linux 取证知识点

最新推荐文章于 2023-07-18 17:17:57 发布
最新推荐文章于 2023-07-18 17:17:57 发布
阅读量237 收藏
点赞数
分类专栏: 计算机基础 信息安全 文章标签: linux 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29566629/article/details/125419784
版权
  1. 在linux里,一切皆文件,所以理论上任何信息都可以在文件里找到
  2. linux 系统版本信息在/etc/issue /etc/lsb-release /etc/redhat-release
  3. 分区UUID在 /etc/fstab
  4. 时区在/etc/timezone
  5. 历史命令在/root/.bash_history 或者 /home/user/.bash_history
  6. linux的各类日志都在/var/log里
qq_29566629
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux取证——查看用户登录日志
记录并分享学习安全的知识点..
10-20 5155
Linux查看用户登录日志
linux入侵取证
02-22
linux入侵取证
Windows与Linux取证分析
PICACHU+++的博客
07-18 3152
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件的属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。
服务器取证--linux操作命令
MichealCurry1的博客
10-14 2535
1.查看系统版本 cat /etc/redhat-release 2.查看内核版本 uname -a uname -sr 3.LVM LVM是逻辑盘卷管理(Logical Volume Manager)的简称,它是Linux环境下对磁盘分区进行管理的一种机制,LVM是建立在硬盘和分区之上的一个逻辑层,来提高磁盘分区管理的灵活性。 LVM的工作原理其实很简单,它就是通过将底层的物理硬盘抽象的封装起来,然后以逻辑卷的方式呈现给上层应用。在传统的磁盘管理机制中,我们的上层应用是直接访问文件系统,从而对底.
Linux基础】基础取证命令集合
南京信息工程大学数字取证中心的博客
12-15 911
Linux基础】基础取证命令集合
Linux系统取证
Legends_of_F的博客
10-25 207
取证
linux服务器取证思路.md
10-22
linux服务器取证思路.md
volatility linux 计算机取证
07-11
Linux计算机取证工具volatility资源,kali可用 计算机取证工具 volatility 资源以及安装说明
UNIX/Linux系统取证之信息采集案例
02-02
在UNIX/Linux系统取证中,及时收集硬盘的信息至关重要,《Unix/Linux网络日志分析与流量监控》一书中,将详细讨论各种常见系统进程系统调用及镜像文件获取方法。下面简单举几个例子。在UNIX/Linux取证时很多系统和...
linux取证——基础取证命令集合
记录并分享学习安全的知识点..
10-20 1004
linux取证——基础取证命令集合
Linux取证技术PPT演示稿
04-27
Linux取证技术的一份PPT演讲稿,与大家共享。
linux取证教程,Linux中的取证(Forensics in Linux)
weixin_33595380的博客
05-07 662
Linux中的取证(Forensics in Linux)数字调查的主要问题是通过加密或任何其他格式保护重要证据或数据。 基本示例是存储密码。 因此,有必要了解Linux操作系统在数字取证实施中的使用,以保护这些有价值的数据。所有本地用户的信息大多存储在以下两个文件中 -/etc/passwdetc/shadow第一个是必需的,它存储所有密码。 第二个文件是可选的,它存储有关本地用户的信息,...
Linux 系统取证
YT的博客
04-24 3108
初始响应阶段应该收集的数据: 系统日期和时间 当前登录的用户清单 整个文件系统的时间/日期戳 当前正在运行的进程列表 当前打开的套接字列表 在打开的套接字上监听的应用程序列表 当前或最近连接到系统的系统列表 易失性数据收集: 首先需要上传取证人员自己可信任的 shell 记录系统的日期和时间: date 记录网卡信息,包括网络地址和状态等: ifconfig -a 查看系统每...
liunx命令之lsblk
weixin_44652157的博客
10-09 314
简介 lsblk命令用于列出所有可用块设备的信息,而且还能显示他们之间的依赖关系,但是它不会列出RAM盘的信息。块设备有硬盘,闪存盘,cd-ROM等等。lsblk命令包含在util-linux-ng包中,现在该包改名为util-linux。 选项 -a, --all 显示所有设备。 -b, --bytes 以bytes方式显示设备大小。 -d, --node...
Linux系统入侵痕迹分析取证
留记
08-28 8374
获取基本信息 服务器配置 系统版本 计划任务 所有账户 获取网络信息 网络接口 [root@localhost ~]# ifconfig -a 开放端口 [root@localhost ~]# netstat -tanp [root@localhost ~]# ss -tanp 获取系统信息
Linux 下的电子取证
朝歌
04-08 2956
           此篇文章我是根据信息安全铁人三项赛前培训视频和小组学习过后的经验所写。重现视频中的步骤吧。实验吧视频连接地址:      http://nuc.shiyanbar.com/course/80668/vid/2223     其中有些结论是根据老师同学的结论总结而来,具体原理有些不懂。将通过进一步学习,理解其原理。     电子取证百度百科上是这样说的:电子取证是指利用计算机软...
使用 Linux 工具进行计算机取证
煜铭2011
06-15 8167
使用 Linux 工具进行计算机取证     本文通过介绍 Linux 系统工具(Ftkimage、xmount、Volatility、dd、netcat)来介绍使用计算机取证的方法和步骤。 硬盘数据的取证是指为了证据保全,确保取证工作造成数据丢失,在获取到证据介质后,首先要做的就是对介质数据进行全盘镜像备份。内存取证主要通过对内存数据及其缓存硬盘数据进行分析,提取那些对案件侦破可能有重要意义的
Linux 环境下取证
NFMSR的博客
07-17 1541
linux环境下取证 易失性数据 特点: Linux自带命令可被恶意代码修改不可信 Unix系统存在一个脚本程序用于记录系统命令的运行及输出结果,只不过在命令终止后,才输出记录结果,除非脚本加上-f选项,可以在命令运行时进行刷新,减少取证过程中因故障带来的数据损失。 方法: 在目标机器上运行使用静态编译方式生成的shell命令(如Heli...
[墨者学院] Linux硬盘文件分析取证(SSH过的IP)
0of_blog
05-30 380
给出百度云地址,下载附件 给出的是一个ssh1.img镜像 还是用AccessData FTK打开 File -> Add Evidence Item...,选择 Image File 选择我们的文件地址。Finish 我们要找的是ssh过的ip,那么首先要知道系统的日志是会记录在/var/log/messages的, 那么我们去看看这个文件 Nov 1 12:39:10 localhost auth.info sshd[3898]: Server listenin...
linux内存取证例题
最新发布
01-16
Linux内存取证是通过分析目标系统的内存内容来收集证据和信息,以便解决计算机取证案件。以下是一个Linux内存取证的例题: 一台Linux服务器被怀疑遭到黑客攻击,管理员需要对其内存进行取证分析,以确定攻击者的活动和获取证据。首先,管理员需要通过命令行工具或者专业取证工具获取服务器的内存镜像。接着,需要对内存镜像进行分析,寻找可能的攻击痕迹。 在分析内存镜像时,需要注意以下几个方面: 1. 进程和线程:查看运行的进程和线程,以确定是否有异常的程序或者未知的进程在运行。 2. 网络连接:分析内存中的网络连接信息,查找是否有不正常的网络活动,比如与未知主机的连接、大量的数据传输等。 3. 内存中的文件:检查内存中的文件内容,寻找是否有可疑的文件被加载到内存中。 4. 历史活动记录:查看内存中的历史活动记录,比如命令历史和登录记录,找出是否有异常的操作。 通过以上分析,管理员可以确定是否遭到了攻击,以及攻击者的行为和活动轨迹。同时也可以收集到用于取证的信息,如攻击者的IP地址、使用的工具和技术等。这些信息将有助于对案件进行调查和取证。 通过这个例题,可以看到Linux内存取证对于解决计算机取证案件具有重要的意义,同时也需要管理员具备专业的技能和工具来进行取证分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值