9、系统数据初步分析与实时响应指南
系统数据初步分析与实时响应指南
1. 字符串搜索技巧
在实时系统或已启动的镜像上进行字符串搜索是一种简单而强大的方法。不过,要注意虚拟内存、物理内存和交换空间中的页面会以无组织的方式被覆盖,这可能导致搜索陷入死胡同或得到无效结果。因此,要将搜索得到的信息与调查过程中获取的其他信息结合使用。
操作系统不会提示你使搜索请求更具体,你输入什么就会得到相应的搜索结果。所以,必须学会正确堆叠搜索参数,让关键字搜索更高效。
例如,在Ubuntu 7.10(Gutsy)机器上对kcore_strings进行“nc”关键字搜索,结果会列出所有包含“n”和“c”连在一起的条目,这显然不是精准的搜索,需要细化参数。
netcat可用于发送或接收信息,其命令结构如下:
- 发送文件:nc <host.example.com> (or IP address) <port> < infile
- 接收文件:nc –l (for *l*isten) <port> > outfile
基于此信息,可细化搜索,判断被调查主机是否使用netcat发送或接收过文件。
关键字搜索既是一门科学,也是一门艺术。要有效发现异常,需了解系统的正常工作方式、数据的存储位置和呈现形式。在处理案例时,建立自己的关键字列表,因为可能会再次遇到相同的关键字。此外,使用虚拟化工具或测试箱进行指纹识别是个好办法,这样能了解黑客常用工具的默认位置。