<aside> <img src="/icons/home_lightgray.svg" alt="/icons/home_lightgray.svg" width="40px" /> HOME
</aside>
<aside> <img src="/icons/list-indent_blue.svg" alt="/icons/list-indent_blue.svg" width="40px" /> Table of Contents
</aside>
ArtifactCollector – это утилита для сбора первичных артефактов с жесткого диска.
Файл утилиты доступен во вложениях, также доступна контрольная сумма SHA-256 для проверки целостности файла при скачивании.
Необходимо запустить утилиту от имени администратора, дождаться выполнения и прислать получившийся zip-архив.
git clone <https://github.com/forensicanalysis/artifactcollector>
cd artifactcollector
go install .
Для создания снимков оперативной памяти на физических Linux хостах рекомендуется использовать утилиту avml: https://github.com/microsoft/avml.
Необходимо запустить в консоли с правами root:
./avml --compress "$(hostname)-$(date +%s)".lime
Также можно дать процессу capability CAP_SYS_RAWIO
и запускать от обычного пользователя:
sudo setcap cap_sys_rawio+ep ./avml
./avml --compress "$(hostname)-$(date +%s)".lime
Для анализа изменений файлов на Linux хостах написал небольшой скрипт для вывода информации с хэш-суммами и тп в CSV или HTML файл
https://github.com/cleverg0d/Forensics/blob/main/Linux_Forensics/README.md
Forensics/Linux_Forensics at main · cleverg0d/Forensics
История команд Bash: Проверьте историю команд (~/.bash_history) для поиска подозрительных действий, таких как загрузка или выполнение непроверенных скриптов.
Загрузка файлов: Проверьте журналы загрузки файлов с помощью wget, curl, или SCP в /var/log/secure и /var/log/auth.log.
Установленные пакеты: Убедитесь, что все установленные пакеты из официальных репозиториев, запустив:
dpkg -l | grep -v ii
#или
rpm -qa | grep gpg-pubkey
Скрипты и шедулеры: Проверьте содержимое /etc/cron.*, /var/spool/cron, а также системные таймеры (systemctl list-timers) на предмет наличия скриптов вроде gcc.sh.
ps aux --forest > processes.log
crontab -l > cron_jobs.log
ls -la /etc/cron* >> cron_jobs.log
ls -la /etc/init.d/ /etc/rc*.d/ >> init_services.log
netstat -tunlp > network_connections.log
ss -anp > network_details.log
Мониторинг соединений: Используйте tcpdump или ss для анализа активных сетевых соединений.
tcpdump -i eth0 host <IP> and port <порт>