Linux系统入侵痕迹分析取证

最新推荐文章于 2023-12-11 12:25:02 发布
最新推荐文章于 2023-12-11 12:25:02 发布
阅读量8.5k 收藏 37
点赞数 5
分类专栏: Linux 文章标签: linux 取证 日志
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012468841/article/details/68976045
版权

获取基本信息

向服务器运维人员询问,系统的基本配置,安装的发行版本,建立和使用的账户,
所在网络拓扑的位置、网络配置情况,及其所承载的服务。

系统信息

[root@localhost ~]# uname -a
- 省略......
[root@localhost ~]# lsb_version -a
- 省略......
[root@localhost ~]# head -n 1 /etc/issue
- 省略......

用户及组

[root@localhost ~]# cut -d: -f1 /etc/passwd
- 省略......
[root@localhost ~]# cut -d: -f1 /etc/group
- 省略......

防火墙及路由

[root@localhost ~]# iptables -L
- 省略......
[root@localhost ~]# route -n
- 省略......

获取网络信息

网络接口

[root@localhost ~]# ifconfig -a

开放端口

[root@localhost ~]# netstat -tanp
[root@localhost ~]# ss -tanp

系统运行状态

最低0.47元/天 解锁文章
H&K Ein
关注
  • 5
    点赞
  • 37
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hit:Linux在线内存取证平台(Live Memory Forensic Tools Based on Linux for Rapid Response)
05-24
Hit Linux在线内存取证平台(Live Memory Forensic Tools Based on Linux for Rapid Response) by Zing
Linux入侵排查
最新发布
m0_72286569的博客
07-14 1254
当企业发生黑客入侵系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
溯源取证-Linux内存取证 中难度篇
weixin_48421613的博客
04-14 2407
此处场景为linux环境下的rootkit病毒,我们通过这篇文章可以通过内存取证发现rootkit病毒相关的知识,我个人觉得还是挺实用的,比较linux的rootkit病毒在不借助工具的前提下是不太好发现的
Volatility3内存取证工具安装及入门在Linux下的安装教程
Geek极安云科-致力于网络安全事业
12-11 4077
Volatility 是一个完全开源的工具,用于从内存 (RAM) 样本中提取数字工件。支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证。针对竞赛这块(CTF、技能大赛等)基本上都是用在Misc方向的取证题上面,很多没有听说过或者不会用这款工具的同学在打比赛的时候就很难受。以前很多赛项都是使用vol2.6都可以完成,但是由于操作系统更新,部分系统2.6已经不支持了,如:Win10 等镜像,而Volatility3是支持这些新版本操作系统的。
linux取证之内存取证
NFMSR的博客
07-19 2845
内存取证 内存取证工具:可以列出当前已经打开的文件,正在活动的网络连接,运行中的进程,甚至是一些被隐藏或没有运行但仍驻留在内存中的进程相关消息。 传统方法: 可读的文本和关键字搜索 工具: Volatility 方法学(内存取证的目的): 搜集信息:包括进程的详细信息,网络连接信息,和其他一些与潜在的恶意软件相关的信息,利用这些信息与从运行系统中获得信息进行比较分析 对于每个可疑的进程,如果...
linux 内存取证_Linux内存取证lime+volatility(原创2019年10月10日)
weixin_31502485的博客
01-27 1226
前提环境:linux要有python环境,有git工具,没有的话直接配置apt更新源(具体方法网上搜索),然后使用如下命令安装环境和工具即可:apt-getinstall pythonapt-getinstall git第一步:下载4个工具Linux内存提取工具lime,内存分析工具volatility及相关libelf、libdwarf下载完之后就会在目录下对应生成4个文件夹如下图第二步:提取镜...
Linux入侵检测方法及系统安全建议.pdf
09-06
Linux入侵检测方法及系统安全建议主要关注的是保护Linux操作系统免受恶意攻击和保障系统稳定运行。随着信息技术的快速发展,Linux因其开源、稳定和高效的特点,成为许多业务系统的基础平台,尤其是气象部门。然而,...
一种基于Linux的动态取证策略.pdf
09-06
Linux 9.0上的实验结果显示,该动态取证策略能够有效收集针对常见Linux系统入侵的动态证据。例如,通过对系统调用的监控,可以追踪到非法访问、文件修改等行为;通过分析网络流量,可以发现异常连接和数据传输;...
法庭现场分析存留的Linux系统.pdf (修正版)
01-06
通过对受损Linux系统的细致取证分析,不仅可以帮助理解攻击者的行动轨迹,还能为司法判决提供可靠的证据支持。在整个过程中,保持证据的完整性和可信度至关重要。因此,遵循一定的原则和技术步骤是必要的。此外,...
linux-PowerThIEf一个InternetExplorerPostExploitation库
08-13
6. **反取证**:掩盖攻击痕迹,使受害者难以发现入侵。 在Linux环境中,虽然Internet Explorer不是默认的浏览器,但PowerThIEf的概念和原理仍然适用。可能的情况是,它通过模拟Windows环境、利用跨平台攻击技术,...
Unix 的入侵追踪
07-09
此外,系统监控工具如`auditd`和入侵检测系统(IDS)如Snort也能提供额外的安全防护和取证信息。 总之,Unix系统中的入侵追踪需要深入分析各种日志文件,并结合网络监控和系统审计数据,以全面了解入侵者的活动轨迹...
linux 内存 取证,使用volatility进行linux内存取证
weixin_39805195的博客
05-07 1365
0前言在对linux进行取证时,通常需要进行内存取证,而volatility是一个很wonderful的工具,它集成了windows版本的profile文件,linux需要自己制作profile文件。1安装dwarfdump这是一款调试信息导出库,具体安装流程为:# git clone https://github.com/tomhughes/libdwarf.git# apt-get insta...
浅谈网络安全之内存取证
qidiandexiaowu
11-17 2001
简介:网络与信息技术的加速渗透和深度应用以及软件漏洞不断涌现,导致网络攻击和网络犯罪频发,造成了严重的网络安全威胁.计算机取证是打击计算机与网络犯罪的关键技术,其目的是将犯罪者留在计算机中的“攻击痕迹”提取出来,作为有效的诉讼证据提供给法庭,以便将犯罪嫌疑人绳之以法。作为一种实时提取数字证据、对抗网络攻击、打击网络犯罪的有力武器,内存取证已成为信息安全领域研究者所共同关注的热点。 内存的获取方法: 基于硬件的内存获取基于软件的内存获取 Windows操作系统平台支持内存获取的常见工具有: .
浅析内存取证
Lemon's blog
10-16 8338
前言: MISC经常遇到取证分析的,而且在实战中系统取证也是非常重要的,利用这段时间学习一下。 什么是活取证 在主机存活时发现系统入侵,然后直接把机器的运行内存dump下来,对运行内存进行分析,还原一些进程的中的信息。 主要工作便是 抓取文件metadata 创建时间线 命令历史 分析日志文件 哈希摘要 转存内存信息等 什么是死取证 对机器的磁盘做镜像之后进行分析,在关机后制作硬盘镜像,分析镜像(MBR硬盘分区,GPT全局分区表,LVM逻辑卷)是否存在病毒,木马等恶意程序。 不管是那种取证方式
内存取证-volattlity
5L2g556F5ZWl77yf
09-30 5171
Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/archive/p/volatility/ 安装: kali-bt5自带此工具 $ apt-get install subversion-tools $ svn checkout http://volatility.googlecode.com/svn/trunk/ /usr/local/src/v
linux 内存映像,一种Linux系统物理内存镜像文件分析方法
weixin_39978101的博客
04-30 257
一种Linux系统物理内存镜像文件分析方法【技术领域:】[0001]本发明涉及一种Linux系统物理内存镜像文件分析方法,更具体的说,尤其涉及一种无需获知操作系统的版本信息即可从物理内存镜像中恢复出内核变量符号表的Linux系统物理内存镜像文件分析方法。【背景技术:】[0002]美国空军特别调查办公室的Kornblum于2002年在DFRWS(DigitalForensicResearchWork...
linux下内存取证,Linux下内存取证工具Volatility的使用
weixin_29358053的博客
05-11 258
#01简介Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。项目地址:https://code.google.com/p/volatility/只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的相关命令参考:https://code.google.com/p/vol...
linux内存镜像取证,Linux下内存取证工具Volatility的使用
weixin_42361070的博客
05-03 727
#01简介 Volatility是开源的Windows,Linux,MaC,Android的内存取证分析工具,由python编写成,命令行操作,支持各种操作系统。 项目地址: https://code.google.com/p/volatility/ 只介绍简单的使用,详细使用方法可以看CheatSheet。在官方网站包含Linux的#01简介Volatility是开源的Windows,Linux...
计算机犯罪取证分析:Chapter4 文件系统分析
1. **真实入侵案例的法医分析**:课程以一个实际的案例为例,展示了在2004年9月25日,一个利用Linux系统rpc.statd服务的“格式字符串”漏洞进行的攻击。攻击者通过这个漏洞覆盖内存,获得了对rpc.statd进程乃至整个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值