Linux系统取证技术详解

一、电子数据取证基础

1. 取证基本概念

电子数据取证学是为打击网络犯罪而生的交叉学科，涉及：

计算机软硬件知识
网络技术
密码学
通信技术
法学知识

洛卡德物质交换原理：犯罪者必留痕，每个犯罪行为都会留下痕迹。电子数据同样遵循这一原理。

2. 电子数据定义

根据2016年两高一部规定：

电子数据是案件发生过程中形成的
以数字化形式存储、处理、传输的
能够证明案件事实的数据

包括但不限于：

网络平台发布的信息（网页、博客、微博等）
通信信息（短信、邮件、即时通信等）
用户信息（注册信息、登录日志等）
电子文件（文档、图片、音视频等）

3. 取证流程

证据收集：注意电子数据的脆弱性（易被病毒、删除、覆盖破坏）
数据获取：
- 使用镜像和写保护技术确保原始数据不被改变
- 需证明转储过程未改变原始数据
数据分析
报告撰写：详细记录关键证据

4. 取证目的与重要性

目的：为法庭审判提供合法证据，可能涉及数据恢复、密码破解等技术。

重要性：

中国网络犯罪占犯罪总数1/3
每年以30%以上速度增长
造成经济损失每年达7000亿以上

二、Linux系统入侵痕迹分析取证

1. 基本信息获取

系统信息

uname -a
lsb_release -a
head -n 1 /etc/issue

用户和组信息

cut -d: -f1 /etc/passwd  # 查看用户
cut -d: -f1 /etc/group   # 查看用户组

网络信息

ip a show    # 网络接口
ip route     # 路由信息
ss -tanp     # 端口信息
iptables -L  # 防火墙

系统运行状态

任务计划：

cat /etc/crontab
ls /var/spool/cron/  # 用户任务计划

进程信息：

ps aux   # 与终端相关/无关的进程
ps -ef   # 显示所有进程
ps -eFH  # 以层级格式显示
top

服务信息：

systemctl list-units --type=service  # 已启动服务
systemctl list-units -t service -a   # 所有服务状态
ls /usr/lib/systemd/system          # 服务目录

2. 日志分析

syslog系统

配置文件：/etc/syslog.conf
三类日志：
1. 系统接入日志：/var/log/wtmp和/var/run/utmp
2. 进程统计日志：pacct或acct
3. 错误日志：/var/log/messages

常用日志文件

日志文件	用途
/var/log/boot.log	系统引导过程信息
/var/log/cron	crond守护进程及子进程动作
/var/log/maillog	电子邮件活动记录
/var/log/messages	多个进程日志的汇总
/var/log/syslog	警告信息（RHEL/Centos需配置）
/var/log/secure	安全相关信息（认证、权限等）
/var/log/lastlog	最近登录事件（仅root可执行）
/var/log/wtmp	用户登录/注销及系统启停记录
/var/run/utmp	当前登录用户信息

日志文件格式示例

/var/log/messages格式：

时间戳 主机名 子系统名称 具体消息
示例：Dec 16 03:32:41 cnetos5 syslogd 1.4.1: restart.

二进制日志查看工具

lastlog：检查用户上次登录时间
last：查看/var/log/wtmp中的登录记录
lastb：查看/var/log/btmp中的失败登录
who：查询当前和历史登录用户

应用日志

Apache：

/var/log/httpd/access.log  # 访问记录
/var/log/httpd/error.log   # 错误记录

CUPS打印系统：

/var/log/cups/access_log  # 打印机设置和作业状态
/var/log/cups/error_log   # 错误信息

Samba服务器：

/var/log/samba/log.smbd   # SMB/CIFS共享信息
/var/log/samba/log.nmbd   # NETBIOS通信信息
/var/log/samba/log.sysname # 特定客户请求

三、取证案例参考

熊猫烧香病毒取证发现

硬盘数据：
- 发现大量黑客工具（灰鸽子、Sniffer等）
- 病毒和木马源代码（VB、VC、Delphi编写）
- 病毒客户端和服务端程序
其他证据：
- 聊天记录
- 盗卖账号信息
- 游戏账号登录信息
- 账目信息文件

四、取证注意事项

证据完整性：确保取证过程不改变原始数据
法律合规性：取证方法和结果需符合法律要求
技术专业性：需掌握专业工具和技术手段
记录完整性：详细记录取证全过程，特别是关键证据

通过系统学习和实践，可以掌握Linux系统取证的核心技术，为打击网络犯罪提供有力支持。

Linux系统取证技术详解一、电子数据取证基础 1. 取证基本概念电子数据取证学是为打击网络犯罪而生的交叉学科，涉及：计算机软硬件知识网络技术密码学通信技术法学知识洛卡德物质交换原理：犯罪者必留痕，每个犯罪行为都会留下痕迹。电子数据同样遵循这一原理。 2. 电子数据定义根据2016年两高一部规定：电子数据是案件发生过程中形成的以数字化形式存储、处理、传输的能够证明案件事实的数据包括但不限于：网络平台发布的信息（网页、博客、微博等）通信信息（短信、邮件、即时通信等）用户信息（注册信息、登录日志等）电子文件（文档、图片、音视频等） 3. 取证流程证据收集：注意电子数据的脆弱性（易被病毒、删除、覆盖破坏）数据获取：使用镜像和写保护技术确保原始数据不被改变需证明转储过程未改变原始数据数据分析报告撰写：详细记录关键证据 4. 取证目的与重要性目的：为法庭审判提供合法证据，可能涉及数据恢复、密码破解等技术。重要性：中国网络犯罪占犯罪总数1/3 每年以30%以上速度增长造成经济损失每年达7000亿以上二、Linux系统入侵痕迹分析取证 1. 基本信息获取系统信息用户和组信息网络信息系统运行状态任务计划：进程信息：服务信息： 2. 日志分析 syslog系统配置文件： /etc/syslog.conf 三类日志：系统接入日志： /var/log/wtmp 和 /var/run/utmp 进程统计日志： pacct 或 acct 错误日志： /var/log/messages 常用日志文件 | 日志文件 | 用途 | |---------|------| | /var/log/boot.log | 系统引导过程信息 | | /var/log/cron | crond守护进程及子进程动作 | | /var/log/maillog | 电子邮件活动记录 | | /var/log/messages | 多个进程日志的汇总 | | /var/log/syslog | 警告信息（RHEL/Centos需配置） | | /var/log/secure | 安全相关信息（认证、权限等） | | /var/log/lastlog | 最近登录事件（仅root可执行） | | /var/log/wtmp | 用户登录/注销及系统启停记录 | | /var/run/utmp | 当前登录用户信息 | 日志文件格式示例 /var/log/messages 格式：二进制日志查看工具 lastlog ：检查用户上次登录时间 last ：查看 /var/log/wtmp 中的登录记录 lastb ：查看 /var/log/btmp 中的失败登录 who ：查询当前和历史登录用户应用日志 Apache ： CUPS打印系统： Samba服务器：三、取证案例参考熊猫烧香病毒取证发现硬盘数据：发现大量黑客工具（灰鸽子、Sniffer等）病毒和木马源代码（VB、VC、Delphi编写）病毒客户端和服务端程序其他证据：聊天记录盗卖账号信息游戏账号登录信息账目信息文件四、取证注意事项证据完整性：确保取证过程不改变原始数据法律合规性：取证方法和结果需符合法律要求技术专业性：需掌握专业工具和技术手段记录完整性：详细记录取证全过程，特别是关键证据通过系统学习和实践，可以掌握Linux系统取证的核心技术，为打击网络犯罪提供有力支持。