Windows与Linux取证分析

已于 2023-07-30 13:11:30 修改
阅读量4.2k 收藏 24
点赞数 2
文章标签: 电子取证 linux windows 渗透测试 网络安全 服务器
于 2023-07-18 17:17:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60503432/article/details/131771302
版权
本文详细介绍了电子数据取证的基本概念,包括电子取证学、洛卡德物质交换原理等。接着深入探讨了Linux和Windows系统的取证分析,包括基本信息获取、系统运行状态、日志分析、注册表和事件日志等内容,为网络犯罪调查提供了关键信息。
摘要由CSDN通过智能技术生成

目录

一、电子数据取证基本概念

1.电子取证学

2.常规取证

3.洛卡德物质交换原理

4.电子数据范围

5.电子数据取证的概念和目的

6.电子数据取证过程

二、Linux系统取证

1.基本信息获取

(1)获取系统基础信息

(2)用户/用户组信息

(3)网络信息

2.系统运行状态

(1)任务计划

(2)进程信息

(3)服务信息

2.日志分析

(1)系统接入日志

(2)进程统计日志

(3)错误日志

3.常用日志文件

(1)文本日志

(2)二进制日志

4.应用日志

(1)Apache服务日志

(2)CUPS打印系统日志

(3)Samba日志

(4)其他日志

三、Windows系统取证

1.主要的易失性数据

2.相关命令

3.windows重点目录

(1)用户目录

(2)桌面

(3)最近访问文档

(4)我的文档

(5)启动目录

(6)交换文件

(7)休眠文件

(8)假脱机打印文件

4.注册表

(1)注册表分支

(2)用户信息

(3)系统信息

5.事件日志

(1)系统日志

(2)应用程序日志

(3)安全日志

(4)应用程序和服务日志

6.数字时间取证

(1)系统时间

(2)时间取证的基本判断规则

(3)访问时间的证据效力

7.电子数据时间查询

(1)文件系统创建时间

(2)操作系统时间

一、电子数据取证基本概念

1.电子取证学

为了打击网络犯罪而生,是计算机学科与法学学科交叉的学科

2.常规取证

有调查取证权的组织或者个人为了查明案件事实的需要,向有关单位或个人依法进行调查和收集证据。

3.洛卡德物质交换原理

没有真正完美的犯罪,只有未被发现的线索,犯罪者,必留痕,每一个犯罪行为都会留下痕迹,电子数据同样遵循这个原理

4.电子数据范围

电子文件:网页、博客、微博客、朋友圈、贴吧、网盘等网络平台发布的信息; 手机短信、电子邮件、即时通信、通讯群组等网络应用服务的通信信息; 用户注册信息、身份认证信息、电子交易记录、通信记录、登录日志等信息; 文档、图片、音视频、数字证书、计算机程序等

5.电子数据取证的概念和目的

把数字证据转换为报告形式的过程,为法庭审判提供合法的证据

6.电子数据取证过程

(1)证据收集

注意电子数据的脆弱性

(2)数据获取

一定要保证原始数据

(3)数据分析

(4)取证报告

二、Linux系统取证

1.基本信息获取

系统版本信息,用户/用户组信息,网络信息(端口,路由,防火墙),系统运行状态(任务计划,进程信息,服务信息)

(1)获取系统基础信息

#1.系统发行版本信息(过时)
uname -a 
​
#2.系统发行版本信息(过时)
lsblk 
lsb_version
cat /etc/issue #在ubuntu中查看系统发行版本信息
cat /etc/redhat-release #在CentOS7中查看系统发行版本信息

(2)用户/用户组信息

cut -d:-f1 /etc/passwd
cut -d:f1 /etc/group

(3)网络信息

#1.IP信息
ip a show
​
#2.路由信息
ip route
​
#3.端口信息
ss-antp/netstat
​
#4.防火墙规则
iptables -L

2.系统运行状态

(1)任务计划

cat /etc/crontab
cat /var/spool/cron/USERNAME

(2)进程信息

ps -aux #a:与终端相关的进程,u:以用户为中心组织进程状态信息显示,x:与终端无关的进程
ps -ef #e:显示所有进程,f:显示完整格式程序信息

(3)服务信息

systemctl list-units --type=服务    #显示所有已经启动的服务
systemctl list-units -t service -a      #所有开启和关闭的
systemctl list-units -files -t service -a    #开机不启动,但是可以被另一个服务激活
cat /urs/lib/systemd/system    #服务目录

2.日志分析

在Linux中,日志是通过syslog记录的,在centos中被rsyslog代替,但是功能相同

rsyslog配置文件

/etc/rsyslog.conf

日志分为三类日志

(1)系统接入日志

根据日志追踪到谁在何时登录系统

/var/log/wtmp和/var/run/utmp #[telnet,ssh等程序会更新wtmp和utmp文件]

(2)进程统计日志

分析系统使用者对系统进行的配置以及对文件进行的操作

(3)错误日志

/var/log/messages

3.常用日志文件

(1)文本日志

/var/log/boot.log     #系统引导过程信息
/var/log/cron  #任务计划日志
/var/log/maillog #邮件日志
/var/log/messages #多个进程日志汇总
/var/log/secure #记录安全相关信息,主要是认证,权限使用等相关信息
/var/log/audit/audit.log #记录系统安全审计信息,尤其是SElinux安全审计信息

(2)二进制日志

/var/log/laslog  #记录最近成功登录时间和最后一次不成功登录时间
/var/log/wtmp #永久记录每个用户登录、注销以及系统的启动、停机事件
/var/log/utmp #该日志文件记录有关当前登录的每个用户信息

4.应用日志

(1)Apache服务日志

/var/log/httpd/access.log  #客户系统访问记录
/var/log/httpd/error.log   #所有出错记录

(2)CUPS打印系统日志

/var/log/cups/access_log
/var/log/cups/error_log

(3)Samba日志

ls /var/log/samba

(4)其他日志

/var/log/mysqld.log
/var/log/yum.log

最低0.47元/天 解锁文章
「已注销」
关注
  • 2
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
linux取证——基础取证命令集合
记录并分享学习安全的知识点..
10-20 1075
linux取证——基础取证命令集合
volatility linux 计算机取证
07-11
它在Windows系统中广为人知,但同样支持Linux环境,如Kali Linux。Volatility的工作原理是解析和分析系统的内存映像,从中提取出有价值的信息,这对于调查计算机犯罪、安全事件响应和系统漏洞分析等场景非常有用。 ...
Linux系统取证
Legends_of_F的博客
10-25 247
取证
Kali Linux 数字取证(一)
最新发布
龙哥盟
07-15 882
在今天的世界中,新的威胁、违规行为和恶意活动经常在新闻、网站和门户网站上被发现和发布。尽管我们尽力保护我们的数据、系统和网络,但仍然会发生违规行为。为了了解发生了什么,我们转向数字取证领域。尽管数字取证仍然是一个相对较新的领域,但在考虑到任何访问互联网并意图进行恶意活动的人可以获得的大量信息时,取证已经变得和安全一样重要。值得庆幸的是,数字指纹和工件有时会留下痕迹,无论是在已删除或隐藏的文件、电子邮件、某人的浏览历史、远程连接列表,甚至是移动短信中。
服务器取证--linux操作命令
MichealCurry1的博客
10-14 2790
1.查看系统版本 cat /etc/redhat-release 2.查看内核版本 uname -a uname -sr 3.LVM LVM是逻辑盘卷管理(Logical Volume Manager)的简称,它是Linux环境下对磁盘分区进行管理的一种机制,LVM是建立在硬盘和分区之上的一个逻辑层,来提高磁盘分区管理的灵活性。 LVM的工作原理其实很简单,它就是通过将底层的物理硬盘抽象的封装起来,然后以逻辑卷的方式呈现给上层应用。在传统的磁盘管理机制中,我们的上层应用是直接访问文件系统,从而对底.
linux取证——查看用户登录日志
记录并分享学习安全的知识点..
10-20 5415
Linux查看用户登录日志
Linux基础】基础取证命令集合
南京信息工程大学数字取证中心的博客
12-15 1086
Linux基础】基础取证命令集合
最强大的windows取证工具
01-09
该工具包中所包含的python代码支持对windows不同版本、linux以及android系统的取证分析,功能强大,包罗万象
Linux环境下的时间调查取证.pdf
09-06
本文主要针对Linux环境下时间调查取证的三个方面展开讨论:系统时区与时间、文件时间戳和日志时间信息,并对比Windows环境下的处理方式。 1. **系统时区与时间的调查取证** Linux系统中的时区信息通常存储在`/etc/...
【2023年全国职业技能大赛“信息安全与评估”赛项】任务4-Linux内存取证WP+靶场环境
04-20
【2023年全国职业技能大赛“信息安全与评估”赛项】聚焦了网络安全领域的核心技能,其中任务4重点探讨了Linux内存取证这一关键环节。在现代网络安全领域,内存取证是解决高级持续性威胁(APT)和其他复杂攻击的关键...
Linux取证技术
m0_74559567的博客
02-16 531
一些Linux取证技术~~~,涵盖root密码绕过、远程连接、目录解析、Linux的常用命令、定时任务的查看、日志信息
linux取证教程,Linux中的取证(Forensics in Linux)
weixin_33595380的博客
05-07 708
Linux中的取证(Forensics in Linux)数字调查的主要问题是通过加密或任何其他格式保护重要证据或数据。 基本示例是存储密码。 因此,有必要了解Linux操作系统在数字取证实施中的使用,以保护这些有价值的数据。所有本地用户的信息大多存储在以下两个文件中 -/etc/passwdetc/shadow第一个是必需的,它存储所有密码。 第二个文件是可选的,它存储有关本地用户的信息,...
Windows取证实验
qq_63855830的博客
03-26 2165
Windows取证实验
解决linux下删除文件或oracle表空间后空间不释放的问题
csdn6538954的博客
04-27 882
linux下删除文件或oracle表空间后,很多人会遇到linux空间不释放的问题,这个问题可以如下解决:[@more@]用root用户登陆执行命令: lsof | grep 你要删除的操作系统文件名就会看到类似如下信息:or...
Windows取证篇】Window日志分析基础知识(一)
蘇小沐的电子数据取证博客
01-17 4485
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】
liunx命令之lsblk
weixin_44652157的博客
10-09 332
简介 lsblk命令用于列出所有可用块设备的信息,而且还能显示他们之间的依赖关系,但是它不会列出RAM盘的信息。块设备有硬盘,闪存盘,cd-ROM等等。lsblk命令包含在util-linux-ng包中,现在该包改名为util-linux。 选项 -a, --all 显示所有设备。 -b, --bytes 以bytes方式显示设备大小。 -d, --node...
应急响应篇:windows入侵排查
yj520400的博客
03-21 1467
的存在,在入侵系统后,攻击者可以在计算机上开启专属的端口来访问被害主机或植入病毒用于挖矿等,熟悉计算机的朋友应该都知道常用的端口也就那么几个,所以通过排查可疑端口能确定主机是否存在后门、是否被植入挖矿病毒等,再根据端口的PID对可疑进程对应的程序排查,确定是否为恶意程序。webshell和病毒都是windows系统的大敌,它们可以维持攻击者的系统权限、盗窃资料、感染其他主机、加密文件等,对操作系统造成非常大的危害。而与此同时操作系统也会出现异常,包括账户、端口、进程、网络、启动、服务、任务以及文件等,
实战Windows取证分析
适合已有信息安全和取证分析基础的从业者阅读,帮助他们掌握针对Windows取证分析技能。" 在这本书中,你将学习到: 1. 对受害或嫌疑人的Windows系统进行本地或远程的实时分析,理解如何在不破坏证据的情况下收集...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

「已注销」

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值