知识源：第2单元：Linux / Unix采集  2.1 Linux / Unix采集  采购准备与系统信息采集

第2单元：Linux / Unix采集  2.3活动和讨论  活动：练习Linux / Unix命令

引子：第一时间发现现成存在被入侵电脑，或者本人使用电脑变得不可靠的时候，就需要收集信息了。

在收集信息的时候，不能相信被感染电脑上的任何工具，使用个人准备好的USB中的工具。（类似于重装系统时用的那个U盘，进入一个U盘引导的叫PE的系统中）。你要准备好属于自己的USB，并且USB里面安装了取证系统，或者是取证机，取证服务器等。（比如你使用虚拟机安装了SANS社区的SIFT取证系统。）

这个时候，你的笔记本就算是一台功能完善的取证机了。像我这样，安装一个取证机，如下图：

第一步：得到目标机器以后，首先收集内存信息，如果要重启的话，把它的重启过程引导到取证机上面（重启以后，出现你的系统而不是进入它本身的系统。一旦它进入本身的系统之后，操作系统将修改系统驱动器上的数据和元数据），因为有的时候，文件访问时间与元数据可以提供有力的证据，在开庭的时候，你也必须确保证据没有被篡改过。比如，突击抓他的时候来不及删除证据，他说他是无辜的，但你在他电脑里发现了在莫斯科拍摄的一张犯罪地点交易图片，时间是2018/4/22。可以证明一年前他进行过犯罪交易。而且，他的内存里还有访问暗网的浏览记录。

收集系统信息的命令如下：        这些命令都是用于收集，证据的命令。我们要做的事情就是，他电脑没被重启之前，先收集一波容易丢失的信息（比如网络连接，进程，内存信息）

lsof 列出所有打开的文件属于哪个进程

RAM是/dev/mem的文件

uname显示系统信息   uname -a

ifconfig显示网络接口

ps或top显示netstat中的所有进程

who或w或users显示登陆用户

uptime系统运行了多久，确认是否再赶过来的时候把证据都销毁掉了，重启了。

运行这些命令以后将结果通过netcat工具，重定向到你的电脑中保存起来。

netcat又叫NC，名字的寓意为，读取和写入。

1.在你的电脑中设置好NC的监听器，比如你准备用2222端口来监听结果，把结果保存到666文件中，命令如下：

先设置好自己的电脑

nc -l -p 2222 > 666

2.设置好监听器以后，你想在犯罪人电脑里查询系统当前登录的账户信息是什么（使用who命令查询），将结果通过nc连接到你做好的监听器中，命令如下：

再在别人电脑里设置好连接       比如你的电脑IP地址为192.168.0.2

who | nc 192.168.0.2 2222

与NC差不多功能的另一个软件CRYPTCAT

ifconfig 查看此接口是否处于promisc模式（混杂模式：收集所有通过的流量，包括不是发给你的数据包）

ps -eaf | more 查看当前运行的进程

netstat -at   只看TCP的连接网络

lsof -i 4  显示打开IPv4的文件属于的进程是哪里

lsof -p 2718 显示这个进程（PID）打开了什么文件   这样我们就可以把观察目标从怀疑中木马以后，到网络连接上的信息面，再到进程的信息面，最后定位到文件信息面上。就此打住了，为以后进一步判断这个文件是否为恶意文件打下全面的基础。

lsof +L1  链接数小于1，但在内存中任何处于打开状态。还记得501课程的课后推荐阅读，无文件感染的内容吗？

which passwd            下面几个命令查找是否存在恶意设置用户的信息

ls -l /usr/bin/passwd

find / -uid 0 -perm -4000 2>/dev/null   查看所有设置UID的程序    UID=0 表示root权限      GID是2000