在线linux 系统初步取证
2016-10-08 18:18
113 查看
在线unix/linux 系统初步取证
下面我们来做个实验
取证对像是192.168.1.101,收集数据的机器是192.168.1.97
在192.168.1.101上运行
[root@PowerLeader /]# (ps aux;lsof)|nc 192.168.1.97 10005 -w 3
在192.168.1.87上运行
[root@m3650 backup]# nc -l 10005 > ps_lsof.log
类似的命令还有who、uptime、ps -ealf,下面以ltrace举例,跟踪smbd服务
[root@PowerLeader /]# ps -aux|grep smbd
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
root 5887 0.0 0.0 213332 3212 ? Ss May22 156:03 smbd -D
root 5889 0.0 0.0 216656 4792 ? S May22 0:21 smbd -D
root 18956 0.6 0.0 219664 3736 ? S 10:06 0:00 smbd -D
root 18958 0.0 0.0 103312 880 pts/0 S+ 10:07 0:00 grep smbd
[root@PowerLeader /]# ltrace -p 5887
[pid 5887] memcpy(0x7ffd5ee80b60, "0.0.0.0", 7) = 0x7ffd5ee80b60
[pid 5887] getsockname(31, 0x7ffd5ee80aa0, 0x7ffd5ee80a9c, 0x302e302e, 0x7f9b91b114c7) = 0
[pid 5887] getnameinfo(0x7ffd5ee80aa0, 16, "", 46, NULL, 0, 1) = 0
[pid 5887] strlen("101.8.8.132") = 11
[pid 5887] memcpy(0x7f9b91e11600, "101.8.8.132", 11) = 0x7f9b91e11600
[]pid 5887] getsockname(31, 0x7ffd5ee80aa0, 0x7ffd5ee80a9c, 0x302e302e, 0x7f9b91b114c7) = 0
[pid 5887] getnameinfo(0x7ffd5ee80aa0, 16, "", 46, NULL, 0, 1) = 0
[pid 5887] strlen("101.8.8.132") = 11
[pid 5887] memcpy(0x7f9b91e11600, "101.8.8.132", 11) = 0x7f9b91e11600
[pid 5887] free(0x7f9b9257dd10) = <void>
[pid 5887] __strdup(0x7f9b92575678, 0, 0x7f9b9257ed10, 0x7f9b8e154e88, 0xffffffff) = 0x7f9b9257dd10
[pid 5887] strlen("192.168.1.101") = 13
[pid 5887] memcpy(0x7f9b91e11640, "192.168.1.101", 13) = 0x7f9b91e11640
[pid 5887] __memcpy_chk(0x7ffd5ee809d0, 0x7ffd5ee80ad0, 64, 128, 0x7ffd5ee809d0) = 0x7ffd5ee809d0
[pid 5887] memcpy(0x7ffd5ee80ba8, "\371\364\016\237\307\336\022\250", 8) = 0x7ffd5ee80ba8
运行netstat -ltan可以看到确实存在一个连接
tcp 0 0 192.168.1.101:445 101.8.8.132:2665 ESTABLISHED
下面我们来做个实验
取证对像是192.168.1.101,收集数据的机器是192.168.1.97
在192.168.1.101上运行
[root@PowerLeader /]# (ps aux;lsof)|nc 192.168.1.97 10005 -w 3
在192.168.1.87上运行
[root@m3650 backup]# nc -l 10005 > ps_lsof.log
类似的命令还有who、uptime、ps -ealf,下面以ltrace举例,跟踪smbd服务
[root@PowerLeader /]# ps -aux|grep smbd
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
root 5887 0.0 0.0 213332 3212 ? Ss May22 156:03 smbd -D
root 5889 0.0 0.0 216656 4792 ? S May22 0:21 smbd -D
root 18956 0.6 0.0 219664 3736 ? S 10:06 0:00 smbd -D
root 18958 0.0 0.0 103312 880 pts/0 S+ 10:07 0:00 grep smbd
[root@PowerLeader /]# ltrace -p 5887
[pid 5887] memcpy(0x7ffd5ee80b60, "0.0.0.0", 7) = 0x7ffd5ee80b60
[pid 5887] getsockname(31, 0x7ffd5ee80aa0, 0x7ffd5ee80a9c, 0x302e302e, 0x7f9b91b114c7) = 0
[pid 5887] getnameinfo(0x7ffd5ee80aa0, 16, "", 46, NULL, 0, 1) = 0
[pid 5887] strlen("101.8.8.132") = 11
[pid 5887] memcpy(0x7f9b91e11600, "101.8.8.132", 11) = 0x7f9b91e11600
[]pid 5887] getsockname(31, 0x7ffd5ee80aa0, 0x7ffd5ee80a9c, 0x302e302e, 0x7f9b91b114c7) = 0
[pid 5887] getnameinfo(0x7ffd5ee80aa0, 16, "", 46, NULL, 0, 1) = 0
[pid 5887] strlen("101.8.8.132") = 11
[pid 5887] memcpy(0x7f9b91e11600, "101.8.8.132", 11) = 0x7f9b91e11600
[pid 5887] free(0x7f9b9257dd10) = <void>
[pid 5887] __strdup(0x7f9b92575678, 0, 0x7f9b9257ed10, 0x7f9b8e154e88, 0xffffffff) = 0x7f9b9257dd10
[pid 5887] strlen("192.168.1.101") = 13
[pid 5887] memcpy(0x7f9b91e11640, "192.168.1.101", 13) = 0x7f9b91e11640
[pid 5887] __memcpy_chk(0x7ffd5ee809d0, 0x7ffd5ee80ad0, 64, 128, 0x7ffd5ee809d0) = 0x7ffd5ee809d0
[pid 5887] memcpy(0x7ffd5ee80ba8, "\371\364\016\237\307\336\022\250", 8) = 0x7ffd5ee80ba8
运行netstat -ltan可以看到确实存在一个连接
tcp 0 0 192.168.1.101:445 101.8.8.132:2665 ESTABLISHED
相关文章推荐
- Linux系统管理初步(七)系统服务管理、chkconfig与systemd 编辑中
- 在线虚拟Linux实验室 linux 开放系统实验室(OSL)
- 在linux系统中用pkill命令踢出在线登录用户
- Linux 文件系统在线扩容实战
- 第六天-linux系统优化初步讲解
- 在线客服系统 开发实战系列(一:需求分析及技术方案初步选型)
- UNIX/Linux系统取证之信息采集案例
- linux在线扩展文件系统空间ext2online
- Linux系统管理初步(六)设置计划任务
- linux系统在线求助 man page
- 【转】Linux嵌入式系统开发初步
- Linux-06-3-系统命令初步
- LVM在线扩展linux文件系统磁盘大小
- linux磁盘及文件系统管理初步(1)
- 初步安装Linux系统
- [周末]兄弟连Linux在线课堂:第2讲 Linux系统安装
- Linux3.2.8系统启动过程及启动延时初步分析
- Linux系统入侵痕迹分析取证
- linux磁盘及文件系统管理初步(2)