【取证分析】Linux信息搜集

## 1、取证工具

- LiME 内存获取工具
- volatility 内存分析工具

## 2、机器信息收集

#sysinfo  16

# # 查看当前登录用户
who > who.txt
# # 显示目前登入系统的用户信息
w > w.txt
# # 显示时间
date > date.txt
# # 查看CPU信息
cat /proc/cpuinfo > cpuinfo.txt
# # 查询系统版本
lsb_release -a > lsb_release.txt
# # 当前系统相关信息(内核版本号、硬件架构、主机名称和操作系统类型等)
uname -a > uname.txt
# # Linux查看当前操作系统版本信息
cat /proc/version >  version.txt
# # 以批处理模式显示进程信息，更新1次后不再更新
top -b -n 1 > top.txt
# # 查看系统负载
uptime > uptime.txt
# # MB显示当前内存的使用
free -m > free_m.txt
# # 文件系统的磁盘空间占用情况
df -lhT > df_lhT.txt
# #  显示分区类型
fdisk -l > fdisk_l.txt
# # 挂载设备情况
mount > mount.txt
# # 显示系统中已存在的环境变量
env > env.txt
# # 查看自定义环境变量
cat ~/.bashrc > bashrc.txt
# # 读取内核信息
cat /proc/meminfo > meminfo.txt

#account check  7

# # 系统用户信息
cat /etc/passwd > etc_passwd.txt
# # 密文信息
cat /etc/shadow > etc_shadow.txt
# # 查看用户文件状态
stat /etc/passwd > etc_passwd_stat.txt
stat /etc/shadow > etc_shadow_stat.txt
# # 查看特权用户
awk -F: ‘$3==0 {print $1}‘ /etc/passwd > etc_passwd_special_usr.txt
grep “0” /etc/passwd > etc_passwd_new_user.txt
awk -F: ‘length($2)==0 {print $1}‘ /etc/shadow > etc_shadow_no_password_user.txt

#process check  4
# # 全格式显示所有进程
ps -elf > ps_elf.txt
# # 显示所有进程，包括其他用户
ps aux > ps_aux.txt
ps -ef | grep inted  >  ps_inted.txt
ls /proc |sort -n|uniq > proc.txt

#file check 11
# # 根据uid、执行权限来查找
find / -uid 0 -perm -4000 > uid0_perm4000.txt
# # 根据文件大小
find / -size +10000k > size10000.txt
find / -name "..." > 3point_name_file.txt
find / -name ".. " > 2point_name_file.txt
find / -name ". " > 1point_name_file.txt
find / -name " " > blankspace_name_file.txt
# # 查看隐藏文件
find / -name ".*" > hide_file.txt
find / -name "*" > all_file.txt
find / -name ".rhosts" > rhosts.txt
find / -name ".forward" > forward.txt
# # 列出当前系统打开文件
lsof > lsof.txt

#integrity check 5
# # 查询指定文件来自于哪个安装包
rpm -qf /bin/ls > rpm_ls.txt
rpm -Vf /bin/ls >> rpm_ls.txt
rpm -qf /bin/netstat > rpm_netstat.txt
rpm -Vf /bin/netstat >> rpm_netstat.txt
rpm -qf /bin/login > rpm_login.txt
rpm -Vf /bin/login >> rpm_login.txt
rpm -qf /bin/find > rpm_find.txt
rpm -Vf /bin/find >> rpm_find.txt
rpm -qf /usr/bin/top > rpm_top.txt
rpm -Vf /usr/bin/top >> rpm_top.txt

#network check 6
# # 查看路由表条目
ip link | grep PROMISC > ip_promisc.txt
# # 显示所有联网文件
lsof -i > lsof_i.txt
# # 显示TCP、UDP传输协议、Socket程序名称
netstat -ntulpa >  netstat_ntulpa.txt
# # 显示正在使用Socket的程序
netstat -anpo > netstat_anpo.txt
# # 显示arp缓冲区的所有条目
arp -a > arp_a.txt
# # 显示全部接口信息
ifconfig -a > ifconfig_a.txt

#schedule check 5
# # 显示root的crontab文件内容
crontab -l -u root > root_crontab.txt
crontab -l -u coremail > coremail_crontab.txt
# # 计划任务
cat /etc/crontab > etc_crontab.txt
# # 列出计划任务的脚本
ls /etc/cron.* -a > etc_cron.txt
# # 查看定时任务
ls /var/spool/cron/ -a > var_spool_cron.txt

#rc check 4
# # 启动项顺序
cat /etc/rc.d/rc.local > rc_local.txt
# # 该目录下存在各个运行级别的脚本文件
ls /etc/rc.d -a > rc_d.txt
ls /etc/rc*.d -a > rcV_d.txt
# # 搜索执行权限4000的普通类型文件
find / -type f -perm 4000 > type_f_perm_4000.txt

#log check 11
# # 日志进程
ps -ef | grep syslog > syslog.txt
# # 列出日志目录
ls -al /var/log > var_log.txt
# # 列出日志目录状态
stat /var/log/wtmp > stat_wtmp.txt
stat /var/run/utmp > stat_utmp.txt
cat /var/run/utmp > utmp.txt
cat /etc/rsyslog.conf > rsyslog_conf.txt
cat /etc/init.d/rsyslog > rsyslog.txt
# # 列出登入系统失败的用户相关信息
lastb > lastb.txt
# # :列出目前与过去登入系统的用户相关信息
last > last.txt
# # Shell历史命令记录文件
cat ~/.bash_history > history.txt
ls -l ~/.bash_history > bash_history.txt

#inetd sheck 1
# # 扩展互联网服务守护进程配置
cat /etc/xinetd.conf > xinetd_config.txt

#kernel check 2
# # 加载的模块信息
lsmod > lsmod.txt
find / -name core -exec ls -l {} \; > core_file.txt

#service check 2
# # 查看开机启动服务
chkconfig --list > chkconfig_lists.txt
# # 查看本地rpc进程
rpcinfo -p > rpcinfo.txt

#files get 5
# # 打包守护进程文件
tar -zcvf xinetd.tar.gz /etc/xinetd.d/*
# # 打包日志文件
tar -zcvf log.tar.gz /var/log/*
# # 打包自启动脚本
tar -zcvf rcd.tar.gz /etc/rc.d/*
# # 打包计划任务
tar -zcvf cron.tar.gz /etc/cron.*
tar -zcvf at.tar.gz /var/spool/at/*

原文地址：https://www.cnblogs.com/17bdw/p/9074331.html

时间： 2024-11-06 11:38:27

【取证分析】Linux信息搜集的相关文章

kali linux 信息搜集之常用的几个软件常用命令

nmap nmap + ip 地址扫描主机开放端口 nmap -p 1-x + ip 地址扫描特定主机端口 nmap -v -A -sV +ip地址详细扫描主机 nmap - p 端口 +ip 地址 192.168.1.* 集群内特定ip nmap -O 系统测试 nmap -sV +ip 服务上运行的端口 znmap 图形化的 pOf指纹别工具可以扫描抓包文件 recon -ng 侦察使用侦察/主机/枚举/ HTTP /网络/ xssed) 目标域使用众多模块 Netdiscov

Exp6 信息搜集与漏洞扫描 20154301仉鑫烨

20154301 Exp6 信息搜集与漏洞扫描仉鑫烨一. 实践内容各种搜索技巧的应用 DNS IP注册信息的查询基本的扫描技术:主机发现.端口扫描.OS及服务版本探测.具体服务的查点漏洞扫描:会扫,会看报告,会查漏洞说明,会修补漏洞二. 基础问题哪些组织负责DNS,IP的管理? 答:①全球根服务器均由美国政府授权的ICANN统一管理,负责全球的域名根服务器.DNS和IP地址管理.②全球根域名服务器:绝大多数在欧洲和北美(全球13台,用A~M编号),中国仅拥有镜像服务器(备份).③全

20155236范晨歌_exp6信息搜集与漏洞扫描

20155236范晨歌_exp6信息搜集与漏洞扫描目录实践目标信息搜集漏洞扫描总结实践目标 (1)各种搜索技巧的应用 (2)DNS IP注册信息的查询 (3)基本的扫描技术:主机发现.端口扫描.OS及服务版本探测.具体服务的查点 (4)漏洞扫描:会扫,会看报告,会查漏洞说明,会修补漏洞信息搜集实验内容查询一个网站的注册信息,可以看到其拥有的ip段.注册地址.注册人.联系方式.所属国家城市和地理信息:追踪路由探测数据包的传递过程,并利用ip定位查看路由地理信息:利用搜索引擎精确获

20155320 Exp6 信息搜集与漏洞扫描

20155320 Exp6 信息搜集与漏洞扫描 [实验后回答问题] (1)哪些组织负责DNS,IP的管理. (2)什么是3R信息. (3)评价下扫描结果的准确性. [实验过程] 1.信息搜集通过DNS和IP挖掘目标网站的信息 whois用来进行域名注册信息查询.就以搜狗搜索为例,输入whois sogou.com可查询到3R注册信息,非常全面,简直啥都出来了. whois查询时最好不要加www等前缀,因为注册域名时通常会注册一个上层域名,子域名由自身的域名服务器管理,在whois数据库中可能查

20155219付颖卓《网络对抗》Exp6 信息搜集与漏洞扫描

基础问题回答 1.哪些组织负责DNS,IP的管理? 全球根服务器均由美国政府授权的ICANN统一管理,负责全球的域名根服务器.DNS和IP地址管理. 全球根域名服务器:绝大多数在欧洲和北美(全球13台,用A~M编号),中国仅拥有镜像服务器(备份). ICANN 理事会是ICANN 的核心权利机构,它设立三个支持组织, 每个支持组织向ICANN董事会委派三位董事.这三个支持组织是: 地址支持组织(ASO)负责IP地址系统的管理. 域名支持组织(DNSO)负责互联网上的域名系统(DNS)的管理. 协

20155330 《网络对抗》 Exp6 信息搜集与漏洞扫描

20155330 <网络对抗> Exp6 信息搜集与漏洞扫描基础问题回答哪些组织负责DNS,IP的管理? 互联网名称与数字地址分配机构(The Internet Corporation for Assigne- Names an- Numbers,ICANN)拥有承担域名系统管理,IP地址分配,协议参数配置,以及主服务器系统管理等职能. 负责协调管理DNS各技术要素以确保普遍可解析性,使所有的互联网用户都能够找到有效的地址. 设立三个支持组织: 地址支持组织(ASO):负责IP地址系统的管

20155308《网络对抗》Exp6 信息搜集与漏洞扫描

20155308<网络对抗>Exp6 信息搜集与漏洞扫描原理与实践说明实践内容本实践的目标是掌握信息搜集的最基础技能.具体有: 各种搜索技巧的应用 DNS IP注册信息的查询基本的扫描技术:主机发现.端口扫描.OS及服务版本探测.具体服务的查点漏洞扫描:会扫,会看报告,会查漏洞说明,会修补漏洞基础问题哪些组织负责DNS,IP的管理? ICANN是统一整个互联网名称与数字地址分配的国际组织,旗下有三个支持组织,其中ASO负责IP地址系统的管理,DNSO负责互联网上的域名系统的管理,

【取证分析】The Art of Memory Forensics-Windows取证(Virut样本取证)

1.前言 The Art of Memory Forensics真是一本很棒的书籍,其中使用volatility对内存进行分析的描述可以辅助我们对更高级类的木马进行分析和取证,这里对书中的命令进行了笔记记录. 2.volatility-Windows命令与分析Linux镜像相似,而Windows系统的profile都是volatility自带的,无需再制作. 选择元数据 imageinfo 查看正在分析的内存样本的摘要信息.显示主机所使用的操作系统版本.服务包以及硬件结构(32位或64位).页

2018-2019-2 20165336 《网络对抗技术》 Exp6 信息搜集与漏洞扫描

2018-2019-2 20165336 <网络对抗技术> Exp6 信息搜集与漏洞扫描一.原理与实践说明 1.实践内容本实践的目标是掌握信息搜集的最基础技能.具体有: 各种搜索技巧的应用 DNS IP注册信息的查询基本的扫描技术:主机发现.端口扫描.OS及服务版本探测.具体服务的查点漏洞扫描:会扫,会看报告,会查漏洞说明,会修补漏洞 2.基础问题 (1)哪些组织负责DNS,IP的管理? "互联网名称与数字地址分配机构"(The Internet Corporati