原标题:【FastIR Collector Linux---让Linux取证更简单】
转自:iForensics(ID:iForensics-2016)
由于Linux命令使用起来很繁琐,因此部分取证人员对Linux服务器取证望而却步。今天就给大家推荐一款软件FastIR Collector Linux,FastIR Collector Linux可以帮助我们无需熟悉繁琐的命令格式,简单、快速的提取Linux服务器基本数据。FastIR Collector Linux快速获取的数据主要包括:主机系统信息(主机名、内核版本、网络接口、发行版本等)、用户登录信息、自动运行程序、log文件、磁盘MBR数据、网络连接、进程数据等信息。下面就介绍一下FastIR Collector Linux的安装和使用,测试环境为ubuntu 16.04.4:
1.FastIRCollector Linux的安装
1.1环境的准备
FastIRCollector Linux是用python编写的,要求python 2.4以上,因此Linux系统必须支持python和git。测试系统是否支持的命令是:
$suroot
#python --version
#git --version
如果缺少python,安装python的命令为:#apt-get install python2.7 python2.7-dev
如果缺少git,安装git的的命令为:#apt-get install git
1.2下载FastIR Collector Linux
下载FastIR Collector Linux的命令为:#git clone https://github.com/SekoiaLab/Fastir_Collector_Linux.git
下载成功后,程序保存在目录“Fastir_Collector_Linux”中。
2. 1.FastIR CollectorLinux的使用
FastIR Collector Linux运行需要root权限,它的完整命令格式为:fastIR_collector_linux.py [-h][--profiles PROFILES] [--output_dir OUTPUT_DIR] [--dir_zip DIR_ZIP] [--debug]
常用命令示例:#python fastIR_collector_linux.py --output_dir
FastIR Collector Linux命令执行完成后,会在当前目录下创建一个子目录,默认创建的子目录为output,然后将所有提取数据打包为一个zip文件,zip文件名包含提取时间和Linux主机名称。下面就是zip文件的主要内容。
数据提取完成后,用户可以把zip文件从服务器下载到本机进行分析了。
3.小结
FastIRCollector Linux使用还是比较方便的,特别是当我们面对很多Linux服务器时,或者对Linux命令不是很熟悉时,可以帮助我们减少很多工作量。而且,FastIRCollector Linux提取的数据相对比较完整,适合取证人员使用。
安全人员应急响应工具箱
http://www.freebuf.com/sectool/135564.html