- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
Linux日志取证
10.10.107.222:22 192.168.1.88:53505 ESTABLISHED 5923/sshd: [email protected] (3)历史ssh 隐匿登录行为通过分析 /var/log/secure 日志(有的系统是/var/log/auth.log) #通过分析/var/log/secure 日志有的系统是/var/log/auth.log 从 Accepted 192.168.12.54 一行可以得出ssh的登录时间 #Disconnect 从 Disconnected from 192.168.12.54 port 43000 一行可以得出ssh的退出时间 如果系统配置了 /bash.bashrc、~/.bashrc记录执行记录,就可以记录到bash -i的执行记录(交互式会话会读取bashrc配置并执行) (4) 主要用到strace、strings、grep利用操作系统自身的工具手工快速查找后门 #通过openssh后门功能中会记录正常用户登录账号密码,因此猜测会用到open系统调用 strace –o ssh –ff–p pid #用strace跟踪sshd打开的系统调用,然后过滤open
2.4K20发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
Linux日志取证
48 10.10.107.222:22 192.168.1.88:53505 ESTABLISHED 5923/sshd: root@pts (3)历史ssh 隐匿登录行为通过分析 /var/log/secure 日志(有的系统是/var/log/auth.log) #通过分析/var/log/secure 日志有的系统是/var/log/auth.log 从 Accepted 192.168.12.54 一行可以得出ssh的登录时间 #Disconnect 从 Disconnected from 192.168.12.54 port 43000 一行可以得出ssh的退出时间 如果系统配置了 /bash.bashrc、~/.bashrc记录执行记录,就可以记录到bash -i的执行记录(交互式会话会读取bashrc配置并执行) (4) 主要用到strace、strings、grep利用操作系统自身的工具手工快速查找后门 #通过openssh后门功能中会记录正常用户登录账号密码,因此猜测会用到open系统调用 strace –o ssh –ff–p pid #用strace跟踪sshd打开的系统调用,然后过滤open
2.2K20编辑于 2022-09-28 - 来自专栏betasec
Volatility取证分析工具
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 (1)Volatility3环境的安装 首先请确保系统中已安装python3环境,安装pycrypto库函数 进入到Volatility目录,执行如下指令,即可将Volatility成功安装 >>> install 此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装是成功 >>> sudo python3 vol.py -h (2)Volatility2环境的安装 首先请确保系统中已安装 /Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./ (6) 调用mimikatz抓取系统口令 /Target.vmem --profile=Win7SP1x64 mimikatz Volatility3的使用方法 (1) 获取系统基本信息 >>>sudo python3 vol.py -f
2K40编辑于 2022-12-11 - 来自专栏FreeBuf
USB流量取证分析
在Linux中,可以使用lsusb命令,如图所示: ? 我们这里主要演示USB的鼠标流量和键盘流量。Linux下的分析已经比较多了,下面的环境均在Windows下进行。 一、鼠标流量 1.1 特点分析 USB鼠标流量的规则如下所示: ? 有的鼠标可能协议不是很标准,会导致分析不了。 Wireshark中捕获的USB流量集中在Leftover Capture Data模块,我们可以使用tshark工具来进行提取。 二、键盘流量 2.1 特点分析 键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次击键都会产生一个数据包。 2.2 使用Wireshark捕获和分析 捕获的步骤与上面相似。下面以XCTF的高校战疫比赛中的一道例题(ez_mem&usb)来说明。
3.7K20发布于 2020-04-20 Linux取证实战指南
操作系统与账户信息(OperatingSystem&AccountInformation)#####1.操作系统版本(OperatingSystemVersion)要查找操作系统版本信息,可以使用cat 系统级的计划任务列表位于/etc/crontab文件中。#####2.服务启动(StartupServices)与Windows服务类似,Linux服务可以在系统启动时自动运行。 文件系统取证(FileSystemForensics)#####1.文件所有权与权限(FileOwnershipandPermissions)攻击者常利用具有写权限的目录来上传恶意文件。 Exiftool是一款强大的命令行工具,可用于提取和分析文件的元数据。 注意:在实时取证分析中,atime极易被调查行为(如cat、md5sum)所改变,因此它不是一个可靠的指标。这也是为什么取证前制作镜像是首选方案。
30220编辑于 2025-12-15- 来自专栏betasec
取证分析 | Volatility工具使用
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 (1)Volatility3环境的安装 首先请确保系统中已安装python3环境,安装pycrypto库函数 进入到Volatility目录,执行如下指令,即可将Volatility成功安装 >>> install 此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装是成功 >>> sudo python3 vol.py -h (2)Volatility2环境的安装 首先请确保系统中已安装 /Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./ (6) 调用mimikatz抓取系统口令 /Target.vmem --profile=Win7SP1x64 mimikatz Volatility3的使用方法 (1) 获取系统基本信息 >>>sudo python3 vol.py -f
12K30发布于 2021-09-23 - 来自专栏小白安全
小白博客 kali Linux - 取证工具
在本章中,我们将学习Kali Linux中的取证工具。 p0f p0f是一个工具,只要检查捕获的数据包,即使有问题的设备位于数据包防火墙之后,也可以识别目标主机的操作系统。 从结果中,您可以观察到Web服务器使用的是Apache 2.x,操作系统是Debian。 PDF解析器 pdf-parser是一个解析PDF文档的工具,用于识别分析的PDF文件中使用的基本元素。 它不会呈现PDF文档。 对于PDF解析器而言,不推荐用于教科书,但是它可以完成这项工作。 x和作为目的提取Firefox,Iceweasel所有法医的有趣的信息,和SeaMonkey浏览器进行分析。
2.9K90发布于 2018-04-12 - 来自专栏FreeBuf
针对爱尔兰DDoS攻击的取证分析
本文首先会针对此次 DDoS 攻击进行取证分析,随后会给出缓解这类 DDoS 攻击的方法。文中所有的截图来源于 LANGuardian 系统面板,该系统通过 SPAN 端口监控网络边界流量。 进一步分析 UPD 流量发现,网络中存在大量的 NTP 和 DNS 流量。但由于这两个协议都非常重要,所以无法直接将其屏蔽。 更进一步分析,我们可以计算出接收到的 NTP 应答包平均大小为 440 字节,这明显大于标准的 NTP 应答包(90字节)。 大部分情况下这是不行的,但如果你是一个教育或政府机构也许可以在 ISP 层面解决这个问题; 2、如果是自己架设 WEB 应用服务器可以考虑部署一个 DDoS 防御系统。 高性能的防御系统可以跟踪分析攻击流量并进行清洗,从而抵御较大规模的 DDoS 攻击; 3、如果你的网站是托管在其他地方,那你可以考虑使用像 Cloudflare DDos 防御设施; 4、在一些极端情况下
1.4K70发布于 2018-02-07 Linux取证魔法之旅:深入文件系统与数据恢复技术
网络研讨会:与Hal Pomeranz同游Linux取证魔法之旅Black Hills信息安全公司特邀嘉宾Hal Pomeranz再次带来Linux技术深度分享。 本次将带领观众开启一场探索Linux文件系统奥秘的魔法之旅!内容涵盖:相对访问时间(atime)更新机制、块组与分配策略、已删除目录条目解析等关键技术要点。 这些知识将帮助您更高效地分析Linux系统时间线并恢复被删除数据。这是一场偏离常规路径的冒险之旅,参与者必将获得技术认知的飞跃! 技术要点时间戳:0:00 - 开场导引1:10 - Hal Pomeranz介绍5:49 - EXT文件系统技术解析8:13 - 访问时间(atime)机制详解19:25 - 目录结构技术剖析28:29
17510编辑于 2025-08-29- 来自专栏漏斗社区
攻击取证之日志分析(一)
概念 首先,咱们还是老规矩,先介绍一下什么是日志分析。 日志分析----计算机、网络和其他IT系统生成审计跟踪记录或记录系统活动的日志。 在当下的CTF大赛中,多以流量分析的形式出现,但是在个别比赛中依然会出现一题关于日志分析类的题目,一般的题目都是会让我们通过日志找线索,不会将flag写在日志,因此我们需要通过分析日志来判断,flag可能存在的位置 日志分析主要分成两种: ●Web日志分析 ●系统日志分析 本期主要给大家带来Web日志分析。 日志格式类型 既然要进行分析日志,首先我们得先了解一下日志的格式到底有哪些? 为了可以更好的演示,这边使用的是NCSA普通日志格式,它的格式如下: 常用日志分析方法 常见的日志分析方法有两种: 1.特征字符分析 2.访问频率分析 特征字符分析: 特征字符分析法:顾名思义,就是根据攻击者利用的漏洞特征 最后,预告一下在本章之后还有一个章节,在下个章节中,会有系统的日志分析以及如何使用日志分析工具进行日志分析,敬请期待哟。 ?
4K20发布于 2019-05-13 - 来自专栏安全预演
APT取证分析怎么做?
与其他普通网络攻击不同,APT攻击的取证分析更为复杂,一般可以按照以下几个步骤来进行:1、收集取证数据:收集与攻击有关的日志文件、网络流量数据、文件系统快照、内存镜像等数据。 对于应用程序日志和操作系统日志,可以检查被攻击的主机的系统日志,以便确认潜在的攻击者行为。同时,还可以通过文件系统分析来确定被入侵系统上存在的恶意程序。 此外,APT攻击的取证分析需要具备以下技能:1、熟悉网络安全知识:需要具备深入的网络安全知识,了解APT攻击的行为和特征,能够通过分析网络流量、应用程序日志和文件系统等数据来识别APT攻击。 2、熟悉操作系统和网络设备:需要熟悉被攻击系统的操作系统和网络设备,了解其日志格式和数据结构,能够根据日志数据来分析攻击行为。 3、熟悉取证工具:需要熟悉各种数字取证工具,例如网络取证工具、内存取证工具、文件系统取证工具等,能够使用这些工具来收集和分析数据。
97320编辑于 2023-02-19 - 来自专栏网络安全与可视化
如何成功执行网络取证分析?
我们都遇到过各种网络问题,有时会需要网络取证分析。但是您或许不知道从哪里开始,该怎么办?或者,更准确地说,您不知道需要什么硬件来捕获网络线上的信息,以及在分析数据时需要寻找什么? 作为安全分析师,您需要查找正确的症状来快速检测网络中的异常。当然,这需要多年的实践和正确的网络取证工具。 为了对情况进行正确的评估,查看您可以获得的所有信息是非常重要的。 选择正确的工具后,下一步就是监视和分析。以下是一些(重要的)恶意活动(事件计时、网络检查等),在执行网络取证分析时应注意这些活动。 要快速确定是否发生DoS攻击,要先在使用的软件分析工具中进行筛选,查看TCP数据包。使用该工具查看数据包序列图,图上用箭头表示源系统和目标系统之间的TCP连接流。 无论如何,正如我们在本文开头提到的那样,您的网络安全团队需要正确的网络取证工具,可以完全访问网络,以便正确评估情况并采取相应措施。 有兴趣了解为什么如今网络安全如此挑战吗? 可以阅读这篇文章。
1.5K11发布于 2020-05-12 - 来自专栏漏斗社区
CTF| 攻击取证之内存分析
基本概念 在CTF中,内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取flag或者与flag相关重要信息。 解题思路 斗哥根据近来做题心得以及前人经验,明白了内存取证三步曲:解析Windows/Linux/Mac OS的内存结构、分析进程等内存数据、根据题目提示寻找线索和思路,提取分析指定进程的特定内存数据。 笼统的说,常见的内存结构存在于以下三大操作系统: ●Windows操作系统 ●Linux操作系统 ●Mac OS操作系统 难道真的要去深度学习这三种结构吗? 知道了内存格式之后呢,就需要开始分析内存数据了,通过对应格式下的内存所在的对应的系统,我们可以使用对应的工具去进行分析。最后根据题目提示,进行针对性的去提取我们所需要的内存数据。 了解完内存取证的解题思路后,就要开始了解一下解题所需要用到的工具,这里斗哥给大家推荐一个比较好用的开源内存取证框架----Volatility。
7.9K41发布于 2019-04-29 - 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
接下来,我们看看如何使用MemProcFS来提升我们内存取证分析的效率。 MemProcFS可以允许我们在文件系统视图中一次性查看多个Volatility插件的输出结果。 需要注意的是,内存映像加载完成后,取证分析操作可能需要等待一段时间才能执行完毕。 、用户和操作系统信息等: 其中,最重要的就是Forensic目录了,其中包含了大量的内存取证信息: 这里我们可以看到系统针对各种组件创建的时间戳,比如说NTFS、网络、Web和进程等: findevil 总结 每一种安全分析和调查都有其独特的的目标,而深入分析取证文件所采用的方法也因实际情况而定。 希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。
58410编辑于 2024-06-11 数字取证与分析-----logs.pcapng
数据分析-logs 1.使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户目录扫描的第9个文件,并将该文件名作为 Flag(形式:[robots.txt])提交: 通过分析:恶意用户为172.16.1.10 目录扫描文件,从站点去扫描具体的文件,指向http ip.src == 172.16.1.10 and http Flag:[star.php] 2.继续查看数据包文件logs.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为Flag(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交 http,一为tcp ip.src == 172.16.1.10 and tcp Flag:[21,80,445,1433,3306,3389,5000] 3.继续查看数据包文件logs.pacapng分析出恶意用户读取服务器的文件名是什么 ,并将一句话密码作为Flag(形式:[一句话密码])提交: Flag:[007] 6.继续查看数据包文件logs.pacapng分析出恶意用户下载了什么文件,并将文件名及后缀作为Flag(形式:[文件名
21210编辑于 2025-10-23数据分析数字取证A.pcapng
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。 Ethereal是全世界最广泛的网络封包分析软件之一。 数据分析数字取证 任务环境说明: 渗透机场景:windows 7 渗透机用户名:administrator,密码:123456 通过分析数据包A.pcapng,找到黑客连接一句话木马的密码,将该密码作为 :192.168.10.10,192.168.10.30 通过分析数据包A.pcapng,找到域服务器的密码是多少,将该密码作为FLAG提交; Flag:163.com 通过分析数据包A.pcapng,
17110编辑于 2025-10-23- 来自专栏AI SPPECH
083_数字取证高级技术:日志分析与时间线构建实战指南——从系统日志到网络流量的全面取证分析方法
随着网络攻击手段的不断升级和复杂化,日志分析技术已成为数字取证人员不可或缺的核心技能。 无论是安全分析师、系统管理员还是数字取证专家,都能从中获取实用的知识和技能。 系统日志 操作系统日志:Windows事件日志、Linux/Unix syslog、macOS日志 内核日志:记录系统底层操作和硬件交互 启动日志:记录系统启动过程中的事件 2. 可扩展性 适应不断增长的日志量 支持新系统和应用程序的集成 能够处理各种日志格式和来源 日志收集范围: 操作系统日志(Windows事件日志、Linux syslog等) 网络设备日志(防火墙、路由器、 Volatility Framework 内存取证工具,可用于分析内存转储中的日志信息 支持多种操作系统内存分析 可提取进程、网络连接和注册表等信息 2.
40710编辑于 2025-11-16 - 来自专栏giantbranch's blog
使用Linux进程环境变量进行取证
注:下面来自半翻译,半实践 对Linux进程进行取证,可以通过/proc/<PID>/environ来查看某个进程的环境变量,来获取一些信息。 所以说,遇到可疑的进程不要立即杀掉,不然取证都可能无从下手。 背景 当在Linux上启动一个进程时,该进程的许多环境变量将在其运行期间保持不变。 通过将HISTSIZE设置为0,即export HISTSIZE=0,实际上是告诉操作系统不保存任何命令历史记录。 :$PATH cp /bin/nc x x -lp 6666 & 取证 通过列出正在监听的端口,可以查看到一个x的可疑进程。 参考 https://sandflysecurity.com/blog/using-linux-process-environment-variables-for-live-forensics/
38400编辑于 2024-12-31 数据分析与取证capture.pcapng
数据分析与取证capture.pcapng wireshark wireshark–capture.pcapng数据包 什么是wiresharek? Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是检索取网络封包,并同时显示出最详细的网络封包数据。 wireshark–capture.pcapng数据包 1.使用Wireshark查看并分析Server2桌面下的capture.pcapng数据包文件,telnet服务器是一台路由器,找出此台路由器的特权密码 根据题目意思过滤 点开第一个(随便哪一个都可以) 4.使用Wireshark查看并分析Server2桌面下的capture.pcapng数据包文件,这些数据中有非常多的ICMP报文,这些报文中有大量的非正常 57 5.使用Wireshark查看并分析Server2桌面下的capture.pcapng数据包文件,这些数据中有ssh报文,由于ssh有加密功能,现需要将这些加密报文的算法分析出来,将ssh服务器支持的第一个算法的密钥长度作为
33210编辑于 2025-10-23- 来自专栏FreeBuf
如何使用Judge-Jury-and-Executable进行文件系统取证和威胁分析
关于Judge-Jury-and-Executable Judge-Jury-and-Executable是一款文件系统取证分析扫描和威胁捕捉工具。 该工具能够在MFT和操作系统级别上进行文件系统扫描,并且还可以扫描存储在SQL、SQLite或CSV中的数据。 功能介绍 立即扫描已安装的文件系统以查找威胁。 或者在事件发生前收集系统基线,以获得额外的威胁搜寻能力,可在事件发生之前、期间或之后使用。 一对多工作站。 扫描结果进入SQL表,以便以后进行搜索,在许多扫描和/或许多机器上聚合结果,并进行历史或回顾性分析。 利用SQL的强大功能来搜索文件系统、查询文件属性、回答复杂或高级问题,以及寻找威胁或危害迹象。 工具要求 .NET Framework v4.8 带有读取/写入/创建访问权的本地或远程SQL数据库 Visual Studio 接入网络 SQL基础知识 高级数据分析 在MFT和取证级别的数据得到保护之后
60520发布于 2021-07-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号