|
|
|
|
移动端

2.2.1 收集正在运行的进程

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍收集正在运行的进程。

作者:李晨光来源:机械工业出版社|2014-11-26 19:46

开发者盛宴来袭!7月28日51CTO首届开发者大赛决赛带来技术创新分享

2.2 重要信息收集

在UNIX/Linux 系统取证中,及时收集服务器硬盘的信息至关重要。下面将讨论几种常见系统进程调用及镜像文件获取方法。

2.2.1 收集正在运行的进程

在UNIX/Linux 取证时很多系统和网络信息转瞬即逝,如何准确地捕捉到这些蛛丝马迹呢?网络安全人员需要具有敏锐的观察力和丰富的经验。下面列举几个常用的方法。首先,在待收集信息主机上启动一个监听进程:

  1. #nc -l -p 10005 > ps_lsof_log 

执行完这条命令后回车,系统打开10005 端口等待接收。然后在被调查的另一主机上运行相应的ps 调用:

  1. #(ps aux; ps -auxeww; lsof)|nc 192.168.150.100 10005 -w 3 

几秒钟后回到命令行提示符。需要注意的是这两条命令成对出现,发送完数据后会关闭端口,如果你第二次没有开启监听端口,继续发送ps 数据就会出现连接访问拒绝。

  1. #(ps aux;ps auxeww;losf) | nc 192.168.150.109 10005 –w 3  
  2. (UNKNOWN) [192.168.150.109] 10005 (?) : Conection refused 

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Java程序员面试宝典

本书是程序员面试宝典系列中的一册,也是上一本《程序员面试宝典》的姊妹书。本书对程序设计面试中Java常见的题型和常用解答技巧进行了介绍...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊