Linux取证

j4s0nh4ck

浏览: 278483 次

最近访客更多访客>>

XiaoPY

zhanchaomao1987

vicen888

prontosil

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

安全审计

原文地址：http://resources.infosecinstitute.com/linux-and-disk-forensics/
数据取证调查通常由5步组成：
识别
数据获取
数据恢复
分析
报告

数据取证专用系统BackTrack, FIRE, Knoppix-STD, Linux LEO, Penguin Sleuth
我们将使用的工具
获取镜像: Dd, DdRescue, dc3dd, Aimage
数据恢复工具: Foremost, Magic Rescue,SafeCopy
取证分析工具: bulk_extractor, Miss Identify, RegLookup, readpst
取证工具套件: Autopsy, Sleuth Kit, PTK
在根目录下创建取证文件夹：

mkdir /evidence

创建一个用于分析的文件夹

mkdir /mnt/investigation

在这里，我们将会挂载外部数据来进行调查。
获取镜像
使用dd命令来获得镜像

dd if=<media/partition on a media> of=<image_file>

例如

dd if=/dev/sdc of=image.dd

这里我们获得sdc硬盘的镜像，保存为image.dd。
针对本文，我们将使用开源测试样本。例如http://dftt.sourceforge.net/ , http://pyflag.sourceforge.net 或 http://linuxleo.com/。下载镜像到evidence文件夹中
我使用的镜像是通过

dd if=/dev/sdc of=pyflag_stdimage_0.1

命令获得的。

下载完镜像后，copy到空的磁盘上，我们以后还会需要它：

dd if=pyflag_stdimage_0.1 of=/dev/fd0

现在我们有了两份镜像，一份在/evidence，一份在磁盘上。
镜像分析：
把镜像mount到/investigation文件夹中
mount -o ro,noexec,loop pyflag_stdimage_0.1 /mnt/investigation
‘ro’ 和 ‘noexec’表明文件用只读和非执行方法挂载
现在切换到/mnt/investigation文件夹，可以看到系统镜像
把文件列表导入到一个文件，用于分析文件和他们的属性

通过这个列表可以搜索指定文件名，例如txt

grep txt ListOfFiles

使用find命令来检查文件类型
find. -type f -exec file {} ; > /evidence/TypeOfFile

从下图可以看到，我们发现了一个rootkit

来看看文件内容，DonVittos_private_key.txt含有DSA私钥。

看看其他文件夹，例如Document and Settings，Document and Settings/ Administrator/ Local Settings中的index.dat文件记录访问过的site。我们找到更有意思的文件，Document and Settings/ Administrator/文件夹下的outlook.pst 文件。它可能给我们更多信息。我们使用readpst工具:readpst用来将pst文件转换成mbox格式，从而可以使用各种mail软件来查看，修改。

readpst -D outlook.pst

-D表明包含在output中删除的内容
从而创建了几个文件夹，Inbox, Sent Items, MailBox, Deleted Items

现在这些文件夹中的mbox可以使用任何mail客户端来查看。我使用KMail来打开。其中一个邮件说道：

我们可以查看附件。现在我们坚持发件箱：

我们可以看到文件内容：

把邮件放到Evidence文件夹：

readpst -D outlook.pst -o /evidence/MailsEvidence

数据恢复
Autopsy用来分析磁盘镜像，帮助你浏览文件内容以及恢复数据。甚至有能力恢复删除的文件。
创建一个新的case，在第二步提供case name，描述和调查者的名字。第三步添加一个host。第四步，需要给出镜像的路径。接下来几步，它会要求你选择文件系统和分区等。点击Analyze，出现下图

File AnalysisFile Analysis允许你浏览整个文件系统。Keyword Search用于在文件系统中搜索指定的关键字。File Type允许你查看allocated和unallocated文件。Image Details告诉你文件系统的结构，大小和其他元数据。Meta Data给出inode的信息。Data Unit显示fragment的内容。我们对File Analysis感兴趣。