|
|
|
|
移动端

2.4.1 用光盘系统取证

《UNIX/Linux网络日志分析与流量监控》第2章UNIX/Linux 系统取证,本章介绍了大量UNIX 平台下计算机取证的方法,用实例展示了硬盘数据收集和恢复技巧,并用两个案例展示了如何灵活运用各种工具来处理网络故障。本节为大家介绍用光盘系统取证。

作者:李晨光来源:机械工业出版社|2014-11-26 20:20

年前最后一场技术盛宴 | 1月27日与京东、日志易技术大咖畅聊智能化运维发展趋势!


2.4 集成取证工具箱介绍

在2.3 节中提到的TCT 和Forensix 工具对普通Linux 用户来说不太容易安装,本节将为大家 介绍几款应用简便的集成取证工具。

2.4.1 用光盘系统取证

十多年前就出现了一张软盘的操作系统(比如MenuetOS、TriangleOS 等),由于这种系统自身体积很小,占用系统资源少,最关键的是它本身是非常“干净”的系统,在解决故障分析及取证时非常有用,随后被扩展成为光盘操作系统和U 盘迷你操作系统,比如基于Knoppix Linux、Xubuntu、Lubuntu Linux 等发行版的若干版本的LiveCD。安全专家们将TheCoroner's Toolkit(TCT)、Sleuth Kit、Autopsy Forensic Browser,以及FLAG(Forensics LogAnalysis GUI)、各种WiFi 嗅探分析工具等流行的开源软件植入其中,就成了现在的安全取证工具包,比较流行的有BackTrack,DEFT 等LiveCD。维护过Windows 系统的朋友,一定知道深山红叶袖珍等PE 系统。和它类似的是DEFT 工具箱。DEFT(数字证据及取证工具箱)是一份定制的Ubuntu 自启动运行Linux 光盘发行版,它包含了最佳的硬件检测,以及一些专用于应急响应和计算机取证的最好的开源应用软件。

下面介绍几个常用集成取证工具:DEFT Live CD、BackTrack Linux 以及HelixLiveCD。三者都叫LiveCD,它们并非像其他系统一样为安装在硬盘上而生。刻录在光盘上的主要好处是不会被修改,但带来的不足是补丁、插件及漏洞库不能及时更新,与此同时开发者推出了速度更快的U 盘启动版本。

(1)DEFT Linux 发行版是一款专注于事件响应和计算机取证的发行版,易于使用,硬件检测极佳,它刚刚发布了最新的DEFT Linux 8.2。DEFT Linux 基于Lubuntu,Kernel2.6.38,DEFT Extra 3.0,它利用Wine 在Linux 中运行Windows 上的免费计算机取证工具。主要的计算机取证工具包括:Aleuthkit、Autopsy。

网址:http://www.deftlinux.net/

(2)BackTrack Linux,它是世界领先的渗透测试和信息安全审计发行版本。有上百种预先安装好的工具软件,并能完美运行。BackTrack5 R3 提供了一个强大的渗透测试平台,从Web检测到RFID 审查,都可由BackTrack来完成。

网址:http://www.backtrack-linux.org/

(3)Helix Live CD的功能比以上两个系统更强大,但只有商业版。

网址:http://www.e-fense.com/

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

基于Project2003的项目管理

本书的上一版本《基于Project 2002的项目管理》上市以后得到了读者的欢迎,为了更好地将Project 2003新版本的应用介绍给读者,我们重新进行...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊