linux取證之可疑程式分析

2021-08-21 19:48:34 字數 680 閱讀 7327

對可疑惡意**的取證需要在安全和可靠的環境中進行,應將可疑檔案放置在隔離環境或者沙箱系統網路中。

檢查惡意程式的準則:

建立環境基準

vmware建立模擬環境

分析之前,首先保留受害系統在可疑**執行前的快照

同時也需要執行乙個可對初始化時的系統狀態和**執行後的系統狀態進行比較的工具。

執行前的準備:系統和網路監控

需要監控被感染者系統的5個方面:檔案系統,系統呼叫,執行的程序,/proc目錄,以及網路行為(ids)

被動的系統和網路監控:tripwire工具

主動的系統和網路監控:部署工具捕獲系統呼叫,程序活動,檔案系統活動,以及網路活動

異常檢測和基於事件的入侵檢測系統:

執行可疑程式

程序監視:監控執行庫和系統呼叫

程序評估:監測正在執行的程式

監測網路連線和埠

監測開啟的檔案和網路套接字

探測/proc目錄

反混淆:從殼中提取樣本

再次分析檔案特徵:重新檢查未加殼樣本

環境調整

控制惡意樣本

操縱惡意樣本

探索並驗證樣本的功能和目的

事件重現:網路流量捕獲,檔案完整性和ids分析

對感染主機進行埠掃瞄和漏洞掃瞄

掃瞄rookit

附加探索:靜態技術

linux可疑程式追蹤

今天的主角是旁邊的伺服器,學姐的fedora。發生的情況和我的那台ubuntu類似。看來是一起被黑了 其實昨天已經發現學姐的系統出問題了,採取的措施和我那台一樣,iptables直接drop和可疑ip的連線。今天學姐說,又出現了大流量的上行,而且似乎是通過smb 乙個傳輸工具,可以不改變許可權 她擔...

AutoUpdate一款可疑更新程式分析報告

病毒名稱為autoupdate.exe,執行後無視窗。採用upx加殼,編寫語言為microsoft visual c 6.0。病毒名稱 autoupdate.exe 所屬家族 木馬 md5值 776da18e62b346bb7b9f3f9f9c4fc158 sha1值 d541e35caad8ddc...

Linux系統入侵痕跡分析取證

向伺服器運維人員詢問,系統的基本配置,安裝的發行版本,建立和使用的賬戶,所在網路拓撲的位置 網路配置情況,及其所承載的服務。root localhost uname a 省略.root localhost lsb version a 省略.root localhost head n 1 etc is...