Linux硬盘文件分析取证(SSH过的IP)

最新推荐文章于 2023-09-24 20:27:45 发布
最新推荐文章于 2023-09-24 20:27:45 发布
阅读量111 收藏
点赞数
原文链接:http://www.cnblogs.com/hack404/p/10701906.html
版权

 

在线靶场:

 

https://www.mozhe.cn

 

                                    背景介绍

某运维人员发现服务器最近被一个IP连接过SSH,请找到连接服务器SSH的IP。

实训目标

1、了解Linux备份方式;

2、了解AccessData FTK Imager使用方法;

3、掌握如何查看Linux日志;

解题方向

根据备份文件进行分析,找到IP地址,验证。

 

启动靶场,跳转桃链接回去下载备份的文件

 

下载解压之后,格式为ssh.img的格式

 

打开kail linux 进行挂载:

 

╰─ losetup -f -P ssh1.img

╰─ losetup -k 

 

ext4 分区格式的应该就是boot分区和/分区了,挂载即可

 

╰─ mkdir -pv /tmp/ssh

mount /dev/loop0p1 /tmp/ssh/

此分区为boot分区

 

尝试挂载第二块分区

 

mkdir -pv /tmp/ssh2
mount /dev/loop0p3 /tmp/ssh2

 

 

直接分区登录日志记录

只能分析message日志了

 

在线验证,获取key

 

转载于:https://www.cnblogs.com/hack404/p/10701906.html

weixin_30652271
关注
linux 内存取证_Linux硬盘和内存镜像取证
weixin_33427476的博客
01-27 915
Linux硬盘和内存镜像取证在Windows系统上,有winhex等神器,可以方便的完成镜像取证等工作,如何将Linux系统硬盘和内存镜像数据给winhex等进行分析?除了通过dd等工具镜像为文件外,本文将介绍一个方法,将更方便的完成该工作。准备工作一台被镜像取证的电脑运行的Linux系统一台电脑运行的Windows系统两台电脑要能通过网络通信,并且最好是有线千M网络,因为Linux系统的硬盘数据...
Windows与Linux取证分析
PICACHU+++的博客
07-18 4339
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件的属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。
墨者学院靶场Linux硬盘文件分析取证(恢复文件)
gududeajun的博客
11-23 495
某犯罪人员将重要数据放在电脑硬盘中,但我们拿到硬盘时,里面的内容已经被删除,你能恢复出来吗?
Linux入*侵分析(二)分析SSH登录日志
weixin_34056162的博客
05-09 1522
SSH登录情况分析 1.wtmp日志 last last -x -F 2.查看在线用户情况 (1)w 命令用于显示已经登陆系统的用户列表,并显示用户正在执行的指令。单独执行w命令会显示所有的用户,您也可指定用户名称,仅显示某位用户的相关信息。 (2)who am i 显示你的出口IP地址,该地址用于SSH连接的源IP who am i root pts/0 2018-03-2...
Linux硬盘文件分析取证(新增用户)
asd158923328的博客
08-21 420
靶场地址: https://www.mozhe.cn/bug/detail/N1hXc2psT3YzaXRTdTZXQmVTTlJpQT09bW96aGUmozhe 根据题意 进入环境,下载文件,用AccessData FTK Imager打开,定位var/log/messages 验证IP得到key ...
磁盘取证——autopsy工具的使用
最新发布
2301_76524931的博客
09-24 1634
网络安全磁盘取证的工具autopsy的使用。
Linux硬盘文件分析取证-ssh1.img 题目
03-28
这可能涉及到使用更专业的取证工具,如`Autopsy`, ` Sleuth Kit`, 或`Foremost`,它们可以帮助恢复被删除的文件分析文件系统元数据、查找隐藏信息等。 在CTF竞赛中,分析可能还包括查找隐藏的flag,这可能以加密...
【实战学习】电子数据取证专题——磁盘文件分析取证
mozhe_的博客
04-10 3089
Windows硬盘文件分析取证(登陆用户的用户名) 背景介绍 犯罪嫌疑人在使用电脑时,登录过www.laifudao.com这个网站,分析硬盘文件并找到登录这个网站的用户名。 实训目标 1、了解AccessData FTK Imager使用方法; 2、了解XP保存的网站用户存放在什么文件里; 靶场地址:https://www.mozhe.cn/bug/detail/194 Windo...
取证工具使用手册:Kali Linux中数字证据的收集与分析
[取证工具使用手册:Kali Linux中数字证据的收集与分析](https://opengraph.githubassets.com/956fc2f58e3b1a8742f16ed8ea946ff814bd2b96e58a3bbc6d0a7a36eddbd4ec/sleuthkit/sleuthkit) # 1. 取证工具的基本原理和...
KaliLinux2 网络渗透测试实践指南第二版(基础一)
让我们跟随时代步伐,时刻学习时刻记录!
05-20 1868
一、Kali Linux2简介 Kali Linux是基于Debian 的Linux发行版,设计用于数字取证操作系统。Back Track是他们之前写的用于取证Linux发行版。Kali Linux预装了许多渗滲透测试软件,包括nmap 、 Wireshark 、 John the Ripper, Kali Linux。以及Aircrack-ng.用户可通过硬盘、Iive CD或Iive USB运行,Kali Linux是专业的渗透測试系统,预装了许多渗透测试软件。 二、Kali Linux2的安装
Linux SSH Backdoor分析排查
weixin_30274627的博客
06-11 762
1、SSH后门分类 SSH后门方式有以下几种 软链接 SSH Server wrapper SSH Keylogger 2、软链接 利用方法 [root@helen]# ln -sf /usr/sbin/sshd /tmp/su; /tmp/su -oPort=2333; 排查方法 [root@helen]# netstat -anop 通过开发端口信息的PID查询进程路径...
Linux文件恢复工具和取证工具
公众号shadow sock7
06-05 2043
available on Kali-2.0文件恢复extundeleteextundelete is a utility that can recover deleted files from an ext3 or ext4 partition extundelete uses the information stored in the partition's journa
解决linux下删除文件或oracle表空间后空间不释放的问题
csdn6538954的博客
04-27 897
linux下删除文件或oracle表空间后,很多人会遇到linux空间不释放的问题,这个问题可以如下解决:[@more@]用root用户登陆执行命令: lsof | grep 你要删除的操作系统文件名就会看到类似如下信息:or...
使用 Linux 工具进行计算机取证
煜铭2011
06-15 8460
使用 Linux 工具进行计算机取证     本文通过介绍 Linux 系统工具(Ftkimage、xmount、Volatility、dd、netcat)来介绍使用计算机取证的方法和步骤。 硬盘数据的取证是指为了证据保全,确保取证工作造成数据丢失,在获取到证据介质后,首先要做的就是对介质数据进行全盘镜像备份。内存取证主要通过对内存数据及其缓存硬盘数据进行分析,提取那些对案件侦破可能有重要意义的
Linux SSH建立连接过程分析
热门推荐
Han的小站
05-05 1万+
SSH建立连接的过程主要分为下面几个阶段: SSH协议版本协商阶段。SSH目前包括SSH1和SSH2两个大版本。 密钥和算法协商阶段,SSH支持多种加密算法,双方根据自己和对端支持的算法进行协商,最终决定要使用的算法。 认证阶段,服务器对客户端进行身份验证。 会话请求阶段,完成认证后,客户端会向服务器端发送会话请求。 交互会话阶段,会话请求通过后,服务器端和客户端
墨者 - Linux硬盘文件分析取证(SSH过的IP)
吃肉唐僧的博客
07-07 588
下载文件后,发现是img文件 img 1. img格式是镜像的一种。可以通过制作数据光盘或者使用虚拟光驱(如 WinMount,Deamon Tools 等)安装IMG数据文件。 2.img格式是制定css样式表的一种样式,对HTM中的图片属性进行修饰。 3.img格式是图片格式的一种,某些旧系统、游戏中照片是用IMG格式存储的,而且是多张照片在一起,Ventura Publisher...
Linux系统入侵痕迹分析取证
留记
08-28 8618
获取基本信息 服务器配置 系统版本 计划任务 所有账户 获取网络信息 网络接口 [root@localhost ~]# ifconfig -a 开放端口 [root@localhost ~]# netstat -tanp [root@localhost ~]# ss -tanp 获取系统信息
losetup命令
weixin_30785593的博客
09-13 365
losetup命令 Linux losetup命令用于设置循环设备。 循环设备可把文件虚拟成区块设备,籍以模拟整个文件系统,让用户得以将其视为硬盘驱动器,光驱或软驱等设备,并挂入当作目录来使用。 语法 losetup [-d][-e <加密方式>][-o <平移数目>][循环设备代号][文件] 参数: -d...
Linux系统取证分析指南
5. **挂载镜像**:学习如何挂载和分析文件系统镜像。 6. **分析已挂载图像**:深入分析挂载的文件系统以查找线索。 7. **扩展文件系统**:详细讨论ext2、ext3和ext4文件系统的特性及分析方法。 8. **内存分析**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值