Linux Disk Forensic

keigo

二兵

註冊日期: 2013-11-25

文章: 24
- Share
- Tweet
#1

【討論】 Linux Disk Forensic

2014-04-09, 07:58 PM

網路上對於Windows Forensic或者資安事件調查的資訊很多，例如看事件檢視器有無特殊代碼或異常狀況。
雖然知道可以看Log，但是要看Log的那些部份，實在沒什麼概念。
如果是Linux，要檢測有無被入侵跡象，請問各位高手有什麼建議與看法？
標籤: 無
ram

二兵

註冊日期: 2007-05-09

文章: 7474
- Share
- Tweet
#2

2014-04-10, 01:36 PM

根據經驗當發現時，系統上可以用來分析的資料，已經被清的差不多了，

國外的做法是當你的系統開始被修改log或刪除時，印表機就會啟動開始列印你刪除的資料，

再提供一些方式，通常會先看是否有不正連線或Port開啟，再來是看系統目錄上是否有一些不是你所建立的資料夾，

一般入侵電腦都會試著提權，所以都會先放一些rootkit工具。

不過聽過更高桿的做法，是將木馬寫入到顯卡的BIOS。
評論

公告