网络安全工程师必知的系统敏感目录

点击兰花豆说网络安全，了解更多网络安全知识

在网络安全应急响应过程中，对系统进行整体的安全排查至关重要。恶意文件往往隐藏在系统的一些敏感目录中，因此，了解这些目录对于提高恶意文件排查的效率至关重要。这些目录中包含了系统配置、日志、临时文件以及用户数据等关键信息，可能被攻击者利用来隐藏或执行恶意文件。因此，在安全排查中，安全团队需要仔细检查这些目录，查找任何异常或可疑文件，并进行进一步的分析和处理。利用安全工具进行自动化扫描是一种有效的方式，但也需要结合人工审查来发现隐藏的恶意文件。定期审查敏感目录并建立巡检机制有助于及早发现和应对潜在的安全威胁。综上所述，对系统中的关键敏感目录进行全面的安全排查，是网络安全应急响应工作中的重要环节。下面列举一些Linux、windows、Android系统中常见的敏感目录。

一、Linux系统

/etc：包含系统的配置文件，如用户账户信息、服务配置等。

/var/log：存放系统日志文件，记录系统运行状态、服务状态和用户活动等信息。

/tmp和/var/tmp：临时文件目录，可能存放着敏感信息。

/home：用户的家目录，包含用户的个人文件和配置。

/root：超级用户的家目录。

/srv：存放服务数据的目录，可能包含网站内容、FTP文件等。

/proc：包含当前内核和进程相关信息的虚拟文件系统，攻击者可能通过此目录获取系统信息。

/bin和/sbin：包含系统执行文件的目录，攻击者可能尝试替换其中的程序以执行恶意代码。

/var/www或/var/html：Web服务器默认的网站根目录，包含网站文件和脚本，可能受到攻击者的目标。

/etc/ssh：包含SSH服务的配置文件，可能包含安全敏感信息，如私钥、公钥等。

/boot：包含引导加载程序和内核映像等引导文件，对系统的引导过程至关重要，受到攻击的风险可能导致系统无法启动。

/mnt和/media：用于挂载外部设备或网络文件系统的目录，可能包含敏感数据或配置信息。

/proc/sys：包含系统内核参数的虚拟文件系统，攻击者可能通过修改其中的参数来影响系统的运行和安全性。

/dev：包含设备文件的目录，攻击者可能通过特殊的设备文件来进行攻击或提升权限。

/sys：包含了与系统硬件相关的信息，攻击者可能利用其中的接口进行恶意操作或信息泄露。

/usr/bin和/usr/sbin：包含系统用户安装的可执行文件，有时也是攻击者隐藏恶意代码的地方。

/usr/local/bin和/usr/local/sbin：用户自行安装的软件的默认安装目录，也可能包含敏感信息和攻击痕迹。

/run：包含系统运行时的临时文件，例如PID文件和套接字文件，攻击者可能利用其中的文件来执行攻击或隐藏恶意活动。

/opt：通常用于安装额外的第三方软件，攻击者可能尝试在此处安装恶意软件以获取权限或执行攻击。

/dev/shm：共享内存目录，用于进程之间的通信，攻击者可能利用其中的漏洞或共享资源来进行攻击。

二、windows系统

C:WindowsSystem32：包含系统核心文件，对系统运行至关重要。

C:Program Files和C:Program Files (x86)：安装程序文件的默认目录。

C:Users<username>AppData：包含用户的应用程序数据和设置信息。

C:Users<username>Documents和C:Users<username>Desktop：用户的文档和桌面文件夹。

C:WindowsTemp和C:Users<username>AppDataLocalTemp：临时文件目录，可能包含敏感信息。

C:WindowsSystem32LogFiles：存放系统日志文件。

C:WindowsSystem32drivers：它是一个极其敏感的目录，存放着Windows操作系统的核心驱动程序。hosts文件就是一个重要文件，防止域名地址被恶意篡改。

C:inetpub：IIS服务器的默认根目录，包含网站文件。

C:WindowsPrefetch：包含Windows系统启动和运行程序时的预取文件，可能包含敏感信息和攻击痕迹。

C:WindowsWinSxS：包含系统组件的存储目录，对系统运行至关重要，但也可能被攻击者利用。

C:Windowsassembly：包含全局程序集缓存，用于承载.NET程序集和COM组件，可能受到恶意程序的注入。

C:WindowsGlobalization：包含Windows系统的国际化相关文件，可能包含语言设置等敏感信息。

C:WindowsMicrosoft.NETFramework和C:WindowsMicrosoft.NETFramework64：包含.NET Framework的核心文件和运行时环境，可能受到攻击者的目标。

C:WindowsMicrosoft.NETassembly：包含.NET程序集缓存，同样可能受到恶意程序的注入。

C:WindowsCSC：包含客户端计算机缓存（Offline Files Cache）的目录，可能存储敏感信息。

C:WindowsInstaller：包含安装程序包的目录，可能包含安装过程中产生的临时文件和日志信息，攻击者可能利用其中的信息来执行攻击。

C:WindowsMicrosoft.NETFrameworkv4.0.30319Temporary ASP.NET Files：包含ASP.NET网站的临时文件，可能受到攻击者的目标。

C:WindowsTasks：包含系统计划任务的目录，攻击者可能通过创建或篡改任务来实施持久性攻击或执行恶意代码。

C:Windowssyswow64：包含64位Windows系统上的32位系统文件，攻击者可能利用其中的漏洞或弱点来进行攻击或提升权限。

三、Android系统

/data：包含用户数据和应用程序数据的主要目录，其中包括用户的个人文件、数据库、应用程序配置等信息。

/data/data/<package_name>：每个应用程序都有自己的数据目录，存储着应用程序的私有数据、数据库、缓存和其他配置文件。这些数据对于应用程序的正常运行至关重要，但同时也可能包含用户隐私信息，需要得到妥善保护。

/data/system：包含系统级别的配置和状态信息，如系统属性、权限控制列表等。

/data/app：安装的应用程序文件存储在这个目录中，可能包含应用程序的二进制文件、资源文件等。

/data/local/tmp：用于存储临时文件的目录，应用程序可能会将临时文件存储在这里，攻击者也可能利用这个目录来执行恶意操作。

/sdcard或/storage/emulated/0：外部存储卡的根目录，用于存储用户的多媒体文件、下载文件等，包含用户的个人数据。

/mnt/sdcard：旧版Android系统中外部SD卡的挂载点，一些旧版应用程序可能会将数据存储在这个目录中。

/system：包含系统文件的目录，其中包括系统应用程序、库文件等。这个目录通常只有系统进程才有写权限，是系统级别的敏感目录。

/cache：包含系统缓存文件的目录，可能包括系统临时文件、缓存的应用数据等。

/system/bin和/system/xbin：包含系统可执行文件的目录，包括一些系统级别的工具和命令，攻击者可能利用其中的漏洞进行攻击或执行恶意操作。

/system/etc：包含系统配置文件的目录，例如网络配置、hosts文件等，攻击者可能修改这些文件来实施攻击或劫持流量。

/system/lib和/system/lib64：包含系统库文件的目录，包括用于运行系统和应用程序的动态链接库，攻击者可能植入恶意库文件以执行攻击。

/system/app：系统应用程序的安装目录，包含一些系统预装的应用程序，攻击者可能尝试替换或修改这些应用程序以实施攻击。

/system/vendor：包含设备制造商提供的系统文件和驱动程序的目录，可能包含关键的硬件配置信息和供应商提供的定制化软件。

/data/dalvik-cache：包含Dalvik虚拟机的缓存文件，用于优化应用程序的启动速度，攻击者可能利用其中的漏洞进行攻击或执行恶意代码。

/proc：虚拟文件系统，提供了系统和进程的信息，攻击者可能通过读取其中的信息来获取系统状态或执行攻击。

/sys：也是一个虚拟文件系统，提供了内核的运行时信息和控制接口，攻击者可能利用其中的接口进行攻击或隐藏恶意活动。

/data/system_ce和/data/system_de：这些目录包含针对不同用户的加密文件系统数据。在设备上启用加密后，用户数据将存储在这些目录中，并且只有在用户解锁设备后才能访问。

/data/anr：ANR（Application Not Responding）目录包含应用程序发生ANR时生成的 traces.txt 文件。这些文件记录了导致应用程序无响应的堆栈跟踪信息，有助于排查应用程序性能问题。

/data/misc：这个目录包含了各种系统服务和配置文件的数据。例如，Wi-Fi 相关的配置信息存储在 /data/misc/wifi 目录中，Bluetooth 相关的配置信息存储在 /data/misc/bluetooth 目录中。

/data/local/tmp和/data/data/<package_name>/cache：这些目录用于存储应用程序的临时文件和缓存数据。攻击者可能会尝试利用这些目录来存放恶意文件，因此需要特别关注它们。

/data/adb/modules：这是 Magisk 模块的存储目录，Magisk 是一款强大的 Android 系统修改工具。攻击者可能会利用 Magisk 模块来实施 root 欺骗或注入恶意代码。

/data/app-private：这个目录包含一些应用程序的私有数据文件，通常只有应用程序本身才能访问这些文件，而其他应用程序无法直接读取。

/data/local：这个目录通常用于存储临时文件和其他数据。攻击者可能会将恶意文件存储在这个目录中，并尝试通过某些漏洞或权限提升攻击来执行其中的恶意代码。

/data/app-lib：包含应用程序的本地库文件，用于在应用程序中执行本地代码。攻击者可能会尝试替换这些库文件以执行恶意操作。

/data/dalvik-cache：存储 Dalvik 虚拟机的缓存文件，用于加速应用程序的启动和执行。攻击者可能会利用其中的漏洞来执行恶意代码，因此需要对其进行监控和审查。

/data/lost+found：这是一个系统目录，用于存放由于系统异常而损坏的文件的碎片或恢复的文件。攻击者可能会尝试在这里隐藏或存放恶意文件，因此需要进行定期检查和清理。

四、总结

通过监管敏感目录中文件的操作行为，可以有效识别并应对恶意文件。恶意文件往往隐藏在系统的敏感目录中，攻击者利用这些目录来执行恶意操作或隐藏其恶意行为。因此，对这些目录进行监管并分析文件的操作行为是至关重要的一项安全措施。

监管敏感目录中文件的操作行为通常包括监控文件的创建、修改、删除和访问等操作。当系统中的文件发生异常操作时，可以触发警报或记录日志，以便安全团队及时发现并应对潜在的威胁。例如，如果某个敏感目录中的文件突然被修改或删除，可能表明有恶意程序正在尝试对系统进行攻击或植入恶意代码。

在监管文件操作行为时，可以采用文件完整性检查、文件访问监控、行为分析等技术手段。文件完整性检查可以比对文件的哈希值，以检测文件是否被篡改。文件访问监控可以记录文件的读写访问记录，分析哪些进程或用户对文件进行了操作。行为分析则可以检测到不符合正常行为模式的文件操作，从而识别潜在的恶意行为。

综上所述，通过监管敏感目录中文件的操作行为，可及时发现和识别恶意文件，有助于提高系统的安全性和防御能力。同时，结合文件完整性检查、访问监控和行为分析等技术手段，可以更全面地保护系统和用户数据免受恶意攻击的侵害。

原文始发于微信公众号（兰花豆说网络安全）：网络安全工程师必知的系统敏感目录