|
|
|
|
移动端

2.2.10 检查可执行文件

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍检查可执行文件。

作者:李晨光来源:机械工业出版社|2014-11-26 20:16

有奖调研 | 1TB硬盘等你拿 AI+区块链的发展趋势及应用调研


2.2.10 检查可执行文件

临时目录/tmp 相当于整个系统的缓冲区。这里存放着各种信息,是攻击者经常光顾的地方,对于取证来说非常重要。在UNIX/Linux 中,把所有设备都放进/dev 目录,本地安装的系统有几千个设备专用文件,因此这个目录很复杂,有一些黑客就利用这种复杂性,使用这个目录隐藏木马。因此要仔细检查任何位于/dev 下的文件。本书案例六和案例十一讲解分别挖掘出/tmp 下隐藏后门和/dev 下藏匿蠕虫的安全事件。

上面所探讨的在Linux 系统中进行证据收集,方法是比较常见的,实际上在取证过程中,还可能要收集许多其他的证据,如电子邮件、加密文件等,但不论是什么证据,都应该记住:在证据收集的过程中,要先收集易消失、容易改变、容易被覆盖的证据。同时在取证过程中,使用可信任的命令是至关重要的。对于UNIX/Linux 系统的计算机取证,应尽量把一些重要命令(ps、ls、netstat 等)工具刻录到光盘上,以备不急之需。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

非常网管——网络服务

本书使用通俗易懂的语言,通过大量的实例,从实际应用的角度出发,全面系统地介绍了网络服务操作系统平台、电子邮件系统、Web站点和FTP站点...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊