日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

UNIX應(yīng)急響應(yīng)攻略

云知道

應(yīng)急響應(yīng)有一半是非技術(shù)的內(nèi)容 , 制定一個(gè)合理的響應(yīng)策略是至關(guān)重要的!
記?。含F(xiàn)在開始對受害系統(tǒng)的每一步操作都可能改變已存在的證據(jù)或是導(dǎo)致敏感信息的丟失!
{{初始響應(yīng)}}
目標(biāo):在進(jìn)行司法鑒定復(fù)制之前獲得系統(tǒng)中的易失數(shù)據(jù) , 初步確定突發(fā)事件概況 。
==============
創(chuàng)建響應(yīng)工具包
==============
我們調(diào)查系統(tǒng) , 必須以高度可信賴的程序執(zhí)行命令 , 再加上備份與修復(fù) , 創(chuàng)建一個(gè)工具包是很有必要的 。
即使在非Unix/Linux系統(tǒng)上 , 創(chuàng)建工具包也應(yīng)該作為響應(yīng)的第一步 。
首先 , 我們需要在對應(yīng)體系結(jié)構(gòu)的系統(tǒng)上編譯響應(yīng)期間需要的工具 , 且編譯程序需要考慮系統(tǒng)兼容的問題 。
通常我們需要如下的工具:
ls dd des file pkginfo
find icat lsof md5sum nc
netstat pcat perl ps strace
strings truss df vi
cat kstat ifconfig chkrootkit
more gzip last w rm
script bash modinfo lsmod
讀者可根據(jù)自己的需要自行添加 , 但是一個(gè)工具包通常只能用來完成對某一特定平臺的工作 ,
把對多個(gè)平臺編譯的工具放進(jìn)同一個(gè)工具包反而會顯得紊亂 。
在Linux上創(chuàng)建響應(yīng)工具包時(shí) , 可以用gcc的–static參數(shù)編譯源代碼 , 或者用ldd檢查動(dòng)態(tài)連接庫 ,
在響應(yīng)工具包存儲介質(zhì)上建立庫文件目錄 , 并拷貝所有工具需要的動(dòng)態(tài)連接庫的副本 , 最后設(shè)置環(huán)境變量 。
這個(gè)過程有點(diǎn)類似于創(chuàng)建一個(gè)Linux的優(yōu)盤啟動(dòng)盤 。
============
獲取易失數(shù)據(jù)
============
易失的數(shù)據(jù)包括:當(dāng)前打開的套接字 , 進(jìn)程列表 , RAM內(nèi)容 , 非鏈接文件的位置 。
【UNIX應(yīng)急響應(yīng)攻略】*unix特性: unix允許進(jìn)程正在執(zhí)行時(shí)將其刪除!
非鏈接文件是訪問該文件的進(jìn)程中止時(shí)被標(biāo)記為刪除的文件 。當(dāng)系統(tǒng)關(guān)閉時(shí)(正常關(guān)機(jī)或突然斷電非正常關(guān)機(jī)) ,
標(biāo)記為刪除的文件都將消失 。因此在找到被標(biāo)記為刪除的文件之前不能關(guān)機(jī)!
=================
執(zhí)行可信賴的shell
=================
使用我們自己準(zhǔn)備的響應(yīng)工具包 , 裝載該介質(zhì)的文件系統(tǒng) ,
mount –t auto /dev/sda1 /mnt/usb 或
mount –t iso9660 /dev/cdrom /mnt/cdrom
按下Ctrl Alt F1~F6,從控制臺以root身份登陸 。
請一定要區(qū)分原環(huán)境變量中的命令和當(dāng)前響應(yīng)工具包的相同名字的命令集 , 防止?jié)撛诘亩M(jìn)制特洛伊木馬攻擊 。
==================
查看登陸系統(tǒng)的用戶
==================
[root@ay4z3ro foo]# w
19:50:48 up 43 min, 2 users, load average: 0.00, 0.00, 0.00
USER TTY LOGIN@ IDLE JCPU PCPU WHAT
root :0 19:08 ?xdm? 11.10s 0.43s gnome-session
root pts/0 19:08 1.00s 0.21s 0.01s w
輸出標(biāo)題行顯示了當(dāng)前系統(tǒng)時(shí)間 , 該系統(tǒng)已運(yùn)行的時(shí)間 , 當(dāng)前登陸用戶數(shù) , 最近1分鐘 , 5分鐘和15分鐘內(nèi)的平均系統(tǒng)負(fù)載 。
USER字段顯示當(dāng)前登陸的用戶名 。TTY字段顯示了會話的控制終端 , tty表示從控制臺登陸 , pts/typ則可以表示通過一個(gè)網(wǎng)絡(luò)連接 ,
因?yàn)閄是個(gè)C/S模式的應(yīng)用程序 , 所以我在GNOME下開的shell窗口顯示為pts 。如果不從本地登陸 , 輸出中還有FROM字段,
表示建立會話的源地址的域名或IP 。LOGIN@顯示該連接的本地開始時(shí)間 。IDLE字段顯示了自上一個(gè)進(jìn)程運(yùn)行以來的時(shí)間長度 。
JCPU顯示與tty或pts關(guān)聯(lián)的全部進(jìn)程所使用的時(shí)間 。PCPU字段顯示了WHAT列中當(dāng)前進(jìn)程所使用的CPU時(shí)間 。WHAT列顯示用戶當(dāng)前運(yùn)行的進(jìn)程 。
================
查看系統(tǒng)進(jìn)程列表
================
Solaris中使用ps –eaf,而在FreeBSD和Linux中則使用ps –aux.

推薦閱讀