<aside> <img src="/icons/home_lightgray.svg" alt="/icons/home_lightgray.svg" width="40px" /> HOME


Forensic Tools

Penetration Tools

Vulnerabilities & CVE

BB & Other

CTF

Blog & Books (KNiggas)

About(CV)

</aside>

<aside> <img src="/icons/list-indent_blue.svg" alt="/icons/list-indent_blue.svg" width="40px" /> Table of Contents

</aside>

Инструмент:

avml-minimal.zip

artifactcollector.zip


1. Сбор артефактов утилитой ArtifactCollector

ArtifactCollector – это утилита для сбора первичных артефактов с жесткого диска.

Файл утилиты доступен во вложениях, также доступна контрольная сумма SHA-256 для проверки целостности файла при скачивании.

Необходимо запустить утилиту от имени администратора, дождаться выполнения и прислать получившийся zip-архив.

git clone <https://github.com/forensicanalysis/artifactcollector>
cd artifactcollector
go install .

2. Снимок оперативной памяти утилитой avml

Для создания снимков оперативной памяти на физических Linux хостах рекомендуется использовать утилиту avml: https://github.com/microsoft/avml.

Необходимо запустить в консоли с правами root:

./avml --compress "$(hostname)-$(date +%s)".lime

Также можно дать процессу capability CAP_SYS_RAWIO и запускать от обычного пользователя:

sudo setcap cap_sys_rawio+ep ./avml
./avml --compress "$(hostname)-$(date +%s)".lime

3. Analyze Linux Scripts

Для анализа изменений файлов на Linux хостах написал небольшой скрипт для вывода информации с хэш-суммами и тп в CSV или HTML файл

https://github.com/cleverg0d/Forensics/blob/main/Linux_Forensics/README.md

Forensics/Linux_Forensics at main · cleverg0d/Forensics


4. Ручной анализ

1. Поиск пути заражения

История команд Bash: Проверьте историю команд (~/.bash_history) для поиска подозрительных действий, таких как загрузка или выполнение непроверенных скриптов.

Загрузка файлов: Проверьте журналы загрузки файлов с помощью wget, curl, или SCP в /var/log/secure и /var/log/auth.log.

Установленные пакеты: Убедитесь, что все установленные пакеты из официальных репозиториев, запустив:

dpkg -l | grep -v ii
#или
rpm -qa | grep gpg-pubkey

Скрипты и шедулеры: Проверьте содержимое /etc/cron.*, /var/spool/cron, а также системные таймеры (systemctl list-timers) на предмет наличия скриптов вроде gcc.sh.

2. Сбор базовой информации

Список всех активных процессов:

ps aux --forest > processes.log

Проверка кронтаба и автозапуска:

crontab -l > cron_jobs.log
ls -la /etc/cron* >> cron_jobs.log
ls -la /etc/init.d/ /etc/rc*.d/ >> init_services.log

3. Сетевые соединения

Активные подключения:

netstat -tunlp > network_connections.log
ss -anp > network_details.log

Мониторинг соединений: Используйте tcpdump или ss для анализа активных сетевых соединений.

tcpdump -i eth0 host <IP> and port <порт>