微软推出的 Sysmon for Linux 是一个极其强大的工具，它可以记录进程创建、网络连接、文件更改等高级事件。
原始的 syslog 中包含了 Sysmon 的 XML 格式数据，为了方便后续分析，我们需要先将其解析为易读的文本。
cat /var/log/syslog | sudo /opt/sysmon/sysmonLogView 2>/dev/null > /tmp/sysmon_parsed.txt
命令解析：

• cat：读取原始日志文件。
• sysmonLogView：Sysmon 官方提供的日志解析工具。
• 2>/dev/null：将标准错误（如解析不规范的 XML 报错）丢弃，避免干扰正常输出。

• /tmp/sysmon_parsed.txt：将解析好的干净结果重定向到临时文件，后续所有的 grep 搜索都基于此文件，大大提高效率。

🔍 第一部分：基于日志的进程与网络溯源

1. 查找连接到 C2 服务器的恶意进程 (PID)

场景： 我们已知攻击者的 C2（命令与控制）服务器 IP 为 3.212.197.166，需要找出系统中哪些进程连接过它。
grep -B 8 "DestinationIp: 3.212.197.166" /tmp/sysmon_parsed.txt | grep "ProcessId:" | grep -v "Parent" | awk '{print $2}' | sort -n | uniq
命令解析：

• grep -B 8：-B (Before) 打印匹配行及其前面 8 行。因为在 Sysmon 的网络连接事件（EventID 3）中，ProcessId 字段通常在 DestinationIp 的上方。
• grep -v “Parent”：-v (Invert match) 排除包含 “Parent” 的行（排除 ParentProcessId 的干扰）。
• awk ‘{print $2}’：以空格为分隔符，提取第二列（即 PID 数字本身）。
• sort -n | uniq：-n 按数字大小排序，uniq 去除重复项。

2. 数据库取证：分析被窃取的用户信息

场景： 攻击者利用权限执行了 PostgreSQL 数据库查询，我们需要知道窃取了谁的信息。
直接查看 PostgreSQL 的查询日志：
grep -i "SELECT\|INSERT\|UPDATE\|COPY\|dump" /var/log/postgresql/postgresql-12-main.log
发现核心攻击记录：
select name from users;
select * from users where name LIKE ‘Wade Murphy%’;

结论： 攻击者首先获取了 users 表的用户名列表，随后精准窃取了用户 Wade Murphy 的所有信息。

🧠 第二部分：Volatility 3 内存取证高级技巧

当日志被篡改或存在欺骗性时，内存转储 (Memory Dump) 才是最诚实的证人。这里使用 Volatility 3 (https://github.com/volatilityfoundation/volatility3) 框架。

1. 突破迷雾：寻找真实的父进程 (PPID)

场景： 攻击者使用了一条命令来提权：/bin/sh -c echo “december” | sudo -S python3 -c “import sys,base64…”。我们在 Sysmon 日志中看到该 sh 命令的 ParentProcessId 为 3320，但这其实是个“幽灵 PID”。如何找到真实的父进程？
解决方案： 使用 Volatility 3 直接分析内存中的进程树结构。
python3 vol.py -f memdump.mem linux.pslist | grep -E "sh|python|sudo"
命令解析：

• -f memdump.mem：指定内存转储文件。
• linux.pslist：列出内存中捕获的所有活动进程及其父子关系。
  分析结果：
  2840 2831 python3 (C2 代理进程)

3321 2840 sh (执行 echo 的 shell)
3323 3321 sudo (接收密码并提权)
惊人发现： PID 3321 (sh 命令) 的真实父进程是 2840 (python3)！这是因为恶意 python 脚本通过管道派生了子 shell 来完成自动化提权。Sysmon 日志偶尔会因为异步或 PID 快速回收出现归属偏差，而内存取证还原了最真实的进程链。

2. 内存文件提取：Dump 可疑 ELF

场景： 我们怀疑内存中的 sshd 被注入了，需要提取它的 ELF 文件计算 MD5。
python3 vol.py -f memdump.mem linux.elfs --dump
md5sum pid.3939.sshd.0x7fb4eed88000.dmp
命令解析：

• linux.elfs：枚举内存中加载的所有 ELF 文件（执行档和共享库）。
• –dump：将这些文件提取到当前物理硬盘上。

3. 寻找注入的恶意代码 (RWX 内存区)

场景： 正常的代码段权限是 R-X (读/执行)，如果一块内存是 RWX (读/写/执行)，大概率是注入了 Shellcode。
python3 vol.py -f memdump.mem linux.malfind --pid 3939
命令解析：

• linux.malfind：专门寻找进程中隐藏的或注入的代码（寻找 VMA 权限为 RWX 且头部包含可疑指令的内存块）。
• –pid 3939：针对可疑的被注入进程进行定点扫描。

第三部分：恶意软件静态分析 (YARA & Hexdump)

从内存中 dump 出恶意文件后，我们需要确认它到底是什么，以及提取它的网络配置。

1. 批量运行 YARA 规则

场景： 使用本地的 YARA 签名库扫描 Dump 出来的恶意代码。

1
2
3
4

for rule in ~/tools/yara/*; do 
    result=$(yara "$rule" pid.3939.sshd.0x7fb4ee007000.dmp 2>/dev/null)
    if [ -n "$result" ]; then echo "$result"; fi
done

命令解析：

• 这是一个 Bash 的 for 循环，遍历 yara 规则目录中的所有文件。
• yara ：应用签名进行扫描。
• 结果： 触发了 mettle 规则。Mettle 是 Metasploit 针对 Linux 的 Meterpreter payload 实现。

2. 手工提取 Meterpreter UUID (Hexdump 技巧)

场景： 找出这个 Meterpreter payload 中硬编码的 Session UUID。
由于 Mettle 习惯将配置参数存储在 ELF 文件的末尾（或者数据段末尾），我们可以先用 strings 寻找线索：
strings -t x pid.3939.sshd.0x7fb4ee007000.dmp | grep -i “tcp://“
发现 0xd9206 偏移处有 “tcp://0.0.0.0:8080 字样。接着使用 hexdump 查看该地址附近的十六进制数据：
hexdump -C -s 0xd91a0 -n 256 pid.3939.sshd.0x7fb4ee007000.dmp
命令解析：

• hexdump -C：以标准十六进制 + ASCII 字符的形式输出。
• -s 0xd91a0：跳过前面的数据，直接从 0xd91a0 (十六进制) 偏移量开始查看。
• -n 256：只打印 256 个字节，防止输出刷屏。
  完美斩获：
  在输出的明文中，我们清晰地看到了 Mettle 的启动参数：
  mettle.-U.”bWWoXsWDgPG1A7MB0C+Qkg==. -G.”ZpM+…
  其中紧跟在 -U 参数后面的 bWWoXsWDgPG1A7MB0C+Qkg== 就是 Base64 编码的 Session UUID！

💡 总结与反思

1. 不要盲信单一日志： Sysmon 日志给出的 PPID 可能是错的，Volatility 内存分析能提供进程树的上帝视角。
2. 结合 grep, awk, sed 的文本三剑客： 是处理巨大日志文件的效率保障。
3. 恶意代码的蛛丝马迹都在内存里： 熟练使用 linux.malfind (找 RWX) 和 hexdump/strings (提取硬编码配置) 是应对高级持久化威胁 (APT) 和无文件攻击的关键。

• 文件元数据 ：NTFS 为每个文件存储广泛的元数据，包括创建时间、修改时间、访问时间和属性信息（如只读、隐藏或系统文件属性）。分析这些时间戳有助于建立时间线并重建用户活动。
• MFT 条目 ：主文件表（MFT）是 NTFS 的关键组成部分，它存储了卷上所有文件和目录的元数据。检查 MFT 条目可以提供有关文件名、大小、时间戳和数据存储位置的见解。当文件被删除时，它们的 MFT 条目会被标记为可用，但数据可能仍保留在磁盘上，直到被覆盖。
• File Slack and Unallocated Space : NTFS 卷上的未分配空间可能包含已删除文件的残留物或数据碎片。文件松弛是指集群中未使用的部分，可能包含先前文件的数据。数字取证工具可以帮助从这些区域恢复和分析数据。
• 文件签名 : 文件头部和签名即使在文件扩展名被更改或隐藏时，也有助于识别文件类型。这些信息对于重建系统上存在的文件类型至关重要。
• USN 日志 : 更新序列号（USN）日志由 NTFS 维护，用于记录对文件和目录所做的更改。法证调查人员可以分析 USN 日志来追踪文件修改、删除和重命名。
• LNK 文件 : Windows 快捷方式文件（LNK 文件）包含有关目标文件或程序的信息，以及时间戳和元数据。这些文件可以提供有关最近访问的文件或执行的程序的线索。
• 预取文件 : 预取文件由 Windows 生成，以提高应用程序的启动性能。这些文件可以指示哪些程序在系统上运行以及它们最后一次执行的时间。
• 注册表 hive: 虽然与文件系统没有直接关系，但 Windows 注册表 hive 包含重要的配置和系统信息。恶意活动或未经授权的更改会在注册表中留下痕迹，法医调查人员通过分析这些痕迹来了解系统修改情况。
• Shellbags: Shellbags 是存储文件夹视图设置的注册表条目，例如窗口位置和排序偏好。分析 Shellbags 可以揭示用户导航模式，并可能识别访问过的文件夹。
• 缩略图缓存 : 缩略图缓存存储图像和文档的小型预览。这些缓存可以显示最近查看的文件，即使原始文件已被删除。
• 回收站 : 回收站包含从文件系统中删除的文件。分析回收站有助于恢复删除的文件，并提供有关用户操作的见解。
• 替代数据流 (ADS): ADS 是与文件关联的附加数据流。恶意行为者可能会使用 ADS 来隐藏数据，而法证调查人员需要检查这些数据流以确保全面分析。
• 卷影副本 : NTFS 支持卷影副本，这是文件系统在不同时间点的快照。这些副本对于数据恢复和随时间变化的分析非常有价值。
• 安全描述符和 ACL：访问控制列表（ACL）和安全描述符决定了文件和文件夹的权限。分析这些证据有助于了解用户访问权限和潜在的安全漏洞。

Windows事件日志

日志存储的默认文件路径 C:\Windows\System32\winevt\logs 。

执行痕迹

• 预取文件 : Windows 维护一个预取文件夹，其中包含有关各种应用程序执行情况的元数据。预取文件记录了文件路径、执行次数以及应用程序运行的时间戳等信息。分析预取文件可以揭示已执行程序的记录以及它们运行的顺序。
• Shimcache: Shimcache 是 Windows 的一种机制，用于记录程序执行信息以协助兼容性和性能优化。它记录了文件路径、执行时间戳等详细信息，以及指示程序是否被执行的标志。Shimcache 可以帮助调查人员识别最近执行的程序及其相关文件。
• Amcache: Amcache 是 Windows 8 中引入的一个数据库，用于存储已安装应用程序和可执行文件的信息。它包含文件路径、大小、数字签名以及应用程序最后执行的时间戳等详细信息。分析 Amcache 可以提供程序执行历史的洞察，并识别潜在的恶意或未经授权的软件。
• UserAssist: UserAssist 是一个注册表键，用于维护用户执行程序的信息。它记录了应用程序名称、执行次数和时间戳等详细信息。分析 UserAssist 残留物可以揭示已执行应用程序的历史记录和用户活动。
• 运行 MRU 列表 : Windows 注册表中的运行 MRU（最近使用）列表存储了从不同位置（如 Run 和 RunOnce 键）最近执行程序的信息。这些列表可以指示哪些程序被运行、运行时间，并可能揭示用户活动。
• 跳转列表 : 跳转列表存储关于最近访问的文件、文件夹以及特定应用程序相关任务的信息。它们可以提供有关用户活动和最近使用文件的信息。
• 快捷方式 (LNK) 文件 ：快捷方式文件可以包含目标可执行文件、文件路径、时间戳和用户交互信息。分析 LNK 文件可以揭示已执行程序及其运行上下文的详细信息。
• 最近使用的项目 : 最近使用的项目文件夹维护一个最近打开的文件列表。它可以提供有关最近访问的文档和用户活动的信息。
• Windows 事件日志 : 各种 Windows 事件日志，如安全日志、应用程序日志和系统日志，记录与程序执行相关的各种事件，包括进程创建和终止、应用程序崩溃等。

Schtasks
Windows 提供了一个功能，允许程序安排特定任务。这些任务位于 C:\Windows\System32\Tasks，每个任务都保存为一个 XML 文件。该文件详细说明了创建者、任务的定时或触发器，以及要运行的命令或程序的路径。要审查计划任务，我们应该导航到 C:\Windows\System32\Tasks 并检查 XML 文件的内容。

Services
服务在 Windows 中至关重要，它们负责维护系统上的进程，使软件组件能够在后台运行而无需用户干预。恶意行为者经常篡改或制作流氓服务，以确保持久性并保留未经授权的访问权限。需要关注的注册表位置是： HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 。

网络浏览器取证

• 浏览历史 : 访问过的网站记录，包括 URL、标题、时间戳和访问频率。
• Cookie: 网站在用户设备上存储的小型数据文件，包含会话详情、偏好设置和身份验证令牌等信息。
• 缓存 : 用户访问过的网页、图片和其他内容的缓存副本。即使清除历史记录，也能揭示访问过的网站。
• 书签/收藏 : 保存的经常访问的网站或感兴趣页面的链接。
• 下载历史 : 下载文件的记录，包括源 URL、文件名和时间戳。
• 自动填充数据 : 自动填入表单中的信息，例如姓名、地址和密码。
• 搜索历史 : 在搜索引擎中输入的查询，包括搜索词和时间戳。
• 会话数据 : 关于活跃浏览会话、标签页和窗口的信息。
• 输入的 URL: 直接输入到地址栏中的 URL。
• 表单数据 : 输入到网页表单中的信息，例如登录凭证和搜索查询。
• Passwords: 保存或自动填充的网站密码。
• Web Storage: 网站用于各种目的的本地存储数据。
• Favicons: 网站相关的小图标，可以揭示访问过的网站。
• Tab Recovery Data: 关于打开的标签页和会话的信息，可以在浏览器崩溃后恢复。
• 扩展和插件 : 已安装的浏览器扩展及其配置。

SRUM

切换到 SRUM（系统资源使用监视器），这是一个在 Windows 8 及后续版本中引入的功能。SRUM 会精确地跟踪资源利用情况和应用程序使用模式。这些数据存储在一个名为 sru.db 的数据库文件中，该文件位于 C:\Windows\System32\sru 目录下。这个 SQLite 格式的数据库允许结构化数据存储和高效的数据检索。SRUM 的记录按时间间隔组织，可以帮助在特定时间段内重建应用程序和资源的使用情况。

• 应用分析 : SRUM 可以提供有关 Windows 系统上已执行的应用程序和进程的全面视图。它记录可执行文件名称、文件路径、时间戳和资源使用指标等详细信息。这些信息对于了解系统上的软件环境、识别潜在的恶意或未经授权的应用程序以及重建用户活动至关重要。
• 资源消耗 ：SRUM 捕获每个应用程序和进程的 CPU 时间、网络使用情况和内存消耗数据。这些数据对于调查资源密集型活动、识别资源消耗的异常模式以及检测由特定应用程序引起的潜在性能问题非常有价值。
• 时间线重建 ：通过分析 SRUM 数据，数字取证专家可以创建应用程序和进程执行、资源使用以及系统活动的时间线。这种时间线重建对于理解事件顺序、识别可疑行为以及建立用户交互和操作的清晰图景至关重要。
• 用户和系统上下文 ：SRUM 数据包含用户标识符，这有助于将活动归因于特定用户。这可以辅助用户行为分析，并确定某些操作是否由合法用户或潜在威胁行为者执行。
• Malware Analysis and Detection : SRUM 数据可用于识别异常或未经授权的应用程序，这些应用程序可能表明存在恶意软件或恶意活动。通过 SRUM 分析可以检测到资源使用量的突然激增、异常应用程序模式或未经授权的软件安装。
• 事件响应 ：在事件响应过程中，SRUM 能够提供对近期应用程序和进程活动的快速洞察，使分析师能够迅速识别潜在威胁并有效应对。

/boot/ & /efi/

/boot/ 和 /efi/ 目录存储启动系统所需的基本文件。这包括启动配置文件、内核参数等。在这些目录中，还可以找到当前和之前的内核版本，以及初始 ramfs。

/etc/

/etc/ 目录传统上是系统级配置文件和相关数据的中央存储库。这些文件中的大多数以明文形式容易访问。配置文件通常带有以 .d 扩展名标记的关联目录，允许包含额外的配置片段。需要注意的是，位于用户 /home/ 目录中的用户特定配置文件可以优先于 /etc/ 中的系统级配置。

/tmp/

/tmp/ 目录用于临时存储文件。在某些 Linux 发行版中， /tmp/ 的内容可能会使用 tmpfs 虚拟内存文件系统存储在系统 RAM 中。在取证镜像中，使用 tmpfs 挂载 /tmp/ 的系统可能会显示为空。

/run/

/run/ 目录是一个位于 RAM 中的 tmpfs 挂载目录，在取证镜像上可能会为空。在运行中的系统上，该目录包含运行时信息，如 PID 和锁文件、systemd 运行时配置等。日志或配置文件中可能会引用 /run/ 中的文件和目录。

/home/ & /root/

/home/ 目录是用户主目录的默认位置。用户的主目录包含用户创建或下载的文件，包括配置文件、缓存、数据、文档、媒体、桌面内容以及其他用户拥有的文件。root 用户的主目录通常是 root 文件系统的 /root/ 。这些主目录对取证调查员来说非常重要，因为它们提供了有关系统人类用户的信息。用户主目录的创建时间戳可能表明用户账户何时首次被添加。

/bin/、/sbin/、/usr/bin/和/usr/sbin/

可执行程序的标准位置是 /bin/ 、 /sbin/ 、 /usr/bin/ 和 /usr/sbin/ 。这些目录最初是为了将程序分组，分别供用户、管理员、启动过程或单独挂载的文件系统使用。如今， /bin/ 和 /sbin/ 通常会链接到 /usr/ 中的相应目录，在某些情况下， /bin/ 、 /sbin/ 和 /usr/sbin/ 也会链接到一个包含所有程序的 /usr/bin/ 目录。

/lib/ and /usr/lib//lib/ 和 /usr/lib/

/lib/ 目录在当今大多数 Linux 系统中通常符号链接到 /usr/lib/ 。这包括共享库代码（也适用于多个平台）、内核模块、编程环境支持（头文件）等。 /lib/ 目录还包含许多软件包的默认配置文件。

/usr/

/usr/ 目录包含系统大部分静态只读数据。这包括可执行文件、库、文档等。大多数 Linux 系统会将 /bin/ 、 /sbin/ 和 /lib/ 符号链接到 /usr/ 子目录中的对应文件。这里位于此处的、不属于任何已安装软件包的文件可能具有法证意义，因为它们是在正常软件安装过程之外添加的。这些可能是具有 root 访问权限的用户手动安装的文件，或者是恶意行为者放置的不授权文件。

/var/

/var/ 目录包含变化的系统数据（变量），并且通常在重启后仍然存在。 /var/ 下的子目录从取证角度来看特别有趣，因为它们包含日志、缓存、历史数据、持久临时文件、邮件和打印子系统等。

/dev/、/sys/ 和 /proc/

Linux 还有其他几个 tmpfs 和伪文件系统，在系统运行时看似包含文件，包括 /dev/ 、 /sys/ 和 /proc/ 。这些目录提供了设备或内核数据结构的表示，但内容实际上并不存在于普通文件系统中。在检查取证镜像时，这些目录可能是空的。

/media/

/media/ 目录用于存放动态创建的挂载点，用于挂载外部可移动存储设备，如 CD-ROM 或 USB 驱动器。在检查取证镜像时，此目录可能是空的。在日志、文件系统元数据或其他持久化数据中引用 /media/ 可能提供有关用户连接（已挂载）的外部存储设备的信息。

/opt/

/opt/ 目录包含附加包，这些包通常按供应商名称或包名称分组。这些包可能会创建一个自包含的目录树来组织它们自己的文件（例如， bin/ 、 etc/ 和其他常见子目录）。

/lost+found/

每个文件系统的根目录上可能存在一个 /lost+found/ 目录。如果运行文件系统修复（使用 fsck 命令），并且找到一个没有父目录的文件，该文件（有时称为孤儿文件）会被放置在 /lost+found/ 目录中，以便可以恢复。这些文件没有它们原始的名称，因为包含文件名的目录未知或缺失。

Linux持久化

计划任务

你可以使用 cron 作业来在特定时间或间隔安排任务。crontab 文件中的条目（例如 /etc/crontab，或使用 crontab -e 的每个用户的 crontab）可用于启动脚本或命令。

例如，你可以使用 crontab -l 来获取 crontab 数据：

1
2
3

linuxforensics@ubuntu:~$ crontab -l

0 2 * * /bin/sh backup.sh

SSH Authorized_keys

授权密钥文件，位于 ~/.ssh/.authorized_keys，指定了可用于登录该文件配置的用户账户的 SSH 密钥。

启动应用程序

许多 Linux 桌面环境，如 GNOME 和 KDE，允许用户通过图形设置配置启动应用程序。这些通常是用户特定的，可以通过桌面设置进行配置。

/etc/rc.local

这是一种在启动时运行自定义脚本的传统方法。/etc/rc.local 脚本在系统初始化结束时被执行。

Shell Profile 文件

您可以将命令添加到像 ~/.bashrc、~/.bash_profile 或 ~/.profile 这样的 shell profile 文件中。这些命令将在用户每次登录时被执行。

自动启动目录

一些桌面环境使用自动启动目录来启动用户特定的应用程序。例如，在 GNOME 中，你可以将.desktop 文件放在 ~/.config/autostart/。

服务管理工具

可以使用像 chkconfig 或 update-rc.d（用于 SysV Init）这样的工具来管理服务和它们的运行级别配置。

用户会话启动脚本

在某些情况下，您可能希望在用户会话开始时执行脚本或程序。您可以通过向适当的 shell 启动文件添加命令（例如 ~/.xprofile），或使用桌面环境的会话管理器来实现这一点。

常见的 Linux 日志机制

Linux 中有几种值得注意的日志机制：

1. Syslog: Syslog 是一种标准的日志协议，用于收集和发送网络中的日志消息。Linux 系统通常使用 syslog 将日志数据存储在不同的日志文件中，这些文件通常位于 /var/log/ 目录。常见的日志文件包括 /var/log/messages、/var/log/auth.log 和 /var/log/syslog。这些日志可以提供有关系统和应用程序活动的宝贵信息，例如失败的登录尝试或服务启动。
2. Systemd Journal: Systemd，许多 Linux 发行版中常见的初始化系统，使用 systemd journal 进行日志记录。Journalctl 是用于查询和检查这些日志的命令行工具。与传统平面文本日志文件相比，该 journal 提供了结构化且更全面的信息，包括时间戳、进程 ID 和严重级别等元数据。
3. Auditd: Linux 审计框架允许对系统活动进行详细监控，包括文件访问、进程创建和用户认证。Auditd 是用户空间组件，将其数据记录到 /var/log/audit/audit.log。这是一个强大的工具，用于跟踪变更和潜在的安全事件，常用于合规性较高的环境。
4. SysmonForLinux: 这是一个类似于 Windows Sysmon 的工具，用于监控和记录系统活动，包括进程、网络连接和文件系统写入。SysmonForLinux 以 XML 格式将事件记录到 /var/log/syslog。它特别适用于端点检测与响应（EDR）场景。

Syslog

1
2
3
4
5
6
7
8
9
10
11
12

clubs@htb[/htb]$ tail -n 10 /var/log/syslog

Feb 26 15:45:01 ubuntu CRON[12345]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
Feb 26 15:46:12 ubuntu systemd[1]: Started Time & Date Service.
Feb 26 15:47:23 ubuntu kernel: [ 1234.567890] eth0: link up
Feb 26 15:48:34 ubuntu sshd[67890]: Accepted publickey for john from 10.10.16.14 port 22 ssh2
Feb 26 15:49:45 ubuntu sudo: john : TTY=pts/0 ; PWD=/home/john ; USER=root ; COMMAND=/usr/bin/apt update
Feb 26 15:50:56 ubuntu apt[23456]: Updating package lists...
Feb 26 15:51:07 ubuntu systemd-logind[789]: New session 1 of user john.
Feb 26 15:52:18 ubuntu NetworkManager[890]: <info>  [1234567890.123] dhcp4 (eth0): state changed unknown -> bound
Feb 26 15:53:29 ubuntu rsyslogd: [origin software="rsyslogd" swVersion="8.32.0" x-pid="7785" x-info="<https://www.rsyslog.com>"] rsyslogd was HUPed
Feb 26 15:54:40 ubuntu anacron[34567]: Job `cron.daily' terminated

该输出可以揭示未经授权访问或 cron 作业执行等模式。在取证中，我们经常使用 grep 等工具来过滤特定事件，例如 grep "Failed password" /var/log/auth.log ，以发现暴力破解尝试。

扩展到其他机制

在 Linux 取证中，也有一些常见的高级或专业日志选项：

1. 内核环形缓冲区（dmesg）：记录内核消息，如硬件检测或驱动问题，存储在一个环形缓冲区中。可通过 dmesg 命令或启动时的 /var/log/dmesg 访问。用于调查启动时异常或设备连接问题。
2. 应用特定日志 : 许多服务维护自己的日志，例如 Apache (/var/log/apache2/access.log) 或 MySQL (/var/log/mysql/error.log)。这些日志提供了关于网络流量或数据库查询的详细信息，通常通过 logrotate 在 /etc/logrotate.d/ 中进行轮转。
3. ELK Stack or Splunk Integration : 在企业环境中，日志会被转发到 Elasticsearch、Logstash、Kibana（ELK）或 Splunk 等集中式系统进行聚合和分析。检查 /etc/rsyslog.d/ 目录下的转发配置，以检测数据窃取或监控设置。

例如，要检查内核日志，我们可以使用以下命令：

1
2
3
4
5
6
7

clubs@htb[/htb]$ dmesg | tail -n 5

[12345.678901] usb 1-1: new high-speed USB device number 2 using xhci_hcd
[12345.789012] usb 1-1: New USB device found, idVendor=0781, idProduct=5581, bcdDevice= 1.00
[12345.890123] usb 1-1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
[12345.901234] usb 1-1: Product: Ultra
[12345.912345] usb-storage 1-1:1.0: USB Mass Storage device detected

在调查日志时，应通过复制到取证镜像来保留原始文件。使用 Plaso 的 log2timeline 等工具创建超级时间线，将日志与文件时间戳关联起来。通过 /etc/logrotate.conf 进行日志轮转和压缩可能会隐藏旧事件，因此需要检查 /var/log/*.gz 中的归档文件。

Systemd Journal

可以使用 man systemd.journal-fields 来识别可用于搜索的字段：

使用示例：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

clubs@htb[/htb]$ journalctl --utc --since "2023-10-15 18:00:00" --until "2023-10-15 19:00:00" -D /home/linuxforensics/Desktop/cases/scenario1/collection/uploads/auto/var/log/journal/894062f9af204645a289e8016977fe6c/ -u httpd.service _PID=27804 -o json-pretty

{
        "__CURSOR" : "s=abcdef1234567890;i=1234;b=567890abcdef1234;m=123456789;t=5f1234567890a;x=bcdef1234567890",
        "__REALTIME_TIMESTAMP" : "1697383200000000",
        "__MONOTONIC_TIMESTAMP" : "123456789",
        "_BOOT_ID" : "567890abcdef1234",
        "PRIORITY" : "6",
        "_UID" : "0",
        "_GID" : "0",
        "_SYSTEMD_SLICE" : "system.slice",
        "_MACHINE_ID" : "894062f9af204645a289e8016977fe6c",
        "_HOSTNAME" : "ubuntu",
        "SYSLOG_FACILITY" : "3",
        "SYSLOG_IDENTIFIER" : "httpd",
        "MESSAGE" : "Server started successfully",
        "_TRANSPORT" : "journal",
        "_PID" : "27804",
        "_COMM" : "httpd",
        "_EXE" : "/usr/sbin/httpd",
        "_CMDLINE" : "/usr/sbin/httpd -DFOREGROUND",
        "_CAP_EFFECTIVE" : "0",
        "_SYSTEMD_CGROUP" : "/system.slice/httpd.service",
        "_SYSTEMD_UNIT" : "httpd.service",
        "_SYSTEMD_INVOCATION_ID" : "12345678-90ab-cdef-1234-567890abcdef"
}
<SNIP>

为增强取证分析，考虑导出日志进行离线审查。使用 journalctl -o export > journal.export 创建二进制导出文件，该文件可以在其他地方使用 journalctl --import journal.export 导入。为持久化存储，配置 /etc/systemd/journald.conf 设置 Storage=persistent，确保日志在重启后仍保存在 /var/log/journal/ 中。在调查中，结合过滤器进行目标搜索，例如使用 journalctl -u ssh.service -p err 查找 SSH 错误。像 journalctl --vacuum-time=2weeks 这样的工具可以清理旧条目，但在取证中应禁用此功能以保留数据。对于远程日志，在 journald.conf 中启用转发功能，通过 SystemLogSocket 将日志发送到中央服务器进行聚合。

Auditd

aureport

aureport 工具从审计日志文件生成摘要报告，将数据聚合为可读格式，如事件计数或用户活动摘要。默认情况下，它会查询 /var/log/audit/ 目录中的所有 audit.log 文件来创建报告。您可以使用 aureport 选项 -if file_name 命令指定不同的文件来运行报告。Aureport 通过处理审计日志文件（默认 /var/log/audit/audit.log）并使用选项来指定报告类型来工作，例如 -a 用于认证，-f 用于文件，或 -u 用于用户（例如 aureport -a 用于认证事件的摘要）。它可以按时间筛选（-ts/-te），解释数据（-i），并以适合进一步分析的格式输出，从硬编码的事件类别中提取数据，生成聚合统计数据，如成功/失败计数。

示例命令使用：

1
2
3
4
5
6
7
8
9

linuxforensics@ubuntu:~$ sudo aureport --input /home/linuxforensics/Desktop/cases/scenario1/collection/uploads/auto/var/log/audit/audit.log --login

Login Report
============================================
# date time auid host term exe success event
============================================
1. 02/26/2025 15:00:01 1000 ? /dev/pts/0 /usr/sbin/sshd yes 7050
2. 02/26/2025 15:01:12 0 ? /dev/pts/1 /bin/bash no 5678
<SNIP>

ausearch

Ausearch 用于调查审计追踪，通过搜索日志来查找特定事件，例如失败的登录或文件访问，这对于安全分析、调试以及在事件响应过程中重建行动序列至关重要。默认情况下，ausearch 搜索 /var/log/audit/audit.log 文件。您可以使用 ausearch 选项 -if file_name 命令指定不同的文件。在一个 ausearch 命令中提供多个选项，相当于在字段类型之间使用 AND 运算符，在相同字段类型的多个实例之间使用 OR 运算符。

这样的命令可能看起来像这样：

1
2
3
4
5
6

linuxforensics@ubuntu:~$ sudo ausearch -if /home/linuxforensics/Desktop/cases/scenario1/collection/uploads/auto/var/log/audit/audit.log -m ADD_USER -m DEL_USER -m ADD_GROUP -m USER_CHAUTHTOK -m DEL_GROUP -m CHGRP_ID -m ROLE_ASSIGN -m ROLE_REMOVE -i

----
time->Wed Feb 26 15:02:23 2025
type=USER_CHAUTHTOK msg=audit(1234567890.123:456): pid=12345 uid=0 auid=1000 ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='op=PAM:chauthtok acct="john" exe="/usr/bin/passwd" hostname=? addr=? terminal=pts/0 res=success'
<SNIP>

要列出所有 ausearch 选项，我们可以使用 man ausearch。完整的 Auditd 文档可以在这里找到 这里 。

审计日志基于文本但结构化，包含字段如 type=、msg=audit(timestamp:event_id)：以及键值对（例如 pid=、uid=）。这种格式有助于解析；使用脚本或工具如 awk/grep 进行提取。对于高级分析，通过 audispd 插件转发日志以集成 ELK Stack。

通过规则扩展监控网络变化：

1

linuxforensics@ubuntu:~$ auditctl -a always,exit -F arch=b64 -S socket -k network_mod

在调查中，使用 chattr +i /var/log/audit/audit.log 使日志不可变以防止篡改。与 journalctl 或 syslog 关联以获得更全面的视图——例如，将 Auditd 的系统调用事件与 journal 时间戳进行匹配。

例如，进行状态检查：

1
2
3
4
5
6
7
8
9
10

linuxforensics@ubuntu:~$ sudo auditctl -s

enabled 1
failure 1
pid 1234
rate_limit 0
backlog_limit 8192
lost 0
backlog 0
loginuid_immutable 0 unlocked

SysmonForLinux

支持的事件

安装与配置

要安装 SysmonForLinux，为你的 Ubuntu 发行版添加微软的仓库：

1
2
3
4
5
6
7

cry0l1t3@ubuntu:~$ wget -qO- <https://packages.microsoft.com/keys/microsoft.asc> | sudo apt-key add - 

cry0l1t3@ubuntu:~$ sudo add-apt-repository "deb [arch=amd64] <https://packages.microsoft.com/ubuntu/$>(lsb_release -rs)/prod $(lsb_release -cs) main"

cry0l1t3@ubuntu:~$ sudo apt update && sudo apt install sysmonforlinux -y

cry0l1t3@ubuntu:~$ sudo sysmon -i sysmonconfig.xml   # <- Start with this command for a custom config, or without for defaults

配置使用 XML 文件来过滤事件，例如：

1
2
3
4
5
6
7

<Sysmon schemaversion="4.90">
  <EventFiltering>
    <ProcessCreate onmatch="exclude">
      <Image>/bin/ls</Image>
    </ProcessCreate>
  </EventFiltering>
</Sysmon>

我们可以使用以下方式更新配置：

1

linuxforensics@ubuntu:~$ sudo sysmon -c newconfig.xml

SysmonLogView

SysmonLogView 旨在提升 Linux 系统上 Sysmon 日志输出的可用性。它主要用于将 Sysmon 生成的 XML 格式事件日志（/var/log/syslog）转换为更易于人类阅读的结构化文本格式，使我们能够更轻松地解析、分析和排错系统活动，而无需处理原始 XML 的杂乱信息。它通过从标准输入（stdin）读取 syslog 数据，并将处理后的过滤输出写入标准输出（stdout）来工作，从而可以轻松集成到管道或脚本中，用于实时监控或批量处理。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

linuxforensics@ubuntu:~$ sudo /opt/sysmon/sysmonLogView -h

SysmonLogView v1.0 - Converts Sysmon syslog XML to human readable form
Sysinternals - www.sysinternals.com
By Kevin Sheldrake
Copyright (C) 2021 Microsoft Corporation

Usage:
            sysmonLogView [<options>]
  -e   Only display events with matching eventID. Specify comma-separated list
       of eventIDs and/or multiple -e switches.
  -r   Only display events within the specified range of recordIDs. Specify
       min,max. If min is missing, start from the beginning; if end is missing,
       continue to end.
  -t   Only display events within the specified time stamps. Specify start,end.
       Time format is YYYY-MM-DD HH:MM[:SS[.nnn]] where nnn is milliseconds.
       If start is missing, start at beginning; if end is missing, continue to
       the end.
  -f   For events that have a particular field, only display events that match
       the given value (case sensitive). e.g. '-f Image=/bin/touch'
  -E   Only display the specified fields for the specified event. Specify
       <eventID>=<comma-separated list of fields>. Can use multiple times.
  -X   Print a blank link between events.
  -h   Display this help.
  -?   Display this help.

Supply input data on standard input; writes to standard output. By default all
events are displayed but switches can be used to only display certain events,
and to only display certain fields within the events that are displayed.

Wrap arguments in quotes (e.g. "<argument>") if argument contains spaces.

Typical usage:
  sudo tail -f /var/log/syslog | sudo /opt/sysmon/sysmonLogView

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

linuxforensics@ubuntu:~$ cat /home/linuxforensics/Desktop/cases/HacktiveLegion_15102023/ubuntu/var/log/syslog | sudo /opt/sysmon/sysmonLogView

UtcTime: 2023-10-15 18:00:01.234
ProcessGuid: {ff032593-1234-5678-90ab-cdef12345678}
ProcessId: 12345
Image: /bin/bash
CommandLine: bash script.sh
CurrentDirectory: /home/john
User: john
LogonGuid: {00000000-0000-0000-0000-000000000000}
LogonId: 1000
TerminalSessionId: 1
IntegrityLevel: Medium
Hashes: SHA256=abcdef1234567890
ParentProcessGuid: {ff032593-8765-4321-09ba-fedcba987654}
ParentProcessId: 67890
ParentImage: /usr/sbin/sshd
ParentCommandLine: sshd: john [priv]
<SNIP>

取证技巧

在调查中，将日志管道传输到像 jq 这样的工具进行类似 JSON 的解析： grep "sysmon" /var/log/syslog | jq . 。通过配置 rsyslog 将 Sysmon 事件转发到 SIEM（例如，ELK）。通过 /etc/logrotate.d/syslog 旋转日志以保留历史记录。但是，你需要确保 eBPF 支持内核 4.18+。你可以使用 sysmon -? config 测试配置。

例如，过滤进程创建：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

linuxforensics@ubuntu:~$ sudo tail -f /var/log/syslog | grep "EventID>1" | sudo /opt/sysmon/sysmonLogView -f EventID=1

Event SYSMONEVENT_CREATE_PROCESS
        RuleName: -
        UtcTime: 2025-11-03 15:20:20.326
        ProcessGuid: {7df8f1a8-c834-6908-fd04-c48d09560000}
        ProcessId: 5047
        Image: /usr/bin/sudo
        FileVersion: -
        Description: -
        Product: -
        Company: -
        OriginalFileName: -
        CommandLine: sudo /opt/sysmon/sysmonLogView
        CurrentDirectory: /home/linuxforensics
        User: root
        LogonGuid: {7df8f1a8-0000-0000-0000-000002000000}
        LogonId: 0
        TerminalSessionId: 6
        IntegrityLevel: no level
        Hashes: SHA256=7d3c2983ad2f278d9e799b5792f13f57bf890bd3b03d10b36e53bf0b6677895e
        ParentProcessGuid: {7df8f1a8-c73a-6908-0def-0fa03e560000}
        ParentProcessId: 5018
        ParentImage: /usr/bin/bash
        ParentCommandLine: bash
        ParentUser: root
<SNIP>

您也可以将 SysmonForLinux 与 Auditd 结合使用，以获得更全面的覆盖范围。SysmonForLinux 在进程/网络事件方面表现优异，而 Auditd 负责处理系统调用。此外，使用 SysmonLogView 您可以将日志导出为 CSV 格式进行分析： sysmonLogView -csv output.csv < syslog

内存获取

使用 AVML 的内存转储

最简单的工具是 AVML，它不需要在目标系统上进行任何编译。要获取内存镜像，只需以 root 权限运行它并提供文件名即可。

1
2
3
4
5

clubs@htb[/htb]$ sudo ./avml memdump.mem

Acquiring memory...
Progress: 100% (4.0 GB / 4.0 GB)
Memory acquisition complete. File saved as memdump.mem

使用 LiME 进行内存转储

对于允许使用内核模块的环境，LiME 提供了通过 TCP 转储内存或转储到本地文件的多项灵活选项。首先，在类似系统（匹配内核版本）上使用 make 编译该模块，然后将 .ko 文件传输到目标系统。使用 insmod 加载它，并指定输出格式。

1
2
3
4

clubs@htb[/htb]$ sudo insmod lime.ko "path=tcp:4444 format=lime"

# On the collection host:
clubs@htb[/htb]$ nc -l -p 4444 > memory.lime

这种方法适用于远程获取数据而不写入目标磁盘，从而降低了覆盖证据的风险。

内存分析

vol3

1
2

linuxforensics@ubuntu:~$ git clone https://github.com/volatilityfoundation/volatility3.git
linuxforensics@ubuntu:~$ pip install -r requirements.txt

额外的插件如 linux.ifconfig（网络接口）、linux.mount_cache（挂载的文件系统）和 linux.pidhashtable（进程 ID 哈希表枚举）可提供更深入的系统状态洞察。你可以串联插件或使用自动化工具进行综合分析，例如结合 linux.pslist 和 linux.malfind 来调查可疑进程。

使用 Volatility 进行内存分析

首先我们需要确定获取内存镜像的系统内核版本。我们可以使用 volatility 模块的 banners 功能。

1
2
3
4
5
6
7
8
9

linuxforensics@ubuntu:~$ cd /tools/volatility3
linuxforensics@ubuntu:~/tools/volatility3$ python3 vol.py -q -f ~/Desktop/cases/HacktiveLegion_15102023/memdump.mem banners.Banners

Volatility 3 Framework 2.5.2

Offset  Banner

0x60dd97e0      Linux version 5.15.0-84-generic (buildd@lcy02-amd64-005) (gcc (Ubuntu 9.4.0-1ubuntu1~20.04.2) 9.4.0, GNU ld (GNU Binutils for Ubuntu) 2.34) #93~20.04.1-Ubuntu SMP Wed Sep 6 16:15:40 UTC 2023
<SNIP>

NTFS文件系统时windows NT内核系列操作系统支持的、专门为网络和磁盘配额的，文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更加稳定，更能也更为强大。

NTFS数据流文件也被称为 Alternate data streams，简称ADS，是NTFS文件系统的一个特性之一，允许单独的数据流文件存在，同时也允许文件附着多个数据流，除了主文件流之外还允许许多非主文件流寄生在主文件流中，使用资源派生的方式来维持与文件的相关信息，并且这些寄生的数据流文件我们使用资源管理器无法看到。

Windows NTFS文件系统的交换数据流（Alternate Data Steams, ADS）可以追溯到Windows NT3.1，为了满足Windows系统和苹果HFS（Hierachical File System） 系统的交互需求诞生了交换数据流。NTFS使用的交换数据流来存储文件的相关元数据，包括安全信息、原作者以及其他元数据。
对于隐藏文件，Windows NTFS中的交换数据流事一种简单并且隐蔽的方式。

然后用工具ntfsstreamseditor.exe打开所在文件夹,即可导出隐藏的文件