在UNIX/Linux系統(tǒng)取證中，及時(shí)收集硬盤的信息至關(guān)重要，《Unix/Linux網(wǎng)絡(luò)日志分析與流量監(jiān)控》一書中，將詳細(xì)討論各種常見系統(tǒng)進(jìn)程系統(tǒng)調(diào)用及鏡像文件獲取方法。下面簡(jiǎn)單舉幾個(gè)例子。

1.收集正在運(yùn)行的進(jìn)程

在UNIX/Linux取證時(shí)很多系統(tǒng)和網(wǎng)絡(luò)信息是短時(shí)存在的可謂是轉(zhuǎn)瞬即逝，如何準(zhǔn)確的捕捉到哪些蛛絲馬跡呢?網(wǎng)絡(luò)安全人員需要具有敏銳的觀察力和豐富的經(jīng)驗(yàn)下面例舉幾個(gè)常用的方法。

首先，在收集主機(jī)上啟動(dòng)一個(gè)監(jiān)聽進(jìn)程：

#nc -l -p 10005 >ps_lsof_log 

執(zhí)行完這條命令后回車，系統(tǒng)打開10005端口等待接受，然后在被調(diào)查的另一主機(jī)上運(yùn)行相應(yīng)的ps 調(diào)用：

#(ps aux; ps-auxeww; lsof)|nc 192.168.150.100 10005 -w 3 

幾秒鐘后回到命令行提示符，需要注意的是這兩條命令成對(duì)出現(xiàn),發(fā)送完數(shù)據(jù)后開啟的端口接收數(shù)據(jù)接收完畢即關(guān)閉端口，如果你第二次沒有開啟監(jiān)聽端口，繼續(xù)發(fā)送ps數(shù)據(jù)就會(huì)出現(xiàn)連接訪問拒絕。

#(ps aux;ps auxeww;losf) | nc 192.168.150.109 10005 –w 3 
(UNKNOWN) [192.168.150.109] 10005 (?) : Conection refused 

在上述命令中，有的命令產(chǎn)生長(zhǎng)輸出結(jié)果，有的產(chǎn)生短輸出結(jié)果，作為收集證據(jù)來說，這都要加以利用。那么有哪些命令能夠使用的可收集正在運(yùn)行的進(jìn)程信息的工具呢?

例如：

• who;
• uptime;
• ps(查看進(jìn)程的內(nèi)存地址：ps -ealf);
• top;
• lsof(查看進(jìn)程已打開的文件：lsof -p PID);
• strace(跟蹤進(jìn)程的系統(tǒng)調(diào)用和信號(hào)：strace -p PID);
• truss;
• ltrace(跟蹤進(jìn)程的庫調(diào)用:ltrace -p PID)等。

2.Linux下系統(tǒng)調(diào)用查看工具

類似篡改系統(tǒng)文件、植入木馬或許在控制臺(tái)上能騙過初級(jí)管理員，一旦深入到系統(tǒng)層面木馬們都會(huì)原形畢露，Strace常用來跟蹤進(jìn)程執(zhí)行時(shí)的系統(tǒng)調(diào)用和所接收的信號(hào)。 Linux系統(tǒng)，進(jìn)程不能直接訪問硬件設(shè)備，當(dāng)進(jìn)程需要訪問硬件設(shè)備(比如讀取磁盤文件，接收網(wǎng)絡(luò)數(shù)據(jù)等等)時(shí)，必須由用戶態(tài)模式切換至內(nèi)核態(tài)模式，通過系統(tǒng)調(diào)用訪問硬件設(shè)備。所謂系統(tǒng)調(diào)用(Systemcall)，就是內(nèi)核提供的、功能十分強(qiáng)大的一系列的函數(shù)。這些系統(tǒng)調(diào)用是在內(nèi)核中實(shí)現(xiàn)的，再通過一定的方式把系統(tǒng)調(diào)用給用戶。Strace可以跟蹤到一個(gè)進(jìn)程產(chǎn)生的系統(tǒng)調(diào)用,包括參數(shù)，返回值，執(zhí)行消耗的時(shí)間。Strace在本書的應(yīng)用見本章的案例研究一。

3.UNIX下系統(tǒng)調(diào)用查看工具

DTrace是Unix平臺(tái)下的動(dòng)態(tài)跟蹤工具，是由 Sun公司開發(fā),可以以對(duì)核心(kernel)和應(yīng)用程序(user application)進(jìn)行動(dòng)態(tài)跟蹤,當(dāng)然也可以找出系統(tǒng)瓶頸，在甲骨文收購Sun之后這一技術(shù)又被移植到了Oracle Linux系統(tǒng)繼續(xù)發(fā)揚(yáng)光大(更多參考Announcement:Dtrace for Oracle Linux General Availability)。

這款工具在Solaris 和Open Solaris平臺(tái)下都可以使用。

4.應(yīng)用舉例

①顯示當(dāng)前動(dòng)態(tài)系統(tǒng)中的動(dòng)態(tài)Dtrace探針probe

#dtrace -l |more 

②通常我們查看系統(tǒng)firefox進(jìn)程的情況使用如下命令

#ps -e |grep firefox 

也可以用Dtrace查看probe探針，操作如下：

何看機(jī)器忙閑狀態(tài)呢，常用vmstat，得知產(chǎn)生2535多系統(tǒng)調(diào)用。但是，如何簡(jiǎn)單查找哪個(gè)進(jìn)程的問題呢?試用建議使用dtrace工具。

從最后一行顯示看，顯然發(fā)現(xiàn)firefox-bin是產(chǎn)生大量系統(tǒng)調(diào)用的程序, 再看看I/O分布。例如還是firefox進(jìn)程，輸入以下命令。

通過以上顯示，可觀察到大量Firefox產(chǎn)生的I/O在8～64字節(jié)間，接著深入看Firefox程序內(nèi)部情況，輸入以下命令。

Dtrace功能強(qiáng)大，精度高，而Solaris 10下的老牌系統(tǒng)跟蹤工具truss，值得大家注意的是truss工具有時(shí)會(huì)降低系統(tǒng)25%～30%的CPU利用率。

5.Systrace

另一款功能更加強(qiáng)大的系統(tǒng)調(diào)用外帶報(bào)警功能的開源軟件systrace就嵌入在OpenBSD系統(tǒng)中，在FreeBSD和Linux也可以自行安裝。Systrace工具，可以用來防止木馬軟件對(duì)系統(tǒng)的危害。在這個(gè)例子中如下圖所示，Systrace檢測(cè)在fragroute-1.2目錄下的一個(gè)配置中包含惡意腳本木馬。

systrace檢查木馬

Systrace工具下載地址： http://www.citi.umich.edu/u/provos/systrace/systrace-1.6f.tar.gz

6.收集/proc系統(tǒng)中的信息

Proc一直伴隨著Liux kernel, 發(fā)展至今在Linux開始主要應(yīng)用在網(wǎng)絡(luò)相關(guān)方面, 后來為了簡(jiǎn)化系統(tǒng)管理和調(diào)試, 逐漸把它應(yīng)用到其他方面。現(xiàn)在, proc已經(jīng)成為L(zhǎng)inux 內(nèi)核中使用最廣泛和最成功的特性之一。Proc在內(nèi)存中建立虛擬的文件節(jié)點(diǎn), 用戶可以直接使用文件系統(tǒng)中的標(biāo)準(zhǔn)系統(tǒng)調(diào)用去訪問proc 下的信息, 當(dāng)用戶發(fā)出訪問/proc下的“文件”請(qǐng)求時(shí), 再由系統(tǒng)動(dòng)態(tài)生成。所以Proc就是一個(gè)虛擬的文件系統(tǒng)，通過文件系統(tǒng)的接口實(shí)現(xiàn)，當(dāng)系統(tǒng)重啟或電源關(guān)閉時(shí)這個(gè)文件系統(tǒng)的數(shù)據(jù)將消失。/proc還為/dev/kmem 提供一個(gè)結(jié)構(gòu)化的接口，便于系統(tǒng)診斷并查看每一個(gè)正在運(yùn)行的可執(zhí)行文件的環(huán)境。內(nèi)存中的每個(gè)進(jìn)程在/proc 中都有一個(gè)目錄，按它的進(jìn)程ID 來命名。如果在上面列出的ps 的輸出中看不見的進(jìn)程出現(xiàn)在/proc 中，這就可能是ps 已被特洛伊化了(被篡改并加了危險(xiǎn)程序)，所以我們要熟悉Proc,以便應(yīng)對(duì)攻擊者對(duì)proc下的文件做手腳。trace:DynamicTracing in Oracle Solaris,MacOS X and FreeBSD》

下面通過nc命令，如何通過網(wǎng)絡(luò)收集proc進(jìn)程的方法，為了收集 Proc進(jìn)程 ，使用下面用2條命令:

#nc -l –p 10006>proc_log  
#ls -d/proc[1-9] * | nc 192.168.0.2 10006 -w 3 

下期案例預(yù)報(bào)，對(duì)于這個(gè)nc命令，在網(wǎng)絡(luò)取證中能起到關(guān)鍵作用，在下面這起網(wǎng)絡(luò)安全事件分析在nc就起到了關(guān)鍵作用。