- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
Linux日志取证
32629 0t0 TCP master:ssh->192.168.1.88:53505 (ESTABLISHED) sshd 5925 root 3u IPv4 32692 10.10.107.222:22 192.168.1.88:53505 ESTABLISHED 5923/sshd: [email protected] (3)历史ssh 隐匿登录行为通过分析 /var/log/secure 日志(有的系统是/var/log/auth.log) #通过分析/var/log/secure 日志有的系统是/var/log/auth.log 从 Accepted /etc/bash.bashrc、~/.bashrc记录执行记录,就可以记录到bash -i的执行记录(交互式会话会读取bashrc配置并执行) (4) 主要用到strace、strings、grep利用操作系统自身的工具手工快速查找后门 #通过openssh后门功能中会记录正常用户登录账号密码,因此猜测会用到open系统调用 strace –o ssh –ff–p pid #用strace跟踪sshd打开的系统调用,然后过滤open
2.4K20发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
Linux日志取证
32629 0t0 TCP master:ssh->192.168.1.88:53505 (ESTABLISHED) sshd 5925 root 3u IPv4 32692 48 10.10.107.222:22 192.168.1.88:53505 ESTABLISHED 5923/sshd: root@pts (3)历史ssh 隐匿登录行为通过分析 /var/log/secure 日志(有的系统是/var/log/auth.log) #通过分析/var/log/secure 日志有的系统是/var/log/auth.log 从 Accepted /etc/bash.bashrc、~/.bashrc记录执行记录,就可以记录到bash -i的执行记录(交互式会话会读取bashrc配置并执行) (4) 主要用到strace、strings、grep利用操作系统自身的工具手工快速查找后门 #通过openssh后门功能中会记录正常用户登录账号密码,因此猜测会用到open系统调用 strace –o ssh –ff–p pid #用strace跟踪sshd打开的系统调用,然后过滤open
2.2K20编辑于 2022-09-28 - 来自专栏betasec
Volatility取证分析工具
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 (1)Volatility3环境的安装 首先请确保系统中已安装python3环境,安装pycrypto库函数 进入到Volatility目录,执行如下指令,即可将Volatility成功安装 >>> /Target.vmem --profile=Win7SP1x64 memdump -p 516 -D / (4) 查看文件目录 >>> python2 vol.py -f .. /Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./ (6) 调用mimikatz抓取系统口令 提取某进程文件内容 >>>sudo python3 vol.py -f /opt/forensic-analysis/Target.vmem windows.pslist --pid 516 --dump (4)
2K40编辑于 2022-12-11 - 来自专栏FreeBuf
USB流量取证分析
在Linux中,可以使用lsusb命令,如图所示: ? 我们这里主要演示USB的鼠标流量和键盘流量。Linux下的分析已经比较多了,下面的环境均在Windows下进行。 一、鼠标流量 1.1 特点分析 USB鼠标流量的规则如下所示: ? 二、键盘流量 2.1 特点分析 键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次击键都会产生一个数据包。 2.2 使用Wireshark捕获和分析 捕获的步骤与上面相似。下面以XCTF的高校战疫比赛中的一道例题(ez_mem&usb)来说明。 code][0] for x in lines: print(x)if __name__ == "__main__": code2chr('E://CTF练习/杂项/18e4c103d4de4f07b33a42cb1f0eaa1d
3.8K20发布于 2020-04-20 - 来自专栏网络安全
Linux取证实战指南
Bash展开代码语言:TXTAI代码解释ipaddressshow#####4.活动网络连接(ActiveNetworkConnections)使用netstat工具查看当前系统上的活动网络连接。 系统级的计划任务列表位于/etc/crontab文件中。#####2.服务启动(StartupServices)与Windows服务类似,Linux服务可以在系统启动时自动运行。 文件系统取证(FileSystemForensics)#####1.文件所有权与权限(FileOwnershipandPermissions)攻击者常利用具有写权限的目录来上传恶意文件。 #####4.时间戳分析(TimestampAnalysis)时间戳是建立事件时间线的关键。三种主要时间戳:-**`mtime`(修改时间)**:文件**内容**最后一次被修改的时间。 注意:在实时取证分析中,atime极易被调查行为(如cat、md5sum)所改变,因此它不是一个可靠的指标。这也是为什么取证前制作镜像是首选方案。
33320编辑于 2025-12-15 - 来自专栏betasec
取证分析 | Volatility工具使用
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 (1)Volatility3环境的安装 首先请确保系统中已安装python3环境,安装pycrypto库函数 进入到Volatility目录,执行如下指令,即可将Volatility成功安装 >>> /Target.vmem --profile=Win7SP1x64 memdump -p 516 -D / (4) 查看文件目录 >>> python2 vol.py -f .. /Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./ (6) 调用mimikatz抓取系统口令 提取某进程文件内容 >>>sudo python3 vol.py -f /opt/forensic-analysis/Target.vmem windows.pslist --pid 516 --dump (4)
12K30发布于 2021-09-23 - 来自专栏小白安全
小白博客 kali Linux - 取证工具
在本章中,我们将学习Kali Linux中的取证工具。 p0f p0f是一个工具,只要检查捕获的数据包,即使有问题的设备位于数据包防火墙之后,也可以识别目标主机的操作系统。 从结果中,您可以观察到Web服务器使用的是Apache 2.x,操作系统是Debian。 PDF解析器 pdf-parser是一个解析PDF文档的工具,用于识别分析的PDF文件中使用的基本元素。 它不会呈现PDF文档。 对于PDF解析器而言,不推荐用于教科书,但是它可以完成这项工作。 x和作为目的提取Firefox,Iceweasel所有法医的有趣的信息,和SeaMonkey浏览器进行分析。
2.9K90发布于 2018-04-12 - 来自专栏FreeBuf
针对爱尔兰DDoS攻击的取证分析
本文首先会针对此次 DDoS 攻击进行取证分析,随后会给出缓解这类 DDoS 攻击的方法。文中所有的截图来源于 LANGuardian 系统面板,该系统通过 SPAN 端口监控网络边界流量。 第一张图展示了没有遭受攻击时的网络相关流量信息,从图中我们发现: 1、主要流量为 IPv4; 2、超过 97% 的流量为 TCP,而 UDP 流量只占到非常少的比例。 进一步分析 UPD 流量发现,网络中存在大量的 NTP 和 DNS 流量。但由于这两个协议都非常重要,所以无法直接将其屏蔽。 更进一步分析,我们可以计算出接收到的 NTP 应答包平均大小为 440 字节,这明显大于标准的 NTP 应答包(90字节)。 高性能的防御系统可以跟踪分析攻击流量并进行清洗,从而抵御较大规模的 DDoS 攻击; 3、如果你的网站是托管在其他地方,那你可以考虑使用像 Cloudflare DDos 防御设施; 4、在一些极端情况下
1.4K70发布于 2018-02-07 Linux取证魔法之旅:深入文件系统与数据恢复技术
网络研讨会:与Hal Pomeranz同游Linux取证魔法之旅Black Hills信息安全公司特邀嘉宾Hal Pomeranz再次带来Linux技术深度分享。 本次将带领观众开启一场探索Linux文件系统奥秘的魔法之旅!内容涵盖:相对访问时间(atime)更新机制、块组与分配策略、已删除目录条目解析等关键技术要点。 这些知识将帮助您更高效地分析Linux系统时间线并恢复被删除数据。这是一场偏离常规路径的冒险之旅,参与者必将获得技术认知的飞跃! 技术要点时间戳:0:00 - 开场导引1:10 - Hal Pomeranz介绍5:49 - EXT文件系统技术解析8:13 - 访问时间(atime)机制详解19:25 - 目录结构技术剖析28:29
17910编辑于 2025-08-29- 来自专栏安全预演
APT取证分析怎么做?
与其他普通网络攻击不同,APT攻击的取证分析更为复杂,一般可以按照以下几个步骤来进行:1、收集取证数据:收集与攻击有关的日志文件、网络流量数据、文件系统快照、内存镜像等数据。 4、追踪攻击者:通过网络取证、数字取证等技术手段,追踪和收集攻击者的行为和行踪,以确定攻击者的身份和行为。对于APT攻击,攻击者往往采取隐蔽的攻击方式,需要耐心和细心地进行分析和追踪。 此外,APT攻击的取证分析需要具备以下技能:1、熟悉网络安全知识:需要具备深入的网络安全知识,了解APT攻击的行为和特征,能够通过分析网络流量、应用程序日志和文件系统等数据来识别APT攻击。 3、熟悉取证工具:需要熟悉各种数字取证工具,例如网络取证工具、内存取证工具、文件系统取证工具等,能够使用这些工具来收集和分析数据。 4、熟悉安全管理知识:需要具备一定的安全管理知识,能够评估安全风险,制定相应的安全策略,并建立安全管理制度。
98420编辑于 2023-02-19 - 来自专栏漏斗社区
攻击取证之日志分析(一)
概念 首先,咱们还是老规矩,先介绍一下什么是日志分析。 日志分析----计算机、网络和其他IT系统生成审计跟踪记录或记录系统活动的日志。 日志分析主要分成两种: ●Web日志分析 ●系统日志分析 本期主要给大家带来Web日志分析。 日志格式类型 既然要进行分析日志,首先我们得先了解一下日志的格式到底有哪些? 为了可以更好的演示,这边使用的是NCSA普通日志格式,它的格式如下: 常用日志分析方法 常见的日志分析方法有两种: 1.特征字符分析 2.访问频率分析 特征字符分析: 特征字符分析法:顾名思义,就是根据攻击者利用的漏洞特征 from sysobjects)>0返回正常 and (select count (*) from msysobjects)>0返回异常 and left(version(),1)=5%23参数5也可能是4 最后,预告一下在本章之后还有一个章节,在下个章节中,会有系统的日志分析以及如何使用日志分析工具进行日志分析,敬请期待哟。 ?
4.1K20发布于 2019-05-13 - 来自专栏网络安全与可视化
如何成功执行网络取证分析?
我们都遇到过各种网络问题,有时会需要网络取证分析。但是您或许不知道从哪里开始,该怎么办?或者,更准确地说,您不知道需要什么硬件来捕获网络线上的信息,以及在分析数据时需要寻找什么? 作为安全分析师,您需要查找正确的症状来快速检测网络中的异常。当然,这需要多年的实践和正确的网络取证工具。 为了对情况进行正确的评估,查看您可以获得的所有信息是非常重要的。 选择正确的工具后,下一步就是监视和分析。以下是一些(重要的)恶意活动(事件计时、网络检查等),在执行网络取证分析时应注意这些活动。 要快速确定是否发生DoS攻击,要先在使用的软件分析工具中进行筛选,查看TCP数据包。使用该工具查看数据包序列图,图上用箭头表示源系统和目标系统之间的TCP连接流。 无论如何,正如我们在本文开头提到的那样,您的网络安全团队需要正确的网络取证工具,可以完全访问网络,以便正确评估情况并采取相应措施。 有兴趣了解为什么如今网络安全如此挑战吗? 可以阅读这篇文章。
1.5K11发布于 2020-05-12 - 来自专栏漏斗社区
CTF| 攻击取证之内存分析
基本概念 在CTF中,内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取flag或者与flag相关重要信息。 解题思路 斗哥根据近来做题心得以及前人经验,明白了内存取证三步曲:解析Windows/Linux/Mac OS的内存结构、分析进程等内存数据、根据题目提示寻找线索和思路,提取分析指定进程的特定内存数据。 笼统的说,常见的内存结构存在于以下三大操作系统: ●Windows操作系统 ●Linux操作系统 ●Mac OS操作系统 难道真的要去深度学习这三种结构吗? 知道了内存格式之后呢,就需要开始分析内存数据了,通过对应格式下的内存所在的对应的系统,我们可以使用对应的工具去进行分析。最后根据题目提示,进行针对性的去提取我们所需要的内存数据。 了解完内存取证的解题思路后,就要开始了解一下解题所需要用到的工具,这里斗哥给大家推荐一个比较好用的开源内存取证框架----Volatility。
8K41发布于 2019-04-29 - 来自专栏悟空被FFmpeg玩
Linux中文件系统注册及mount过程分析4
put_filesystem(type);1091 return mnt;1092 }1093 EXPORT_SYMBOL_GPL(do_kern_mount); 这里就用到了最开始说的注册的文件系统 ,通过get_fs_type来查找是否支持fstype类型的文件系统,例如ext4支持的话就把前面注册的结构返回到这里,以后使用的type都是ext4_fs_type,例如vfs_kern_mount里面传递进去的 ); 960 out: 961 return ERR_PTR(error); 962 } 963 964 EXPORT_SYMBOL_GPL(vfs_kern_mount); 接下来就要进入到ext4系统里面看一下 fill_super,mnt);4236 } 这里面一共调用了两个接口get_sb_bdev和ext4_fill_super,一个文件系统的细节部分都在ext4_fill_super里面去做 get_sb_bdev 后面涉及到了对块设备操作的很多工作,文件系统最关键的就是管理文件,并且是块设备上的,这个块设备就是在get_sb_bdev里面得到的 747 int get_sb_bdev(struct file_system_type
2.7K20发布于 2019-03-05 - 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
介绍 内存取证是任何计算机取证分析人员的必备技能之一,这种技术允许我们找到很多无法在磁盘上找到的数字证据,例如: 1、建立的网络链接; 2、仅在内存中的恶意软件; 3、加密密钥; 4、用户凭证。 接下来,我们看看如何使用MemProcFS来提升我们内存取证分析的效率。 MemProcFS可以允许我们在文件系统视图中一次性查看多个Volatility插件的输出结果。 、用户和操作系统信息等: 其中,最重要的就是Forensic目录了,其中包含了大量的内存取证信息: 这里我们可以看到系统针对各种组件创建的时间戳,比如说NTFS、网络、Web和进程等: findevil 总结 每一种安全分析和调查都有其独特的的目标,而深入分析取证文件所采用的方法也因实际情况而定。 希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。
60710编辑于 2024-06-11 数字取证与分析-----logs.pcapng
数据分析-logs 1.使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户目录扫描的第9个文件,并将该文件名作为 Flag(形式:[robots.txt])提交: 通过分析:恶意用户为172.16.1.10 目录扫描文件,从站点去扫描具体的文件,指向http ip.src == 172.16.1.10 and http Flag:[star.php] 2.继续查看数据包文件logs.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为Flag(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交 ,并将该文件名作为Flag(形式:[robots.txt])提交: http协议过滤,前边为目录文件检索 最后在index.php页面进行SQL注入 Flag:[name.txt] 4.继续查看数据包文件 .php Flag:[C:/phpstudy/www/] 5.继续查看数据包文件logs.pacapng分析出恶意用户连接一句话木马的密码是什么,并将一句话密码作为Flag(形式:[一句话密码])提交:
22510编辑于 2025-10-23数据分析数字取证A.pcapng
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。 Ethereal是全世界最广泛的网络封包分析软件之一。 数据分析数字取证 任务环境说明: 渗透机场景:windows 7 渗透机用户名:administrator,密码:123456 通过分析数据包A.pcapng,找到黑客连接一句话木马的密码,将该密码作为 :192.168.10.10,192.168.10.30 通过分析数据包A.pcapng,找到域服务器的密码是多少,将该密码作为FLAG提交; Flag:163.com 通过分析数据包A.pcapng,
17610编辑于 2025-10-23- 来自专栏txp玩Linux
Linux V4L2子系统-Video设备框架分析
一、概述: 在V4L2子系统中,Video设备是一个字符设备,设备节点为/dev/videoX,主设备号为81,次设备号范围为0-63。 这样应用就可以使用系统调用访问虚拟文件系统中Video设备提供的方法,然后进一步访问V4L2核心层提供的v4l2_fops方法集合,最后通过struct video_device结构体中的fops和ioctl_ops 对于Vedio设备,该操作集合被V4L2子系统初始化为v4l2_fops集合。 五、Video设备访问流程实例分析: 下图是Linux 4.1版本中imx6ull CMOS Sensor Interface (CSI)和ov5640 Image Sensor设备的访问流程,imx6ull 后面会具体分析这些方法的执行流程。
1.4K42编辑于 2023-08-31 - 来自专栏AI SPPECH
083_数字取证高级技术:日志分析与时间线构建实战指南——从系统日志到网络流量的全面取证分析方法
无论是安全分析师、系统管理员还是数字取证专家,都能从中获取实用的知识和技能。 系统日志 操作系统日志:Windows事件日志、Linux/Unix syslog、macOS日志 内核日志:记录系统底层操作和硬件交互 启动日志:记录系统启动过程中的事件 2. 可扩展性 适应不断增长的日志量 支持新系统和应用程序的集成 能够处理各种日志格式和来源 日志收集范围: 操作系统日志(Windows事件日志、Linux syslog等) 网络设备日志(防火墙、路由器、 Volatility Framework 内存取证工具,可用于分析内存转储中的日志信息 支持多种操作系统内存分析 可提取进程、网络连接和注册表等信息 2. Autopsy 数字取证平台,集成了日志分析功能 支持多种日志格式的导入和分析 提供时间线分析和事件关联功能 4.
45910编辑于 2025-11-16 - 来自专栏giantbranch's blog
使用Linux进程环境变量进行取证
注:下面来自半翻译,半实践 对Linux进程进行取证,可以通过/proc/<PID>/environ来查看某个进程的环境变量,来获取一些信息。 所以说,遇到可疑的进程不要立即杀掉,不然取证都可能无从下手。 背景 当在Linux上启动一个进程时,该进程的许多环境变量将在其运行期间保持不变。 通过将HISTSIZE设置为0,即export HISTSIZE=0,实际上是告诉操作系统不保存任何命令历史记录。 :$PATH cp /bin/nc x x -lp 6666 & 取证 通过列出正在监听的端口,可以查看到一个x的可疑进程。 01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:
39200编辑于 2024-12-31
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号