- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
Linux日志取证
10.10.107.222:22 192.168.1.88:53505 ESTABLISHED 5923/sshd: [email protected] (3)历史ssh 隐匿登录行为通过分析 /var/log/secure 日志(有的系统是/var/log/auth.log) #通过分析/var/log/secure 日志有的系统是/var/log/auth.log 从 Accepted 192.168.12.54 一行可以得出ssh的登录时间 #Disconnect 从 Disconnected from 192.168.12.54 port 43000 一行可以得出ssh的退出时间 如果系统配置了 /bash.bashrc、~/.bashrc记录执行记录,就可以记录到bash -i的执行记录(交互式会话会读取bashrc配置并执行) (4) 主要用到strace、strings、grep利用操作系统自身的工具手工快速查找后门 #通过openssh后门功能中会记录正常用户登录账号密码,因此猜测会用到open系统调用 strace –o ssh –ff–p pid #用strace跟踪sshd打开的系统调用,然后过滤open
2.4K20发布于 2020-10-23 - 来自专栏全栈工程师修炼之路
Linux日志取证
48 10.10.107.222:22 192.168.1.88:53505 ESTABLISHED 5923/sshd: root@pts (3)历史ssh 隐匿登录行为通过分析 /var/log/secure 日志(有的系统是/var/log/auth.log) #通过分析/var/log/secure 日志有的系统是/var/log/auth.log 从 Accepted 192.168.12.54 一行可以得出ssh的登录时间 #Disconnect 从 Disconnected from 192.168.12.54 port 43000 一行可以得出ssh的退出时间 如果系统配置了 /bash.bashrc、~/.bashrc记录执行记录,就可以记录到bash -i的执行记录(交互式会话会读取bashrc配置并执行) (4) 主要用到strace、strings、grep利用操作系统自身的工具手工快速查找后门 #通过openssh后门功能中会记录正常用户登录账号密码,因此猜测会用到open系统调用 strace –o ssh –ff–p pid #用strace跟踪sshd打开的系统调用,然后过滤open
2.2K20编辑于 2022-09-28 - 来自专栏betasec
Volatility取证分析工具
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 /Target.vmem --profile=Win7SP1x64 pslist (3) 提取某进程文件内容 >>> python2 vol.py -f .. /Target.vmem --profile=Win7SP1x64 filescan (5) 提取某文件内容 >>>python2 vol.py -f .. /Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./ (6) 调用mimikatz抓取系统口令 /Target.vmem --profile=Win7SP1x64 mimikatz Volatility3的使用方法 (1) 获取系统基本信息 >>>sudo python3 vol.py -f
2K40编辑于 2022-12-11 - 来自专栏FreeBuf
USB流量取证分析
在Linux中,可以使用lsusb命令,如图所示: ? 我们这里主要演示USB的鼠标流量和键盘流量。Linux下的分析已经比较多了,下面的环境均在Windows下进行。 一、鼠标流量 1.1 特点分析 USB鼠标流量的规则如下所示: ? 二、键盘流量 2.1 特点分析 键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次击键都会产生一个数据包。 2.2 使用Wireshark捕获和分析 捕获的步骤与上面相似。下面以XCTF的高校战疫比赛中的一道例题(ez_mem&usb)来说明。 , 0x1F: "2@", 0x20: "3#", 0x21: "4$", 0x22: "5%", 0x23: "6^", 0x24: "7&", 0x25: "8*", 0x26: "9(",
3.8K20发布于 2020-04-20 - 来自专栏网络安全
Linux取证实战指南
输出包含7个以冒号分隔的字段:用户名、密码信息、用户ID(UID)、组ID(GID)、描述、主目录和默认Shell。普通用户UID:通常为1000或更高。 系统级的计划任务列表位于/etc/crontab文件中。#####2.服务启动(StartupServices)与Windows服务类似,Linux服务可以在系统启动时自动运行。 文件系统取证(FileSystemForensics)#####1.文件所有权与权限(FileOwnershipandPermissions)攻击者常利用具有写权限的目录来上传恶意文件。 Exiftool是一款强大的命令行工具,可用于提取和分析文件的元数据。 注意:在实时取证分析中,atime极易被调查行为(如cat、md5sum)所改变,因此它不是一个可靠的指标。这也是为什么取证前制作镜像是首选方案。
33320编辑于 2025-12-15 - 来自专栏betasec
取证分析 | Volatility工具使用
1.Volatility功能介绍 Volatility是一款开源的内存取证分析工具,支持Windows,Linux,MaC,Android等多类型操作系统系统的内存取证方式。 /Target.vmem --profile=Win7SP1x64 pslist (3) 提取某进程文件内容 >>> python2 vol.py -f .. /Target.vmem --profile=Win7SP1x64 filescan (5) 提取某文件内容 >>>python2 vol.py -f .. /Target.vmem --profile=Win7SP1x64 dumpfiles -Q 0x000000007fe72430 --dump-dir=./ (6) 调用mimikatz抓取系统口令 /Target.vmem --profile=Win7SP1x64 mimikatz Volatility3的使用方法 (1) 获取系统基本信息 >>>sudo python3 vol.py -f
12K30发布于 2021-09-23 - 来自专栏小白安全
小白博客 kali Linux - 取证工具
在本章中,我们将学习Kali Linux中的取证工具。 p0f p0f是一个工具,只要检查捕获的数据包,即使有问题的设备位于数据包防火墙之后,也可以识别目标主机的操作系统。 从结果中,您可以观察到Web服务器使用的是Apache 2.x,操作系统是Debian。 PDF解析器 pdf-parser是一个解析PDF文档的工具,用于识别分析的PDF文件中使用的基本元素。 它不会呈现PDF文档。 对于PDF解析器而言,不推荐用于教科书,但是它可以完成这项工作。 x和作为目的提取Firefox,Iceweasel所有法医的有趣的信息,和SeaMonkey浏览器进行分析。
2.9K90发布于 2018-04-12 - 来自专栏FreeBuf
针对爱尔兰DDoS攻击的取证分析
本文首先会针对此次 DDoS 攻击进行取证分析,随后会给出缓解这类 DDoS 攻击的方法。文中所有的截图来源于 LANGuardian 系统面板,该系统通过 SPAN 端口监控网络边界流量。 进一步分析 UPD 流量发现,网络中存在大量的 NTP 和 DNS 流量。但由于这两个协议都非常重要,所以无法直接将其屏蔽。 更进一步分析,我们可以计算出接收到的 NTP 应答包平均大小为 440 字节,这明显大于标准的 NTP 应答包(90字节)。 大部分情况下这是不行的,但如果你是一个教育或政府机构也许可以在 ISP 层面解决这个问题; 2、如果是自己架设 WEB 应用服务器可以考虑部署一个 DDoS 防御系统。 高性能的防御系统可以跟踪分析攻击流量并进行清洗,从而抵御较大规模的 DDoS 攻击; 3、如果你的网站是托管在其他地方,那你可以考虑使用像 Cloudflare DDos 防御设施; 4、在一些极端情况下
1.4K70发布于 2018-02-07 Linux取证魔法之旅:深入文件系统与数据恢复技术
网络研讨会:与Hal Pomeranz同游Linux取证魔法之旅Black Hills信息安全公司特邀嘉宾Hal Pomeranz再次带来Linux技术深度分享。 本次将带领观众开启一场探索Linux文件系统奥秘的魔法之旅!内容涵盖:相对访问时间(atime)更新机制、块组与分配策略、已删除目录条目解析等关键技术要点。 这些知识将帮助您更高效地分析Linux系统时间线并恢复被删除数据。这是一场偏离常规路径的冒险之旅,参与者必将获得技术认知的飞跃! 技术要点时间戳:0:00 - 开场导引1:10 - Hal Pomeranz介绍5:49 - EXT文件系统技术解析8:13 - 访问时间(atime)机制详解19:25 - 目录结构技术剖析28:29
17910编辑于 2025-08-29- 来自专栏安全预演
APT取证分析怎么做?
与其他普通网络攻击不同,APT攻击的取证分析更为复杂,一般可以按照以下几个步骤来进行:1、收集取证数据:收集与攻击有关的日志文件、网络流量数据、文件系统快照、内存镜像等数据。 对于应用程序日志和操作系统日志,可以检查被攻击的主机的系统日志,以便确认潜在的攻击者行为。同时,还可以通过文件系统分析来确定被入侵系统上存在的恶意程序。 此外,APT攻击的取证分析需要具备以下技能:1、熟悉网络安全知识:需要具备深入的网络安全知识,了解APT攻击的行为和特征,能够通过分析网络流量、应用程序日志和文件系统等数据来识别APT攻击。 2、熟悉操作系统和网络设备:需要熟悉被攻击系统的操作系统和网络设备,了解其日志格式和数据结构,能够根据日志数据来分析攻击行为。 3、熟悉取证工具:需要熟悉各种数字取证工具,例如网络取证工具、内存取证工具、文件系统取证工具等,能够使用这些工具来收集和分析数据。
98420编辑于 2023-02-19 - 来自专栏漏斗社区
攻击取证之日志分析(一)
概念 首先,咱们还是老规矩,先介绍一下什么是日志分析。 日志分析----计算机、网络和其他IT系统生成审计跟踪记录或记录系统活动的日志。 在当下的CTF大赛中,多以流量分析的形式出现,但是在个别比赛中依然会出现一题关于日志分析类的题目,一般的题目都是会让我们通过日志找线索,不会将flag写在日志,因此我们需要通过分析日志来判断,flag可能存在的位置 日志分析主要分成两种: ●Web日志分析 ●系统日志分析 本期主要给大家带来Web日志分析。 日志格式类型 既然要进行分析日志,首先我们得先了解一下日志的格式到底有哪些? 为了可以更好的演示,这边使用的是NCSA普通日志格式,它的格式如下: 常用日志分析方法 常见的日志分析方法有两种: 1.特征字符分析 2.访问频率分析 特征字符分析: 特征字符分析法:顾名思义,就是根据攻击者利用的漏洞特征 最后,预告一下在本章之后还有一个章节,在下个章节中,会有系统的日志分析以及如何使用日志分析工具进行日志分析,敬请期待哟。 ?
4.1K20发布于 2019-05-13 - 来自专栏网络安全与可视化
如何成功执行网络取证分析?
我们都遇到过各种网络问题,有时会需要网络取证分析。但是您或许不知道从哪里开始,该怎么办?或者,更准确地说,您不知道需要什么硬件来捕获网络线上的信息,以及在分析数据时需要寻找什么? 作为安全分析师,您需要查找正确的症状来快速检测网络中的异常。当然,这需要多年的实践和正确的网络取证工具。 为了对情况进行正确的评估,查看您可以获得的所有信息是非常重要的。 选择正确的工具后,下一步就是监视和分析。以下是一些(重要的)恶意活动(事件计时、网络检查等),在执行网络取证分析时应注意这些活动。 要快速确定是否发生DoS攻击,要先在使用的软件分析工具中进行筛选,查看TCP数据包。使用该工具查看数据包序列图,图上用箭头表示源系统和目标系统之间的TCP连接流。 无论如何,正如我们在本文开头提到的那样,您的网络安全团队需要正确的网络取证工具,可以完全访问网络,以便正确评估情况并采取相应措施。 有兴趣了解为什么如今网络安全如此挑战吗? 可以阅读这篇文章。
1.5K11发布于 2020-05-12 - 来自专栏漏斗社区
CTF| 攻击取证之内存分析
基本概念 在CTF中,内存取证一般指对计算机及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取flag或者与flag相关重要信息。 解题思路 斗哥根据近来做题心得以及前人经验,明白了内存取证三步曲:解析Windows/Linux/Mac OS的内存结构、分析进程等内存数据、根据题目提示寻找线索和思路,提取分析指定进程的特定内存数据。 笼统的说,常见的内存结构存在于以下三大操作系统: ●Windows操作系统 ●Linux操作系统 ●Mac OS操作系统 难道真的要去深度学习这三种结构吗? 知道了内存格式之后呢,就需要开始分析内存数据了,通过对应格式下的内存所在的对应的系统,我们可以使用对应的工具去进行分析。最后根据题目提示,进行针对性的去提取我们所需要的内存数据。 使用方法: 基本命令格式 volatility -f [内存文件] --profile=[配置文件] <插件> eg:volatility -f /opt/test.vmem –profile=Win7SP1x86
8K41发布于 2019-04-29 - 来自专栏全栈程序员必看
linux7 没有dpkg,Linux 系统操作 (7):dpkg 命令
Linux 系统操作 (7):dpkg 命令 文章目录 综述: 安装命令: 查看与搜索命令: 删除命令: 不太常用的命令: 参考文献: 综述: 广义的 Debian 是指一个致力于创建自由操作系统的合作组织及其作品 , 由于 Debian 项目众多内核分支中以 Linux 宏内核为主, 而且 Debian 开发者 所创建的操作系统中绝大部分基础工具来自于 GNU 工程 , 因此 “Debian” 常指 Debian GNU/Linux.dpkg 是一个 Debian 的一个命令行工具, 它可以用来安装, 删除, 构建和管理 Debian 的软件包. : dpkg -I VIM 从 package.deb 包中提取信息, 显示一个 Deb 的说明 dpkg -I packagename.deb 列出 deb 包安装的所有文件清单, 显示一个包安装到系统里面的文件目录信息
6.6K30编辑于 2022-08-31 - 来自专栏FreeBuf
Windows取证分析 | 如何最大程度提升分析效率
接下来,我们看看如何使用MemProcFS来提升我们内存取证分析的效率。 MemProcFS可以允许我们在文件系统视图中一次性查看多个Volatility插件的输出结果。 需要注意的是,内存映像加载完成后,取证分析操作可能需要等待一段时间才能执行完毕。 、用户和操作系统信息等: 其中,最重要的就是Forensic目录了,其中包含了大量的内存取证信息: 这里我们可以看到系统针对各种组件创建的时间戳,比如说NTFS、网络、Web和进程等: findevil 总结 每一种安全分析和调查都有其独特的的目标,而深入分析取证文件所采用的方法也因实际情况而定。 希望本文能够给信息安全取证人员提供一些新的思路,最大程度地实现取证分析效率的提升。
60710编辑于 2024-06-11 数字取证与分析-----logs.pcapng
数据分析-logs 1.使用Wireshark查看并分析Windows 7桌面下的logs.pcapng数据包文件,通过分析数据包attack.pcapng找出恶意用户目录扫描的第9个文件,并将该文件名作为 Flag(形式:[robots.txt])提交: 通过分析:恶意用户为172.16.1.10 目录扫描文件,从站点去扫描具体的文件,指向http ip.src == 172.16.1.10 and http Flag:[star.php] 2.继续查看数据包文件logs.pacapng,分析出恶意用户扫描了哪些端口,并将全部的端口作为Flag(形式:[端口名1,端口名2,端口名3…,端口名n])从低到高提交 ,并将一句话密码作为Flag(形式:[一句话密码])提交: Flag:[007] 6.继续查看数据包文件logs.pacapng分析出恶意用户下载了什么文件,并将文件名及后缀作为Flag(形式:[文件名 .后缀名])提交: Flag:[flag.zip] 7.继续查看数据包文件logs.pacapng将恶意用户下载的文件里面的内容作为Flag(形式:[文件内容])提交: Flag:[flag{Find
22510编辑于 2025-10-23数据分析数字取证A.pcapng
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。 在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。 Ethereal是全世界最广泛的网络封包分析软件之一。 数据分析数字取证 任务环境说明: 渗透机场景:windows 7 渗透机用户名:administrator,密码:123456 通过分析数据包A.pcapng,找到黑客连接一句话木马的密码,将该密码作为 :192.168.10.10,192.168.10.30 通过分析数据包A.pcapng,找到域服务器的密码是多少,将该密码作为FLAG提交; Flag:163.com 通过分析数据包A.pcapng,
17610编辑于 2025-10-23- 来自专栏电子技术研习社
Linux笔记(7)| 获取系统信息
今天分享的是Linux中获取系统信息。主要介绍获取时间信息以及产生随机数。 一、linux中时间相关的系统调用 1、time函数 函数原型: time_t time(time_t *tloc); time能得到一个当前时间距离标准起点时间1970-01-0100:00:00 + 当然,这个和你的系统有关,首先得保证你的系统时间是没有问题的。 此外,还有mktime和asctime函数,其实功能都差不多,这里不再多说。 二、linux中使用随机数 随机数和伪随机数: (1)随机数是随机出现,没有任何规律的一组数列。 (2)真正的完全随机的数列是不存在的,只是一种理想情况。
2.2K40发布于 2020-07-10 - 来自专栏学习之路
【Linux系统#7】: 重定向(补充)
【Linux】基础 IO(文件描述符fd & 缓冲区 & 重定向) 1. 标准错误 -- 以C++中 cerr 为例 在 Linux 中,cerr 是 C++ 标准库中的一个输出流,用于输出错误消息。 在 Linux 中,标准错误和标准输出是两个不同的流,通常它们都连接到终端,但可以独立重定向。 重定向的工作机制 当你使用重定向符号 > 时,系统会将标准输出(stdout)重定向到指定的文件 标准错误(stderr)流的重定向不会自动发生,除非明确指定。 这意味着错误信息会被写入到 log.txt 中,而不是显示在终端 这个重定向方法常用于日志记录,确保无论程序输出是正常还是错误信息,都可以被记录到同一个文件中,便于后续查看和分析 3.
34600编辑于 2025-06-02 - 来自专栏全栈程序员必看
Linux系统安装tomcat7
Linux上如果尚未安装JDK,可以参考博文https://mp.csdn.net/postedit/80181422 1.下载Linux版tomcat7,官网即可下载 https://tomcat.apache.org /download-70.cgi 2.确定好在Linux上你tomcat要放的路径,我的是/usr/tomcat,可以在/usr目录下mkdir tomcat 3.将本地tomcat的文件上传到Linux 如果linux上没有这两个命令工具,则需要先安装。可以使用yum安装。运行命令yum install lrzsz。 4.安装完成后就可以使用rz命令上传本地的文件到linux平台。 5.选择本地文件的路径,选择文件,然后点添加按钮,然后点击确定即可上传 6.上传完成 7.解压 tar -zxvf apache-tomcat-7.0.86.tar.gz 解压完成目录下会多出一个文件夹
1.5K20编辑于 2022-09-01
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号