13、系统文件监控与恶意软件分析

系统文件监控与恶意软件分析

1. 文件系统监控工具

1.1 工具概述

恶意软件感染和其他入侵行为常常会对目标系统的文件系统造成改变，通过利用加密哈希函数的特性和一些命令行技巧，我们可以识别出那些被添加、删除或修改的文件。这种技术在服务器或嵌入式设备等不经常发生显著变化的系统上尤为有效。

1.2 工具要求

• 记录给定系统上每个文件的路径。
• 为给定系统上的每个文件创建 SHA - 1 哈希值。
• 能够在稍后重新运行该工具，并输出所有已更改、删除、移动或新增的文件。

1.3 使用的命令

1.3.1 sdiff 命令

sdiff 命令用于并排比较两个文件，并输出它们之间的差异。常见的命令选项如下：
| 选项 | 描述 |
| ---- | ---- |
| -a | 将所有文件视为文本文件 |
| -i | 忽略大小写 |
| -s | 抑制两个文件中相同的行 |
| -w | 每行输出的最大字符数 |

命令示例：

sdiff -s file1.txt file2.txt

此命令用于比较两个文件，并仅输出不同的行。

1.4 操作步骤

1.4.1 步骤 1：建立文件系统基线

建立文件系统基线需要计算当前系统上每个文件的消息摘要（哈希值），并将结果记录到一个文件中。可