatility取证)
进程分析目标: 识别出进程和他们的父进程或者子进程(恶意进程的启动进程和别的不一样)pstree 区分内核中的进程(恶意进程通常作为内核进程来运行) grep UID /etc/{passwd,group} 将进程和用户或者组联系起来 进程地址空间分析目标: 学会怎样从一个内存dump中提取出进程的堆,栈,可执行代码的区域 Cat /proc/<pid>/maps...原创 2018-08-10 14:36:42 · 2936 阅读 · 0 评论 -
Linux 内存取证之常识问题
/dev/mem 文件只能存放896M RAM数据 Fmem和LIME 获取物理内存的差距 Fmem 创建一个字符驱动在用户区域,才可以有访问内存权限 Fmem优点是可以获取到超过896M的内存数据 Fmem缺点是需要调查员检查/proc/iomem 去确定哪些RAM被映射了。 LIME 直接加载一个内核驱动,所有的操作都在内核完成,不需要在用户区域和内核区域交换...原创 2018-08-10 14:34:38 · 741 阅读 · 0 评论 -
Linux之sed编辑器用法
sed 编辑器定义 sed编辑器被称作流编辑器(stream editor),流编辑器会在编辑器处理数据之前基于 预先提供的一组规则来编辑数据流。 sed 编辑器可以根据命令来处理数据流的数据,这些命令要么从命令行输入,要么存储在一个命令文本文件。sed编辑器操作一次从输入中读取一行数据根据所提供的编辑器命令匹配数据按照命令修改流中的数据将新的数据输...原创 2018-07-27 13:29:30 · 323 阅读 · 0 评论 -
Linux系统结构
Linux介绍Linux可划分为四部分:Linux内核:内核控制着计算机系统上的所有硬件和软件,在必要时分配硬件,并根据需要执行软件。Linux内核主要负责以下四种功能:系统内存管理:管理物理内存和管理虚拟内存,内核通过硬盘上的存储空间来实现虚拟内存,这块区域叫做交换空间(swap space)软件程序管理:内核创建的第一个进程(称为init进程)来启动系统上的其他进程,当内核启动...原创 2018-07-27 13:27:16 · 320 阅读 · 0 评论 -
linux取证之可疑程序分析
linux平台下可疑程序分析对可疑恶意代码的取证需要在安全和可靠的环境中进行,应将可疑文件放置在隔离环境或者沙箱系统网络中。检查恶意程序的准则:建立环境基准VMware建立模拟环境分析之前,首先保留受害系统在可疑代码运行前的快照同时也需要运行一个可对初始化时的系统状态和代码执行后的系统状态进行比较的工具。Open Source Tripwire工具:用于监控数据完整性以及在...原创 2018-07-27 13:25:41 · 1504 阅读 · 0 评论 -
linux取证之可疑文件初步分析
文件识别和构型—— 可疑文件的初步分析文件构型流程收集详细信息:对包含可疑文件的系统进行识别和用文档记录相关的系统详细资料,对可疑文件收集一些基本的文件详细信息和属性 操作系统,版本,内核版本,补丁级别文件系统,可疑文件被发现时的完整路径防火墙,安全软件文件信息:文件属性,大小,数据和时间:ls -al计算hash值:对可疑文件生成一个加密hash值或者“数字指纹” Lin...原创 2018-07-19 17:42:43 · 1398 阅读 · 0 评论 -
Linux取证之事后取证
事后取证:从Linux系统中搜索并提取恶意软件以及相关线索1.从Linux系统中发现和提取恶意软件前提: 熟悉Linux工作原理ext2和ext3文件系统取证检查: 检查文件的hash值和已知恶意软件特征是 否匹配检查加壳文件检查用户账号检查其他配置信息检查日志记录搜索已知恶意软件方法: 哈希比较技术: NSRL等hash数据库Rookit Hunter 和 ...原创 2018-07-19 17:41:22 · 1224 阅读 · 0 评论 -
linux取证之内存取证
内存取证内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。传统方法: 可读的文本和关键字搜索工具: Volatility方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析对于每个可疑的进程,如果...原创 2018-07-19 17:40:31 · 2863 阅读 · 0 评论 -
Windows环境下的易失性数据取证
易失性数据取证定义:开机状态下,一个目标系统包含能够反映系统状态的关键而短暂的信息。范围: 恶意进程的内存空间,口令,IP地址,安全事件日志条目。概念:事件响应取证,实时响应取证总体思想:建立实时响应工具包确定和记录工具的依赖性:将工具装载到像Dependency Walker或者PEView之中工具标注:修改文件名,用十六进制编辑器将文字加入到文件头领域,这样不会影响工具的使用。同时对每个工具的...原创 2018-07-13 17:21:52 · 2752 阅读 · 0 评论 -
Linux 环境下取证
linux环境下取证易失性数据 特点: Linux自带命令可被恶意代码修改不可信 Unix系统存在一个脚本程序用于记录系统命令的运行及输出结果,只不过在命令终止后,才输出记录结果,除非脚本加上-f选项,可以在命令运行时进行刷新,减少取证过程中因故障带来的数据损失。 方法: 在目标机器上运行使用静态编译方式生成的shell命令(如Heli...原创 2018-07-17 16:45:05 · 1593 阅读 · 0 评论 -
Linux 内存取证之文件系统取证(Volatility取证)
File Systems 知识点 USB 通常挂载到 /mdia/external/文件夹下。/media是根目录文件 Mount 指令查看挂载情况,在内存分析中使用volatility linux_mount 插件 ext3/4,Linux系统中最常见的文件系统格式 sysfs,一个伪文件系统,通常挂载在/sys/文件夹下,保存一些硬件连接系统的信息。 proc...原创 2018-08-10 14:43:59 · 3100 阅读 · 2 评论