對可疑惡意**的取證需要在安全和可靠的環境中進行,應將可疑檔案放置在隔離環境或者沙箱系統網路中。
檢查惡意程式的準則:
建立環境基準
vmware建立模擬環境
分析之前,首先保留受害系統在可疑**執行前的快照
同時也需要執行乙個可對初始化時的系統狀態和**執行後的系統狀態進行比較的工具。
執行前的準備:系統和網路監控
需要監控被感染者系統的5個方面:檔案系統,系統呼叫,執行的程序,/proc目錄,以及網路行為(ids)
被動的系統和網路監控:tripwire工具
主動的系統和網路監控:部署工具捕獲系統呼叫,程序活動,檔案系統活動,以及網路活動
異常檢測和基於事件的入侵檢測系統:
執行可疑程式
程序監視:監控執行庫和系統呼叫
程序評估:監測正在執行的程式
監測網路連線和埠
監測開啟的檔案和網路套接字
探測/proc目錄
反混淆:從殼中提取樣本
再次分析檔案特徵:重新檢查未加殼樣本
環境調整
控制惡意樣本
操縱惡意樣本
探索並驗證樣本的功能和目的
事件重現:網路流量捕獲,檔案完整性和ids分析
對感染主機進行埠掃瞄和漏洞掃瞄
掃瞄rookit
附加探索:靜態技術
linux可疑程式追蹤
今天的主角是旁邊的伺服器,學姐的fedora。發生的情況和我的那台ubuntu類似。看來是一起被黑了 其實昨天已經發現學姐的系統出問題了,採取的措施和我那台一樣,iptables直接drop和可疑ip的連線。今天學姐說,又出現了大流量的上行,而且似乎是通過smb 乙個傳輸工具,可以不改變許可權 她擔...
AutoUpdate一款可疑更新程式分析報告
病毒名稱為autoupdate.exe,執行後無視窗。採用upx加殼,編寫語言為microsoft visual c 6.0。病毒名稱 autoupdate.exe 所屬家族 木馬 md5值 776da18e62b346bb7b9f3f9f9c4fc158 sha1值 d541e35caad8ddc...
Linux系統入侵痕跡分析取證
向伺服器運維人員詢問,系統的基本配置,安裝的發行版本,建立和使用的賬戶,所在網路拓撲的位置 網路配置情況,及其所承載的服務。root localhost uname a 省略.root localhost lsb version a 省略.root localhost head n 1 etc is...