linux远程取证,linux系统取证

最新推荐文章于 2023-07-18 17:17:57 发布
最新推荐文章于 2023-07-18 17:17:57 发布
阅读量380 收藏 3
点赞数
文章标签: linux远程取证

linux系统取证

目录

0x00 查看系统信息

0x01 用户及组信息

0x02 防火墙及路由信息

0x03 查看网络、端口信息

0x04 系统运行信息查看

0x05 日志查看分析

0x00 查看系统信息

name-a #查看内核/操作系统/CPU

88edc9a183c25851ce1c6df41d133c3f.png

head-n1/etc/issue #查看操作系统版本

8f9394695479e2cd1558ea1d494acd0a.png

cat/proc/cpuinfo #查看cpu信息

a793b4a9c50f3b0b1675d6ea1cb3be57.png

env #查看系统环境变量

11d2d7f628d4ff5f2a13ca7e7810d4b2.png

0x01 用户及组信息

w#查看活动用户

1a95091695128f525549ceb3e7301cd3.png

cut-d:-f1/etc/passwd#查看系统所有用户

2dbb08972b412af35afabd6ed569deb8.png

cut-d:-f1/etc/group#查看系统所有组

3d0c7e341e16415a2e31baf7dadf8c5c.png

0x02 防火墙及路由信息

Iptables-L#查看防火墙信息

5a3bf85ee77ca81d2b2725ef7e4cbe9a.png

route-n #查看路由信息

c3048e8af6621ef7fb9ba83887a6a7b9.png

0x03 查看网络、端口信息

netstat-an #查看开放端口

84a1ffb7ce0369db1de1919777a47378.png

ifconfig #查看网络接口信息

c7f0bab65c77d95db38faa9f0faaa9e4.png

netstat-lntp#查看所有监听端口

7703c505b4c3b7aeb3d8951c8f186d47.png

netstat-antp #查看已建立的连接

22562ae68c4a9c01ba91f23e40510407.png

0x04 系统运行信息查看

cat/etc/crontab #系统cronr任务查看

3c09b9d84e2035887955e23d0834cbdc.png

cd/var/spool/cron/crontabs #查看用户的cron任务

ca8285951b423ad8a5b36a7689ceed8c.png

ps-ef #查看所有进程

142386ec8654d575d4bd09949162fc1f.png

netstat-s #查看网络统计信息进程

844b3b3263bc5fa009643e0d2f946e41.png

top #实时显示进程的用户信息

e39b7ec0fda850ce6227fd54c9aeed39.png

0x05 日志查看分析

Linux常用日志

/var/log/boot.log #录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息

cat/var/log/boot.log

787c34c80506d8674b4323d08ee74486.png

/var/log/lastlog #记录最后一次用户成功登陆的时间、登陆IP等信息

cat/var/log/lastlog

ccaac049a191e05ebae8194af09543d5.png

/var/log/messages #记录Linux操作系统常见的系统和服务错误信息

cat/var/log/messages

43880fdc49f3f6cde1b761be16075394.png

/var/log/secure #Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况

cat/var/log/secure

841c537f5f3686919267549ed89a8ac5.png

/var/log/btmp#记录Linux登陆失败的用户、时间以及远程IP地址

cat/var/log/btmp

d9cf35cb1c3b8914f33490d5a33049f1.png

/var/log/syslog #只记录警告信息,常常是系统出问题的信息,使用lastlog查看

cat/var/log/syslog

de9f97a02e3a3b9b5105cc82b370b4bf.png

/var/log/wtmp #该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看

cat/var/log/wtmp

67156f55fc137bdaf5128bc1a333f119.png

/var/run/utmp #该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件

cat/var/log/utmp

eb2ca566bd4cba927b559ee65e442d29.png

应用服务日志:

Apache日志

/var/log/httpd(apache2)/access.log # 其中包含Apache服务器的客户系统访问记录

/var/log/httpd(apache2)/error.log # 其中包含Apache服务器的所有出错记录

posted @ 2019-04-16 15:37 卿先生 阅读(...) 评论(...) 编辑 收藏

Rabenda
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux取证——基础取证命令集合
记录并分享学习安全的知识点..
10-20 1050
linux取证——基础取证命令集合
服务器取证--linux操作命令
MichealCurry1的博客
10-14 2716
1.查看系统版本 cat /etc/redhat-release 2.查看内核版本 uname -a uname -sr 3.LVM LVM是逻辑盘卷管理(Logical Volume Manager)的简称,它是Linux环境下对磁盘分区进行管理的一种机制,LVM是建立在硬盘和分区之上的一个逻辑层,来提高磁盘分区管理的灵活性。 LVM的工作原理其实很简单,它就是通过将底层的物理硬盘抽象的封装起来,然后以逻辑卷的方式呈现给上层应用。在传统的磁盘管理机制中,我们的上层应用是直接访问文件系统,从而对底.
Windows与Linux取证分析
PICACHU+++的博客
07-18 3374
格式化HFS+文件系统时,生成文件系统卷头(2号扇区),类似FAT和NTFS的DBR,卷头偏移量0X10-0X1F处记录了创建、修改、备份、最后检查时间四个时间信息,创建时间以本地时间保存,其他时间以GMT/UTC时间保存。文件的属性时间是确定文件的创建 、修改和访问的重要标记。注册表被称为Windows操作系统的核心,它的工作原理实质是一个庞大的数据库,存放了关于计算机硬件的配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备的说明以及各种状态信息和数据。
linux取证教程,Linux中的取证(Forensics in Linux)
weixin_33595380的博客
05-07 677
Linux中的取证(Forensics in Linux)数字调查的主要问题是通过加密或任何其他格式保护重要证据或数据。 基本示例是存储密码。 因此,有必要了解Linux操作系统在数字取证实施中的使用,以保护这些有价值的数据。所有本地用户的信息大多存储在以下两个文件中 -/etc/passwdetc/shadow第一个是必需的,它存储所有密码。 第二个文件是可选的,它存储有关本地用户的信息,...
linux入侵取证
02-22
linux入侵取证
Linux硬盘文件分析取证-ssh1.img 题目
03-28
总的来说,Linux硬盘文件分析取证是一个涉及多方面知识的复杂任务,包括Linux系统管理、文件系统分析、网络协议理解、密码学和取证技术。通过对`ssh1.img`文件的深入研究,我们可以学习和提升这些技能,同时在CTF...
基于嵌入式Linux系统的车载导航终端.pdf
09-06
系统通过集成GPS接收机获取车辆的定位信息,通过CDMA无线传输模块将这些信息发送到监控中心,实现车辆状态的远程监控。同时,利用USB摄像头进行视频取证和辅助倒车功能,增强了系统的实用性。 GPS定位模块的关键...
使用nc实现linux与windows互联
最新发布
06-30
Netcat 是一款非常出名的网络工具,简称“NC”,有渗透测试中的“瑞士军刀”之称。 目前在安全工具排行榜中排名第6 1、电子取证 2、远程文件传输 3、作端口监听 4、端口扫描 5、还可以实现远程 shell 等功能。
内存取证工具及依赖.rar
08-17
2. Pmem:Pmem是另一款内存取证工具,主要用于Linux系统。它能够快速地对内存进行完整镜像,以便后续分析。通过使用Pmem,取证专家可以确保数据的原始性和完整性。 3. Redline:Redline是微软开发的一款内存取证...
操作系统安全:kalilinux简介.ppt
06-01
* * kail Linux kail linux简介 Kali Linux是基于Debian的Linux发行版, 设计用于数字取证操作系统。由Offensive Security Ltd维护和资助。最先由Offensive Security的Mati Aharoni和Devon Kearns通过重写BackTrack...
Linux 下的电子取证
朝歌
04-08 2990
           此篇文章我是根据信息安全铁人三项赛前培训视频和小组学习过后的经验所写。重现视频中的步骤吧。实验吧视频连接地址:      http://nuc.shiyanbar.com/course/80668/vid/2223     其中有些结论是根据老师同学的结论总结而来,具体原理有些不懂。将通过进一步学习,理解其原理。     电子取证百度百科上是这样说的:电子取证是指利用计算机软...
Linux系统查看网络配置信息的命令
manongxianfeng的博客
01-15 2826
网络是一个很重要的概念,对于今天来说没有网络寸步难行。那么作为系统管理员在管理服务器时最首先需要了解的东西就是网络配置相关信息了,我们来一块回忆一下,说到网络配置都可以想到什么东西?IP 地址、子网验码、网关、路由表、DNS 服务器等等这些都是跟网络相关的配置,那么在 Linux 系统中该如何查看这些信息呢?其实通过命令就可以。 $ ifconfig 看上面这张图片不难理解 ifconfig 命令的作用,它可以打印出当前系统中网卡的相关配置信息,首先最开始看到的就是网卡设备的名称即 eth0 ,还有下面的.
Linux文件恢复工具和取证工具
公众号shadow sock7
06-05 2028
available on Kali-2.0文件恢复extundeleteextundelete is a utility that can recover deleted files from an ext3 or ext4 partition extundelete uses the information stored in the partition's journa
GitChat · 安全 | 揭秘我国的电子取证技术
技术杂谈
09-06 4991
GitChat 作者:肖志华 GitChat技术杂谈 ,一本正经的讲技术 电子取证,顾名思义可理解为基于计算机的证据收集。取证相关介绍对于电子取证的介绍,百度是这样回答的:电子取证是指利用计算机软硬件技术,以符合法律规范的方式对计算机入侵、破坏、欺诈、攻击
Linux取证
Sulli的博客
02-01 858
Linux系统取证和Windows系统取证程序并无差异,主要还是使用现场勘验和电子证据检验鉴定两种方式。现场勘验的目的是为了提取和保存易丢失数据,如网络连接信息、系统进程信息。电子证据检验鉴定是在确保电子证据合法有效、不被恶意篡改的情况下、使用相关取证设备进行分析。 现场勘验 现场取证对服务器及网络环境进行勘验,对易丢失证据优先取证是现场取证的最主要工作,现场取证可以加快取证 工作进度,特别针对非...
linux 取证知识点
qq_29566629的博客
06-23 244
linux取证
Linux系统取证学习笔记
xlsj雪松的博客
08-05 2445
根据取证工具的功能,取证工具分为三大类 : 第一类是实时响应工具 , 第二类是取证复制工具 , 第三类是取证分析工具。 根据取证工具的用途, 取证工具分为三大类:第一类是磁盘文件取证复制工具, 第二类是内存文件取证工具,第三类是取证分析工具。 1 磁盘取证 在计算机的取证领域中,取证人员在取证调查的整个过程中证明证据媒体没有在任何方面被篡改是至关重要的。其中一种方法是对原始的证据...
[墨者学院] 远程电子数据取证-服务器分析(第1题)
0of_blog
06-06 316
某服务器被攻击者远程登录,系统管理员说攻击者删除了部分文件,安全工程师"墨者"对服务器上电子数据进行远程取证分析。有句话叫"智者千虑,必有一失",攻击者删除的文件会在哪里呢?1、掌握系统隐藏文件的显示方法; 2、了解Windows的NTFS分区文件系统Recycler的作用;显示系统隐藏文件,找到所在分区的Recycler文件夹。给出远程RDP服务的ip和端口,用自带远程桌面工具连接工具>文件夹选项,启用如下设置。再打开文件夹查看RECYCLER目录 点开,看到key......
远程电子数据取证-服务器分析(第1题)
asd158923328的博客
08-20 936
靶场地址: https://www.mozhe.cn/bug/detail/U1prK3FzNjAydzF1bUpxKzVrUWsvQT09bW96aGUmozhe 根据题意 远程桌面连接,登录,显示系统隐藏文件,找到所在分区的Recycler文件夹 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值