收集系统信息的命令如下: 这些命令都是用于收集,证据的命令。我们要做的事情就是,他电脑没被重启之前,先收集一波容易丢失的信息(比如网络连接,进程,内存信息)
lsof 列出所有打开的文件属于哪个进程
RAM是/dev/mem的文件
uname显示系统信息 uname -a
ifconfig显示网络接口
ps或top显示netstat中的所有进程
who或w或users显示登陆用户
uptime系统运行了多久,确认是否再赶过来的时候把证据都销毁掉了,重启了。
运行这些命令以后将结果通过netcat工具,重定向到你的电脑中保存起来。
netcat又叫NC,名字的寓意为,读取和写入。
1.在你的电脑中设置好NC的监听器,比如你准备用2222端口来监听结果,把结果保存到666文件中,命令如下:
先设置好自己的电脑
nc -l -p 2222 > 666
2.设置好监听器以后,你想在犯罪人电脑里查询系统当前登录的账户信息是什么(使用who命令查询),将结果通过nc连接到你做好的监听器中,命令如下:
再在别人电脑里设置好连接 比如你的电脑IP地址为192.168.0.2
who | nc 192.168.0.2 2222
与NC差不多功能的另一个软件CRYPTCAT
ifconfig 查看此接口是否处于promisc模式(混杂模式:收集所有通过的流量,包括不是发给你的数据包)
ps -eaf | more 查看当前运行的进程
netstat -at 只看TCP的连接网络
lsof -i 4 显示打开IPv4的文件属于的进程是哪里
lsof -p 2718 显示这个进程(PID)打开了什么文件 这样我们就可以把观察目标从怀疑中木马以后,到网络连接上的信息面,再到进程的信息面,最后定位到文件信息面上。就此打住了,为以后进一步判断这个文件是否为恶意文件打下全面的基础。
lsof +L1 链接数小于1,但在内存中任何处于打开状态。还记得501课程的课后推荐阅读,无文件感染的内容吗?
which passwd 下面几个命令查找是否存在恶意设置用户的信息
ls -l /usr/bin/passwd
find / -uid 0 -perm -4000 2>/dev/null 查看所有设置UID的程序 UID=0 表示root权限 GID是2000