|
|
|
|
移动端

2.2.3 收集/proc 系统中的信息

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍收集/proc 系统中的信息。

作者:李晨光来源:机械工业出版社|2014-11-26 19:54

有奖调研 | 1TB硬盘等你拿 AI+区块链的发展趋势及应用调研


2.2.3 收集/proc 系统中的信息

/proc 最初主要应用在网络方面,后来为了简化系统管理和调试,逐渐把它应用到其他方面。现在,/proc 已经成为Linux 内核中使用最广泛和最成功的特性之一。/proc 在内存中建立虚拟的文件节点,用户可以直接使用文件系统中的标准系统调用去访问/proc 下的信息,当用户发出访问/proc 下的文件请求时,再由系统动态生成。所以/proc 就是一个虚拟的文件系统,它通过文件系统的接口实现,当系统重启或电源关闭时这个文件系统的数据将消失。/proc 还为/dev/kmem 提供一个结构化的接口,便于系统诊断并查看每一个正在运行的可执行文件的环境。内存中的每个进程在/proc 中都有一个目录,按它的PID 来命名。如果在一条ps 的输出中看不见的进程出现在/proc 中,这就可能是ps 已被特洛伊化了(被篡改并加了危险程序),所以我们要熟悉/proc,以便应对攻击者对proc 下的文件做手脚。/proc 下有几个重要文件和目录需要大家了解,见表2-1。

表2-1 重要的proc 文件系统文件和目录


/proc 中的进程信息是重要证据,该如何收信呢?

使用下面两条命令可以收集proc 进程信息:

  1. #nc -l –p 10006 >proc_log  
  2. #ls -d /proc[1-9] * | nc 192.168.0.2 10006 -w 3 

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

SQL Server 2005奥秘

本书是作者深入研究SQL Server 2005数据库体系结构和内部机制的经验总结。 全书不拘泥于具体的管理操作,而是通过对存储的数据和日志文件...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊