您的位置:首页 > 房产 > 建筑 > 进程和文件痕迹排查——LINUX

进程和文件痕迹排查——LINUX

2024/12/23 14:20:36 来源:https://blog.csdn.net/m0_53008479/article/details/141441487  浏览:    关键词:进程和文件痕迹排查——LINUX

目录

    • 介绍
    • 步骤

介绍

进程(Process)是计算机中的程序关于某数据集合上的一次运行活动,是系统进行资源分配和调度的基本单位,是操作系统结构的基础。

在早期面向进程设计的计算机结构中,进程是程序的基本执行实体;在面向线程设计的计算机结构中,进程是线程的容器。主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进程对恶意进程进行守护。

在应急响应排查的过程中,由于大部分的恶意软件、木马、后门等都会在文件维度上留下痕迹,因此对文件痕迹的排查必不可少。一般,可以从以下几方面对文件痕迹进行排查:
(1)对恶意软件常用的敏感路径进行排查;
(2)在确定了应急响应事件的时间点后,对时间点前后文件进行排查;
(3)对带有特征的恶意软件进行排查,这些特征包括代码关键字或关键函数、文件权限特征等。

rpm命令结果中,S代表文件大小发生了变化,5代表文件的md5值发生了变化,T代表文件时间发生了变化

步骤

执行命令netstat -anptl查看外连的网络
在这里插入图片描述
这个外连的网络是会变化的

可以看到外连的进程和PID,利用ls /proc/PID初步查看
在这里插入图片描述
利用lsof -p PID进一步确认
在这里插入图片描述

排查是否有命令被替换,利用命令rpm -Vf /usr/bin/*查看
在这里插入图片描述

查看ps文件的内容
在这里插入图片描述

新ps文件的内容是,执行每次ps命令都先执行centos_core.elf文件和.hidden_command/ps文件,grep -v是每次执行时只打印没有匹配的内容(隐藏了执行的报错信息)

执行.hide_command/ps文件,是正常的ps文件
在这里插入图片描述

利用stat命令查看文件
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com