取证注意事项

  • 优先只读访问:对磁盘镜像或分区使用只读挂载(示例见“磁盘与镜像”)
  • 保持时间一致:设置统一时区和本地化避免输出差异,例如 TZ=UTC LC_ALL=C
  • 先校验后操作:所有采集文件和镜像务必做哈希校验保存(见“哈希与完整性”)

常用命令:【kali】进入退出root命令

设置root密码:

sudo passwd root

进入root:

su root

退出root:

su 用户名

文件与元数据

  • pwd

    • 作用:明确当前工作目录,记录操作上下文
    • 示例:pwd

  • ls

    • 作用:浏览目录与隐藏文件,关注时间戳、权限、所有者
    • 示例:ls -al --time-style=full-iso

  • stat

    • 作用:查看文件详细时间戳(atime/mtime/ctime/birth)、权限、大小
    • 示例:stat -c '%n %s bytes | atime:%x mtime:%y ctime:%z' /path/to/file

  • file

    • 作用:识别文件类型与魔术字,用于发现伪装扩展名或嵌套数据
    • 示例:file suspicious.bin

  • find

    • 作用:全盘检索、时间线筛选、权限异常扫描(如 SUID)
    • 示例:find / -xdev -type f -newermt '2025-10-20'
      find / -xdev -perm -4000 -type f -ls

  • grep

    • 作用:模式匹配检索关键字、IOC、可疑路径或命令痕迹
    • 示例:grep -R --line-number --binary-files=without-match -i 'curl|wget|nc' /etc /var /home

内容提取与十六进制

  • strings

    • 作用:从二进制中抽取 ASCII/Unicode 字符串,快速发现域名、路径、密钥
    • 示例:strings -n 8 sample.bin | grep -i 'http\|token\|passwd'

  • xxd / hexdump

    • 作用:十六进制查看、偏移定位、签名验证
    • 示例:xxd -g 1 -l 512 disk.img
      hexdump -C suspicious.dat | head

  • cat / less / head / tail

    • 作用:查看文本与日志,tail -f用于实时监控
    • 示例:less /var/log/auth.log
      tail -n 200 /var/log/syslog

  • wc / sort / uniq / cut

    • 作用:日志与列表的统计、去重与字段裁剪,辅助分析大批量条目
    • 示例:cut -d' ' -f1 ip_list.txt | sort | uniq -c | sort -nr

  • diff

    • 作用:比较配置或文件差异,确认未授权变更
    • 示例:diff -u /etc/ssh/sshd_config /mnt/baseline/sshd_config

日志与账户活动

  • journalctl

    • 作用:systemd 日志查询,按时间与单元过滤
    • 示例:journalctl --since '2025-10-20' --until '2025-10-23' -u ssh

  • 常见日志路径

    • 作用:定位系统与安全日志(发行版有差异)
    • 示例:/var/log/auth.log
      /var/log/secure
      /var/log/syslog
      /var/log/messages

  • last / lastlog / who / w

    • 作用:登录历史、当前在线用户、会话活动
    • 示例:last -F | head
      lastlog
      w

  • history

    • 作用:Shell 历史命令(注意可能被清理或伪造)
    • 示例:cat ~/.bash_history

进程与网络

  • ps / top / htop

    • 作用:进程枚举、资源占用、可疑子进程分析
    • 示例:ps aux --sort=-%cpu | head

  • lsof

    • 作用:列出进程打开的文件/端口,确认数据外泄或持久化文件句柄
    • 示例:lsof -i -P -n
      lsof +L1(查找已删除但仍被占用的文件)

  • ss / netstat

    • 作用:网络连接与监听端口,识别可疑外联
    • 示例:ss -tulpen
      netstat -ano(旧系统)

  • ip / ifconfig

    • 作用:网卡与地址信息,检查异常路由或配置
    • 示例:ip addr
      ip route

  • iptables / nft

    • 作用:防火墙规则检查,识别临时后门转发
    • 示例:iptables -L -n -v
      nft list ruleset

磁盘与镜像(保全证据)

  • dd

    • 作用:位复制创建磁盘/分区镜像,保全原始证据
    • 示例:dd if=/dev/sda of=/evidence/disk.img bs=4M conv=noerror,sync status=progress

  • dcfldd / ddrescue(如已安装)

    • 作用:更适合取证的哈希与错误处理、坏盘救援
    • 示例:ddrescue -f -n /dev/sda /evidence/disk.img /evidence/mapfile

  • 只读挂载镜像

    • 作用:避免污染证据,便于浏览文件系统
    • 示例:mount -o ro,loop,noexec,nodev,nosuid disk.img /mnt/evidence

  • 分区与块设备

    • 作用:识别设备与分区布局
    • 示例:lsblk -f
      blkid
      fdisk -l

哈希与完整性

  • md5sum / sha1sum / sha256sum

    • 作用:生成与核对哈希,保证采集与分析文件的完整性
    • 示例:sha256sum /evidence/disk.img > /evidence/disk.img.sha256
      sha256sum -c /evidence/disk.img.sha256

  • shasum

    • 作用:多种哈希摘要接口(依发行版)
    • 示例:shasum -a 512 file.bin

权限与持久化

  • chmod / chown / chgrp

    • 作用:审查或修正权限(取证时通常只读,不建议修改现场)
    • 示例:ls -l /etc/cron.d 检查权限异常

  • SUID/SGID 检查

    • 作用:查找可能被滥用的提权二进制
    • 示例:find / -xdev -perm -4000 -type f -ls
      find / -xdev -perm -2000 -type f -ls

  • Cron 与 systemd 持久化

    • 作用:发现后门任务或自启动服务
    • 示例:ls -al /etc/cron.* /var/spool/cron
      ls -al /etc/systemd/system
      systemctl list-timers

  • SSH 授权与密钥

    • 作用:确认未授权公钥或配置变更
    • 示例:cat /root/.ssh/authorized_keys
      grep -R 'PermitRootLogin' /etc/ssh/sshd_config

系统信息与环境

  • uname / hostnamectl

    • 作用:系统内核、主机名、平台指纹
    • 示例:uname -a
      hostnamectl

  • date

    • 作用:确认系统时间与时区(建议统一为 UTC)
    • 示例:TZ=UTC date -Iseconds

  • which / whereis / locate

    • 作用:定位可执行文件与资源路径,发现替换或影子副本
    • 示例:which ssh
      whereis python
      updatedb && locate suspicious

  • df / du

    • 作用:磁盘使用与异常增长定位
    • 示例:df -h
      du -h -d1 /var | sort -hr | head

压缩与归档

  • tar / gzip / bzip2 / xz

    • 作用:打包证据与日志,保持目录结构与时间戳(注意只读源)
    • 示例:tar -c --numeric-owner --xattrs --acls -zf logs.tar.gz /var/log

  • zip / 7z(如已安装)

    • 作用:跨平台归档与加密
    • 示例:7z a -t7z -mhe=on -p'StrongPass' evidence.7z /evidence

文本处理(现场快速分析)

  • awk

    • 作用:结构化提取字段、做轻量聚合
    • 示例:awk '{print $1}' /var/log/auth.log | sort | uniq -c | sort -nr

  • sed

    • 作用:行级替换与过滤,清洗日志内容
    • 示例:sed -n 's/Failed password/FAILED/p' /var/log/auth.log

证据传输与记录

  • scp / rsync

    • 作用:安全传输采集材料,与校验结合
    • 示例:rsync -av --progress /evidence user@host:/secure/evidence

  • 命令输出记录

    • 作用:保存取证过程与链路,便于复核
    • 示例:script -t 2>timing.log -a session.log(记录交互会话)

快速清单(可直接复制执行的实用片段)

  • 只读查看系统关键信息
TZ=UTC LC_ALL=C uname -a
TZ=UTC LC_ALL=C date -Iseconds
ls -al --time-style=full-iso /etc /var/log /home
  • 登录与可疑命令痕迹
last -F | head
cat ~/.bash_history | tail -n 50
grep -R -n -i 'curl\|wget\|nc\|ssh' /etc /var /home
  • 网络与进程基线
ss -tulpen
ps aux --sort=-%cpu | head
lsof -i -P -n
  • SUID 与持久化检查
find / -xdev -perm -4000 -type f -ls
ls -al /etc/cron.* /var/spool/cron
ls -al /etc/systemd/system
  • 日志与关键信息提取
journalctl --since '2025-10-20' --until '2025-10-23' -u ssh
tail -n 200 /var/log/auth.log
awk '{print $1}' /var/log/auth.log | sort | uniq -c | sort -nr
  • 镜像保全与校验
dd if=/dev/sda of=/evidence/disk.img bs=4M conv=noerror,sync status=progress
sha256sum /evidence/disk.img > /evidence/disk.img.sha256
mount -o ro,loop,noexec,nodev,nosuid /evidence/disk.img /mnt/evidence

Linux 忘记密码解决方法

alt text

Linux 文件与目录管理

alt text