Linux 시스템 인증
4944 단어 증 거 를 찾다
date ifconfig -a ps -aux netstat -an 프로그램 이름과 PID 를 열 린 포트 에 표시 할 수도 있 습 니 다. -p netstat -anp 또는 who w history 피해자 기기 의 하 드 디스크 데 이 터 를 가 져 올 때 하 드 디스크 의 모든 데 이 터 를 가 져 와 야 합 니 다. 예 를 들 어 분 배 된 공간 에서 의 데이터, 분 배 된 공간 에서 의 데이터, 유 휴 공간 에서 의 데 이 터 를 포함 합 니 다.오직 이렇게 해야만 삭 제 된 모든 파일 을 복구 할 수 있다.
인증 을 받 기 전에 하 드 디스크 의 모든 데 이 터 를 인증 이미지 로 백업 해 야 합 니 다. 다음 인증 분석 작업 도 원본 디스크 가 아 닌 인증 이미지 에서 진 행 될 것 입 니 다.
일반적으로 하 드 디스크 의 데 이 터 를 얻 기 위해 세 가지 방법 을 사용 할 수 있다.
주: DST 는 목표 판 임 을 나타 낸다.SRC 는 피해자 하드디스크, 원본 디스크 라 고 밝 혔 다.
① 하 드 디스크 를 기기 에 삽입 하고 마 운 트 하기
ls② 원본 데이터 의 hash 값 을 계산 하고 결 과 를 기록 합 니 다 mount /dev/DST /mnt③ 원본 디스크 의 데이터 내용 을 모두 대상 디스크 에 복사 하여 하나의 파일 로 저장 md5sum /dev/SRC④ 대상 디스크 에 있 는 파일 의 hash 값 계산 dd if=/dev/SRC bs=2048 of=/mnt/disk.dd⑤ 원본 디스크 의 hash 값 이 대상 디스크 의 hash 값 과 같 으 면 복사 에 성공 한 것 을 의미한다.만약 같 지 않다 면, 다시 복사 해 야 한다.2. netcat 도 구 를 통 해 네트워크 전송 을 통 해 데 이 터 를 가 져 옵 니 다.
① 피해자 호스트 에서 원본 디스크 의 hash 값 계산
md5sum /mnt/disk.dd② 인증 자의 기계 에서 netcat 서 비 스 를 시작 하고 감청 md5sum /dev/SRC 주 를 엽 니 다. - l 은 감청 모드 라 고 표시 합 니 다. 감청 자가 데 이 터 를 받 은 후에 소켓 인 터 페 이 스 를 닫 고 감청 을 중단 합 니 다.데 이 터 를 받 은 후에 계속 감청 하려 면 파라미터 - L 을 선택 할 수 있 습 니 다.파라미터 - p 감청 포트 지정; >출력 방향 변경③ 피해자 호스트 에서 명령 을 수행 하고 원본 디스크 내용 을 인증 자 기기 의 한 파일 에 복사 합 니 다
nc -l -p 9000 >> disk.dd. 주석: 인증 자 기기 의 IP 주 소 를 10.10.10.1 이 라 고 가정 합 니 다.④ 감정 원 의 기계 에서 파일 의 hash 값 을 계산한다
dd if=/dev/SRC bs=2048 | nc -w 3 10.10.10.1 9000⑤ 원본 디스크 의 hash 값 이 대상 디스크 의 hash 값 과 같 으 면 복사 에 성공 한 것 을 의미한다.만약 같 지 않다 면, 다시 복사 해 야 한다.주: dd 백업 을 진행 할 때 먼저 소독 처 리 를 해 야 합 니 다. 즉, 대상 디스크 의 모든 내용 을 비우 고 이미지 의 완전 성과 정확성 을 확보 해 야 합 니 다.
md5sum disk.dd이미지 파일 분해현재 대부분의 인증 도구 분석 대상 은 하 드 디스크 의 한 파 티 션 이지 전체 하 드 디스크 가 아니다.따라서 포 렌 식 이미 지 를 얻 은 후에 도 14599 ℃ 에서 하나의 파 티 션 을 분리 시 키 고 분리 하기 전에 각 파 티 션 의 위치 와 길 이 를 알 아야 합 니 다.
①
dd if=/dev/zero of=/dev/DST 명령 을 사용 하여 각 파 티 션 의 위치 와 길 이 를 봅 니 다 fdisk 주: - l 은 각 파 티 션 의 위치 와 길 이 를 표시 하고 - u 는 위치 와 길 이 를 표시 하 는 단 위 는 삭제 입 니 다.②
fdisk -lu disk.dd 명령 을 사용 하여 분리 dddd if=disk.dd skip= count= of=hda1.dd …… 복사 한 디스크 이미 지 를 검증 분석 하 다.
① 각 파 티 션 의 이미 지 를 다른 디 렉 터 리 에 읽 기 전용 으로 마 운 트 합 니 다.
dd if=disk.dd skip= count= of=hda2.dd mount -o ro,loop,nodev,noexec /dev/hda1.dd /home/hda1② 숨겨 진 파일 찾기mount -o ro,loop,nodev,noexec /dev/hda2.dd /home/hda2 관련 디 렉 터 리 의 일반 파일 을 찾 을 수 있 습 니 다. 예 를 들 어 find -type f find /dev -type f -print 를 붙 이 는 것 입 니 다. 리 눅 스에 서 기본 값 이기 때 문 입 니 다. 시작 하 는 파일 은 숨겨 진 파일 입 니 다.또한 일반적인 ls 명령 으로 문자 로 시작 하 는 파일 을 표시 할 수 없습니다.이러한 유형의 숨겨 진 파일 을 다음 과 같은 두 가지 방식 으로 볼 수 있 습 니 다 ① find 명령 으로 검색 할 수 있 습 니 다. 시작 하 는 파일 . 이나 ② ls - a 명령 으로 모든 파일 을 표시 할 수 있 습 니 다. 숨겨 진 파일 find / -name ".*" -print ls -a 명령 으로 파일 에 있 는 ASCII 코드 문자열 을 추출 하거나 다른 도구 로 숨겨 진 파일 의 내용 을 분석 할 수 있 습 니 다.strings 명령 을 통 해 사용자 가 실 행 했 던 명령 의 역사 기록 을 볼 수 있다.④ 또한 침입 자가 시스템 에 침입 하면 파일 을 삭제 하거나/dev/null 에 연결 합 니 다.이 파일 을 복구 하거나 분석/dev/null 을 통 해 더 많은 단 서 를 발견 할 수 있 습 니 다.좋은 웹페이지 즐겨찾기
