- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
Linux日志取证
登录行为 如果是隐匿的ssh正在进行可以通过lsof 或者 netstat 或者ps 命令发现 #lsof方法 lsof -i:22 | grep EST sshd 5923 root 3u IPv4 32629 0t0 TCP master:ssh->192.168.1.88:53505 (ESTABLISHED) sshd 5925 root 3u IPv4 0 48 10.10.107.222:22 192.168.1.88:53505 ESTABLISHED 5923/sshd: [email protected] (3) 历史ssh 隐匿登录行为通过分析/var/log/secure 日志(有的系统是/var/log/auth.log) #通过分析/var/log/secure 日志有的系统是/var/log/auth.log #通过openssh后门功能中会记录正常用户登录账号密码,因此猜测会用到open系统调用 strace –o ssh –ff–p pid #用strace跟踪sshd打开的系统调用,然后过滤open
2.4K20发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
Linux日志取证
登录行为 如果是隐匿的ssh正在进行可以通过lsof 或者 netstat 或者ps 命令发现 #lsof方法 lsof -i:22 | grep EST sshd 5923 root 3u IPv4 32629 0t0 TCP master:ssh->192.168.1.88:53505 (ESTABLISHED) sshd 5925 root 3u IPv4 tcp 0 48 10.10.107.222:22 192.168.1.88:53505 ESTABLISHED 5923/sshd: root@pts (3) 历史ssh 隐匿登录行为通过分析/var/log/secure 日志(有的系统是/var/log/auth.log) #通过分析/var/log/secure 日志有的系统是/var/log/auth.log #通过openssh后门功能中会记录正常用户登录账号密码,因此猜测会用到open系统调用 strace –o ssh –ff–p pid #用strace跟踪sshd打开的系统调用,然后过滤open
2.2K20编辑于 2022-09-28 - 来自专栏betasec
Volatility取证分析工具
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 (1)Volatility3环境的安装 首先请确保系统中已安装python3环境,安装pycrypto库函数 进入到Volatility目录,执行如下指令,即可将Volatility成功安装 >>> sudo python3 setup.py install 此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装是成功 >>> sudo python3 vol.py -h ( Volatility使用方式 Volatility2的使用方法 (1) 获取系统基本信息 >>>python2 vol.py -f .. /Target.vmem --profile=Win7SP1x64 mimikatz Volatility3的使用方法 (1) 获取系统基本信息 >>>sudo python3 vol.py -f
2K40编辑于 2022-12-11 - 来自专栏FreeBuf
USB流量取证分析
在Linux中,可以使用lsusb命令,如图所示: ? 我们这里主要演示USB的鼠标流量和键盘流量。Linux下的分析已经比较多了,下面的环境均在Windows下进行。 一、鼠标流量 1.1 特点分析 USB鼠标流量的规则如下所示: ? 二、键盘流量 2.1 特点分析 键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次击键都会产生一个数据包。 所以如果看到给出的数据包中的信息都是8个字节,并且只有第3个字节不为0000,那么几乎可以肯定是一个键盘流量了。 在USB协议的 文档中搜索 keyboard。 , 0x1F: "2@", 0x20: "3#", 0x21: "4$", 0x22: "5%", 0x23: "6^", 0x24: "7&", 0x25: "8*", 0x26: "9(",
3.8K20发布于 2020-04-20 - 来自专栏网络安全
Linux取证实战指南
系统级的计划任务列表位于/etc/crontab文件中。#####2.服务启动(StartupServices)与Windows服务类似,Linux服务可以在系统启动时自动运行。 文件系统取证(FileSystemForensics)#####1.文件所有权与权限(FileOwnershipandPermissions)攻击者常利用具有写权限的目录来上传恶意文件。 #####3.校验和分析(ChecksumAnalysis)校验和用于验证文件完整性,并可提交至VirusTotal等平台识别已知恶意文件。常用工具:md5sum和sha256sum。 注意:在实时取证分析中,atime极易被调查行为(如cat、md5sum)所改变,因此它不是一个可靠的指标。这也是为什么取证前制作镜像是首选方案。 Bash展开代码语言:TXTAI代码解释sudodebsums-e-s#####3.特殊权限分析(SpecialPermissionsAnalysis)SUID(SetUID)和SGID(SetGID)
33320编辑于 2025-12-15 - 来自专栏betasec
取证分析 | Volatility工具使用
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 (1)Volatility3环境的安装 首先请确保系统中已安装python3环境,安装pycrypto库函数 进入到Volatility目录,执行如下指令,即可将Volatility成功安装 >>> sudo python3 setup.py install 此时,就成功安装了Volatility3工具,可以执行如下指令查看是否安装是成功 >>> sudo python3 vol.py -h ( Volatility使用方式 Volatility2的使用方法 (1) 获取系统基本信息 >>>python2 vol.py -f .. /Target.vmem --profile=Win7SP1x64 mimikatz Volatility3的使用方法 (1) 获取系统基本信息 >>>sudo python3 vol.py -f
12K30发布于 2021-09-23 - 来自专栏小白安全
小白博客 kali Linux - 取证工具
在本章中,我们将学习Kali Linux中的取证工具。 p0f p0f是一个工具,只要检查捕获的数据包,即使有问题的设备位于数据包防火墙之后,也可以识别目标主机的操作系统。 从结果中,您可以观察到Web服务器使用的是Apache 2.x,操作系统是Debian。 PDF解析器 pdf-parser是一个解析PDF文档的工具,用于识别分析的PDF文件中使用的基本元素。 它不会呈现PDF文档。 对于PDF解析器而言,不推荐用于教科书,但是它可以完成这项工作。 dumpzilla Dumpzilla的应用是在Python 3。x和作为目的提取Firefox,Iceweasel所有法医的有趣的信息,和SeaMonkey浏览器进行分析。
2.9K90发布于 2018-04-12 - 来自专栏FreeBuf
针对爱尔兰DDoS攻击的取证分析
本文首先会针对此次 DDoS 攻击进行取证分析,随后会给出缓解这类 DDoS 攻击的方法。文中所有的截图来源于 LANGuardian 系统面板,该系统通过 SPAN 端口监控网络边界流量。 这是非常正常以及我们期望的情况; 3、UPD 流量中绝大多数为 DNS 流量,对于大部分网络来说,DNS 都会是最为活跃的 UDP 协议。 ? 进一步分析 UPD 流量发现,网络中存在大量的 NTP 和 DNS 流量。但由于这两个协议都非常重要,所以无法直接将其屏蔽。 更进一步分析,我们可以计算出接收到的 NTP 应答包平均大小为 440 字节,这明显大于标准的 NTP 应答包(90字节)。 高性能的防御系统可以跟踪分析攻击流量并进行清洗,从而抵御较大规模的 DDoS 攻击; 3、如果你的网站是托管在其他地方,那你可以考虑使用像 Cloudflare DDos 防御设施; 4、在一些极端情况下
1.4K70发布于 2018-02-07 Linux取证魔法之旅:深入文件系统与数据恢复技术
网络研讨会:与Hal Pomeranz同游Linux取证魔法之旅Black Hills信息安全公司特邀嘉宾Hal Pomeranz再次带来Linux技术深度分享。 本次将带领观众开启一场探索Linux文件系统奥秘的魔法之旅!内容涵盖:相对访问时间(atime)更新机制、块组与分配策略、已删除目录条目解析等关键技术要点。 这些知识将帮助您更高效地分析Linux系统时间线并恢复被删除数据。这是一场偏离常规路径的冒险之旅,参与者必将获得技术认知的飞跃! 技术要点时间戳:0:00 - 开场导引1:10 - Hal Pomeranz介绍5:49 - EXT文件系统技术解析8:13 - 访问时间(atime)机制详解19:25 - 目录结构技术剖析28:29 文件删除原理与实现38:23 - 文件分配策略与被删除数据恢复技术1:07:23 - 总结陈述附加资源:加入Black Hills信息安全Discord讨论服务器:https://discord.gg/aHHh3u5
17910编辑于 2025-08-29- 来自专栏安全预演
APT取证分析怎么做?
与其他普通网络攻击不同,APT攻击的取证分析更为复杂,一般可以按照以下几个步骤来进行:1、收集取证数据:收集与攻击有关的日志文件、网络流量数据、文件系统快照、内存镜像等数据。 3、数据分析:对于从数据源中提取出来的数据进行分析,可以分析网络流量,检查网络连接、流量大小、流量方向和协议类型,以识别潜在的攻击流量和命令与控制(C&C)通信。 对于应用程序日志和操作系统日志,可以检查被攻击的主机的系统日志,以便确认潜在的攻击者行为。同时,还可以通过文件系统分析来确定被入侵系统上存在的恶意程序。 此外,APT攻击的取证分析需要具备以下技能:1、熟悉网络安全知识:需要具备深入的网络安全知识,了解APT攻击的行为和特征,能够通过分析网络流量、应用程序日志和文件系统等数据来识别APT攻击。 3、熟悉取证工具:需要熟悉各种数字取证工具,例如网络取证工具、内存取证工具、文件系统取证工具等,能够使用这些工具来收集和分析数据。
98420编辑于 2023-02-19 - 来自专栏漏斗社区
攻击取证之日志分析(一)
概念 首先,咱们还是老规矩,先介绍一下什么是日志分析。 日志分析----计算机、网络和其他IT系统生成审计跟踪记录或记录系统活动的日志。 日志分析主要分成两种: ●Web日志分析 ●系统日志分析 本期主要给大家带来Web日志分析。 日志格式类型 既然要进行分析日志,首先我们得先了解一下日志的格式到底有哪些? name=admin' and '1'='2 ■ 参数后加' and sleep(3) --,是否延迟3秒打开:sql1.php? id=1 and 1=2 ■ 参数后加and sleep(5),是否延迟3秒打开:sql2.php? 最后,预告一下在本章之后还有一个章节,在下个章节中,会有系统的日志分析以及如何使用日志分析工具进行日志分析,敬请期待哟。 ?
4.1K20发布于 2019-05-13 - 来自专栏网络安全与可视化
如何成功执行网络取证分析?
我们都遇到过各种网络问题,有时会需要网络取证分析。但是您或许不知道从哪里开始,该怎么办?或者,更准确地说,您不知道需要什么硬件来捕获网络线上的信息,以及在分析数据时需要寻找什么? 作为安全分析师,您需要查找正确的症状来快速检测网络中的异常。当然,这需要多年的实践和正确的网络取证工具。 为了对情况进行正确的评估,查看您可以获得的所有信息是非常重要的。 选择正确的工具后,下一步就是监视和分析。以下是一些(重要的)恶意活动(事件计时、网络检查等),在执行网络取证分析时应注意这些活动。 要快速确定是否发生DoS攻击,要先在使用的软件分析工具中进行筛选,查看TCP数据包。使用该工具查看数据包序列图,图上用箭头表示源系统和目标系统之间的TCP连接流。 无论如何,正如我们在本文开头提到的那样,您的网络安全团队需要正确的网络取证工具,可以完全访问网络,以便正确评估情况并采取相应措施。 有兴趣了解为什么如今网络安全如此挑战吗? 可以阅读这篇文章。
1.5K11发布于 2020-05-12 - 来自专栏漏斗社区
CTF| 攻击取证之内存分析
基本概念 在CTF中,内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取flag或者与flag相关重要信息。 解题思路 斗哥根据近来做题心得以及前人经验,明白了内存取证三步曲:解析Windows/Linux/Mac OS的内存结构、分析进程等内存数据、根据题目提示寻找线索和思路,提取分析指定进程的特定内存数据。 笼统的说,常见的内存结构存在于以下三大操作系统: ●Windows操作系统 ●Linux操作系统 ●Mac OS操作系统 难道真的要去深度学习这三种结构吗? 知道了内存格式之后呢,就需要开始分析内存数据了,通过对应格式下的内存所在的对应的系统,我们可以使用对应的工具去进行分析。最后根据题目提示,进行针对性的去提取我们所需要的内存数据。 3.得到了一些信息有时候往往不过,有可能还需要我们提取内存中的数据再进行二次操作才可以得到flag a.
8K41发布于 2019-04-29 - 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
介绍 内存取证是任何计算机取证分析人员的必备技能之一,这种技术允许我们找到很多无法在磁盘上找到的数字证据,例如: 1、建立的网络链接; 2、仅在内存中的恶意软件; 3、加密密钥; 4、用户凭证。 接下来,我们看看如何使用MemProcFS来提升我们内存取证分析的效率。 MemProcFS可以允许我们在文件系统视图中一次性查看多个Volatility插件的输出结果。 、用户和操作系统信息等: 其中,最重要的就是Forensic目录了,其中包含了大量的内存取证信息: 这里我们可以看到系统针对各种组件创建的时间戳,比如说NTFS、网络、Web和进程等: findevil 总结 每一种安全分析和调查都有其独特的的目标,而深入分析取证文件所采用的方法也因实际情况而定。 希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。
60710编辑于 2024-06-11 - 来自专栏E条咸鱼
Linux系统入门-3
Linux文件权限 在Linux系统中,使用 ls-al命令查看文件的时候,通常会看到这排东西 ? 其中,第一个 elapse的位置,写着的是该文件所有者的名字,后一个 elapse记的是所有组的名字,除了这个人和这个组外的,文件权限管理中就属于 other,其他人(当然root用户在这个系统是为所欲为的 w w呢,就是 write,也就是文件写入的操作,如果没有此权限,则无法对文件内容进行修改 x x就是执行,在Linux系统中,如果该可执行文件,如 .sh文件等,没有对应的x权限,则无法使用,使用的时候会提示权限不足 那么问题来了 如果说,我有x权限,但是没有rw权限咋整,答案是执行失败,如果想执行程序,至少得有r-x(可读可执行)这两个权限 那么看完了“单词版”的权限,现在说一说“数字版”的权限 在Linux系统中 常见的数字有 7(rwx 可读可写可执行) 6(rw- 可读可写不可执行) 5(r-x 可读不可写可执行) 4(r-- 可读不可写不可执行) 3(-wx 不可读可写可执行) |并不可以执行,也不可以写,
80631发布于 2020-08-17 数字取证与分析-----logs.pcapng
数据分析-logs 1.使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户目录扫描的第9个文件,并将该文件名作为 Flag(形式:[robots.txt])提交: 通过分析:恶意用户为172.16.1.10 目录扫描文件,从站点去扫描具体的文件,指向http ip.src == 172.16.1.10 and http Flag:[star.php] 2.继续查看数据包文件logs.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为Flag(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交 在这个数据包中,包含有两种协议数据包,一为http,一为tcp ip.src == 172.16.1.10 and tcp Flag:[21,80,445,1433,3306,3389,5000] 3. 页面进行SQL注入 Flag:[name.txt] 4.继续查看数据包文件logs.pacapng分析出恶意用户写入一句话木马的路径是什么,并将该路径作为Flag(形式:[/root/whoami/])
22510编辑于 2025-10-23数据分析数字取证A.pcapng
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。 Ethereal是全世界最广泛的网络封包分析软件之一。 数据分析数字取证 任务环境说明: 渗透机场景:windows 7 渗透机用户名:administrator,密码:123456 通过分析数据包A.pcapng,找到黑客连接一句话木马的密码,将该密码作为 :192.168.10.10,192.168.10.30 通过分析数据包A.pcapng,找到域服务器的密码是多少,将该密码作为FLAG提交; Flag:163.com 通过分析数据包A.pcapng,
17610编辑于 2025-10-23- 来自专栏悟空被FFmpeg玩
Linux中文件系统注册及mount过程分析3
4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) =0xb7730000……readlink("/dev", 0xbf9fc3ab , 4096) = -1 EINVAL (Invalid argument)readlink("/dev/sdc1", 0xbf9fc3ab, 4096) = -1 EINVAL (Invalid argument
1.3K60发布于 2019-03-05 - 来自专栏AI SPPECH
083_数字取证高级技术:日志分析与时间线构建实战指南——从系统日志到网络流量的全面取证分析方法
无论是安全分析师、系统管理员还是数字取证专家,都能从中获取实用的知识和技能。 系统日志 操作系统日志:Windows事件日志、Linux/Unix syslog、macOS日志 内核日志:记录系统底层操作和硬件交互 启动日志:记录系统启动过程中的事件 2. 可扩展性 适应不断增长的日志量 支持新系统和应用程序的集成 能够处理各种日志格式和来源 日志收集范围: 操作系统日志(Windows事件日志、Linux syslog等) 网络设备日志(防火墙、路由器、 Splunk 商业日志管理和分析平台 强大的搜索和分析功能 丰富的应用生态系统 完善的安全和合规功能 3. Volatility Framework 内存取证工具,可用于分析内存转储中的日志信息 支持多种操作系统内存分析 可提取进程、网络连接和注册表等信息 2.
45910编辑于 2025-11-16 - 来自专栏giantbranch's blog
使用Linux进程环境变量进行取证
注:下面来自半翻译,半实践 对Linux进程进行取证,可以通过/proc/<PID>/environ来查看某个进程的环境变量,来获取一些信息。 所以说,遇到可疑的进程不要立即杀掉,不然取证都可能无从下手。 背景 当在Linux上启动一个进程时,该进程的许多环境变量将在其运行期间保持不变。 通过将HISTSIZE设置为0,即export HISTSIZE=0,实际上是告诉操作系统不保存任何命令历史记录。 :$PATH cp /bin/nc x x -lp 6666 & 取证 通过列出正在监听的端口,可以查看到一个x的可疑进程。 .ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.m4a=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=
39200编辑于 2024-12-31
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号