Linux 服务器取证

  • A+
所属分类:安全闲碎
Linux 服务器取证
Linux 服务器取证

 本文由实习生-小茆同学原创,转载请注明。

Linux 服务器取证

引言


       大多数情况下,在普通案件的现场中,涉案的计算机设备大多是Window操作系统的普通机器,如果案件涉及到服务器设备的话,则基本以Linux服务器为主;通常来讲,当调查人员进行现场勘验调查的时候,涉案的服务器设备大多是仍然处于运行状态的,并且在某些情况下,也没有办法完全关停相关的服务器设备。所以,在这里,我们来简单聊一聊有关Linux服务器取证的具体操作和一些需要注意的事情。


        首先,根据涉案服务器设备的存放位置来分,服务器设备可以大致分为实体的服务器和云服务器(例如,阿里云)。一般来讲,个人或者小型企业的实体服务器,调查人员可以接触到实体的物理机,在这种情况下,或许可以直接对服务器的硬盘进行磁盘镜像等操作;但是,对于中小型企业的服务器或者云服务器来讲,调查人员或许很难直接接触到实体的物理机,因此,在这种情况下,便需要网络管理员的配合,或者通过其他方式来获取设备的镜像文件。

Linux 服务器取证

       然后,根据案件的规模来分,有些案件中或许只有几台服务器设备,但是有的案件中或许有几十台,几百台服务器。大多数情况下,或许我们并不需要对所有的设备都进行证据的固定和取证分析,但是我们总需要对几台主要的服务器设备进行证据的固定和取证分析。

一般而言,这些服务器如果是在关机状态下,那只需要制作服务器的磁盘镜像即可,在开机状态下,要考虑提取系统的网络、进程等数据,以及制作内存镜像。下面的操作主要针对小型服务器设备而言,部分操作同样适用于大型服务器和云服务器,其大致流程如下:

Linux 服务器取证

提取系统的网络,进程,日志等数据


首先,提取系统的网络,进程和日志数据,避免后续操作的干扰(默认以root用户操作):

lsof -i>lsof-i.txt  #列出所有的IPv4、v6数据  lsof -K>lsof-K.txt  #列出所有的进程数据  tcpdump -i any -c 1000 -w capture01.cap #截获1000帧数据包  tar -zcPf var-log.tar /var/log/* #打包/var/log下的所有数据  tar -zcPf bash-history.tar /root/.bash_history #打包root用户的.bash_history
Linux 服务器取证
Linux 服务器取证

       在Linux操作系统中,一切皆是文件,所以我们可以借助lsof命令来查看系统的网络,进程等信息,lsof (list open files)是一个列举系统打开的文件的工具;Tcpdump 是Linux系统下的一个强大的命令,可以将网络中传送的数据包完全截获下来提供分析;Tar 是用来建立,还原备份文件的工具程序,它可以加入,解开备份文件内的文件;

Linux 服务器取证

采集设备的内存镜像


     LiME ( Linux Memory Extractor)是一种可加载的内核模块(LKM),可以从基于Linux(例如Android)和Linux设备获取易失性数据,经过实际测试,LiME比较适合在CentOS,Red Hat系列的Linux系统上获取内存镜像,具体操作如下:

yum install -y gcc gcc-c++ make  #配置必要的编译环境  yum install -y kernel-devel    git clone https://github.com/504ensicsLabs/LiME.git #clone LiME  cd LiME/src   make #编译  insmod ./lime-3.10.0-123.el7.x86_64.ko path=/root/mem.dd format=raw  #制作内存镜像
Linux 服务器取证

      fmem也是一款用来获取内存镜像的工具,更适合使用在内核版本更高的Linux上,另外,经过实际测试,fmem更适合在Debian和Ubuntu系列的Linux上获取易失性数据,具体操作如下:

yum install -y gcc gcc-c++ make  #配置必要的编译环境  yum install -y kernel-devel    git clone https://github.com/NateBrune/fmem.git   cd fmem/  make #编译 ./run.sh  dd if=/dev/fmem of=/root/ubuntu_16.mem bs=1MB count=2048 #bs代表块的大小,count代表块的数量
Linux 服务器取证
Linux 服务器取证

制作设备的磁盘镜像


      1.使用dd命令来制作磁盘镜像,该命令只能制作raw格式的镜像文件,所以需要考虑磁盘的剩余空间的大小,或者也可以将数据保存到外置的USB设备中。

Linux 服务器取证

      2.使用ftkimager,可以制作DD和E01格式的镜像文件。

Linux 服务器取证
Linux 服务器取证

采集现场的网络信息


      在获取完成常规的数据以后,调查人员还需要分析和采集案件现场的网络信息,例如涉案设备所连接的路由器,交换机的配置和日志信息,以及相关的IP地址,MAC地址等信息:

Linux 服务器取证

       最后,计算所采集的数据的哈希值,并保存数据!

Linux 服务器取证

Linux 服务器取证


本文始发于微信公众号(电子取证及可信应用协创中心):Linux 服务器取证

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: