|
|
51CTO旗下网站
|
|
移动端

2.2.6 从映像的文件系统上收集证据(2)

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍从映像的文件系统上收集证据。

作者:李晨光来源:机械工业出版社|2014-11-26 20:07

2.2.6 从映像的文件系统上收集证据(2)

各种时间戳,包括文件状态的改变时间、文件的最后访问时间和最后修改时间mactime 报告可以将系统时间和文件系统的访问时间关联起来。如果知道入侵时间,便可以查阅mactime 报告,看看哪些系统文件被访问过。如果不知道时间,但是知道哪些文件被访问过,那么在访问时间报告上可以找到这些文件。遇到可疑的事情时,寻找按照时间顺序出现的文件访问,就可以还原非法活动的过程。

mactime 手册参见http://www.sleuthkit.org/sleuthkit/man/mactime.html

下面介绍的isl 工具,用来显示被删除的索引节点的原始资料,如图2-8 所示,同它功能类似的工具还有icat,用于取得特定的索引节点对应的文件的内容。

  1. #ils hdb5.image > ilsdump.txt  
  2. #cat ilsdump.txt  
  3. class|host|device|start_time  
  4. ils|test.inburst.com.cn|honeypot.hdb5.image|992134159  
  5. st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_dtime|st_mode|st_nlink|st_size|st_block0|st_block1  
  6. 23|f|0|0|984706608|984707090|984707105|984707105|100644|0|520333|307|308  
  7. 2038|f|1031|100|984707105|984707105|984707105|984707169|40755|0|0|8481|0  
  8. ……  
  9. #mkdir /tmp/bak  
  10. #mount /dev/sdb1 /tmp/bak  
  11. #dd if=/dev/sda of=/tmp/bak/disk1.img  
  12. 8388608+0 records in  
  13. 8388607+1 records out  
  14. 4294967295 bytes (4.3GB)copied,813.468 s,6.3MB/s 

对于图2-8 所示的一些参数,如gid、mtime、atime 和ctime 等参数,会在6.5 节中谈到。大家在看了以上应用以后。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

JSP应用开发详解(第三版)

本书结合JSP和Servlet的最新规范,从基本的语法和规范入手,以经验为后盾,以实用为目标,以实例为导向,以实践为指导,深入浅出地讲解了JS...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊