恶意软件事件响应工具指南
在恶意软件事件响应的调查过程中,会用到各种各样的工具。本文将为大家介绍不同类型的工具,包括事件工具套件、远程收集工具、易失性数据收集和分析工具等,同时还会涉及收集系统详细信息、识别登录用户以及分析网络连接和活动的相关工具。
1. 事件工具套件
事件工具套件主要用于在事件响应期间从 Linux 系统自动收集数字证据,并生成保存过程的支持文档。以下是几种常见的事件工具套件:
| 工具名称 | 作者/分发者 | 下载地址 | 描述 |
| ---- | ---- | ---- | ---- |
| LINReS v1.1 - Linux 事件响应脚本 | Nii Consulting | http://www.niiconsulting.com/innovation/linres.html | 使用四个不同的脚本调用 80 多个不同的可信二进制文件,从目标系统收集易失性和非易失性数据。数据通过 netcat 远程传输到取证工作站。该工具最初为旧版 Red Hat 系统设计,可能需要调整脚本以确保在目标系统上有效收集数据。 |
| Helix(Linux 事件响应脚本 [linux - ir.sh] 和静态二进制文件) | E - Fense | http://www.e - fense.com/products.php (选择 Helix3 链接) | 旧版本的 Helix 事件响应 CD - ROM 包含一个自动实时响应脚本 (linux - ir.sh),用于从受损系统收集易失性数据。该脚本会按顺序调用 120 多个静态编译的二进制文件,但存在一些缺点,如收集的运行进程信息有限,会获取整个系统的完整目录列表。 |
| Linu
