在线linux 系统初步取证

来源:互联网 发布:轻量 linux 桌面 编辑:程序博客网 时间:2024/03/29 07:04
在线unix/linux 系统初步取证
下面我们来做个实验
取证对像是192.168.1.101,收集数据的机器是192.168.1.97
在192.168.1.101上运行
[root@PowerLeader /]# (ps aux;lsof)|nc 192.168.1.97 10005 -w 3
在192.168.1.87上运行
[root@m3650 backup]# nc -l 10005 >  ps_lsof.log
类似的命令还有who、uptime、ps -ealf,下面以ltrace举例,跟踪smbd服务

[root@PowerLeader /]# ps -aux|grep smbd
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
root      5887  0.0  0.0 213332  3212 ?        Ss   May22 156:03 smbd -D
root      5889  0.0  0.0 216656  4792 ?        S    May22   0:21 smbd -D
root     18956  0.6  0.0 219664  3736 ?        S    10:06   0:00 smbd -D
root     18958  0.0  0.0 103312   880 pts/0    S+   10:07   0:00 grep smbd

[root@PowerLeader /]# ltrace -p 5887

[pid 5887] memcpy(0x7ffd5ee80b60, "0.0.0.0", 7)                                                               = 0x7ffd5ee80b60
[pid 5887] getsockname(31, 0x7ffd5ee80aa0, 0x7ffd5ee80a9c, 0x302e302e, 0x7f9b91b114c7)                        = 0
[pid 5887] getnameinfo(0x7ffd5ee80aa0, 16, "", 46, NULL, 0, 1)                                                = 0
[pid 5887] strlen("101.8.8.132")                                                                              = 11
[pid 5887] memcpy(0x7f9b91e11600, "101.8.8.132", 11)                                                          = 0x7f9b91e11600
[]pid 5887] getsockname(31, 0x7ffd5ee80aa0, 0x7ffd5ee80a9c, 0x302e302e, 0x7f9b91b114c7)                        = 0
[pid 5887] getnameinfo(0x7ffd5ee80aa0, 16, "", 46, NULL, 0, 1)                                                = 0
[pid 5887] strlen("101.8.8.132")                                                                              = 11
[pid 5887] memcpy(0x7f9b91e11600, "101.8.8.132", 11)                                                          = 0x7f9b91e11600
[pid 5887] free(0x7f9b9257dd10)                                                                               = <void>
[pid 5887] __strdup(0x7f9b92575678, 0, 0x7f9b9257ed10, 0x7f9b8e154e88, 0xffffffff)                            = 0x7f9b9257dd10
[pid 5887] strlen("192.168.1.101")                                                                            = 13
[pid 5887] memcpy(0x7f9b91e11640, "192.168.1.101", 13)                                                        = 0x7f9b91e11640
[pid 5887] __memcpy_chk(0x7ffd5ee809d0, 0x7ffd5ee80ad0, 64, 128, 0x7ffd5ee809d0)                              = 0x7ffd5ee809d0
[pid 5887] memcpy(0x7ffd5ee80ba8, "\371\364\016\237\307\336\022\250", 8)                                      = 0x7ffd5ee80ba8

运行netstat -ltan可以看到确实存在一个连接
tcp        0      0 192.168.1.101:445           101.8.8.132:2665            ESTABLISHED 
0 0