攻擊取證之日志分析(二)

本期將給大家帶來系統的日志分析。

上期為大家介紹了攻擊取證之日志分析(一)中的Web日志分析,因此本期將給大家帶來系統的日志分析。眾所周知,操作系統有很多,但是市面上一般比較主流的操作系統有Windows、Linux以及Mac。其中比較常見的還是Windows以及Linux,Mac畢竟價格有些高昂。在比賽中,系統日志分析的題目更是少之又少,但有時也會結合在一些其他的題目中,因此了解一下也是必要的。接下來,斗哥將從Linux和Windows的系統日志進行講解。


Linux操作系統

Linux的系統日志一般存放在/var/log目錄下,常見的日志(列舉部分)有以下:

001.jpg


●? /var/log/messages

用于記錄系統相關信息,如執行程序、系統錯誤、啟動信息等,一般我們會使用message進行查看可疑程序執行的可疑操作,系統在執行程序時出現錯誤等,具體日志信息如下:

ME.webp.jpg

對應的格式:

日期 時間 主機 執行的程序[進程ID]:具體信息


●? /var/log/boot.log

用于記錄系統啟動信息的日志,一般用于查看在系統啟動時所有相關信息,具體如下:

log.webp.jpg


不難發現,該日志記錄的是系統啟動時的啟動信息,比如開啟了哪些服務、做了什么操作都能一目了然。


●? /var/log/lastlog

用于記錄了用戶近期登陸情況,直接查看lastlog,可能信息不太明顯,但是也可以使用lastlog命令進行查看,會比較詳細:

詳細.jpg

從上圖中可以看出,root用戶在5月26日23:23:42登陸到終端,IP為192.168.153.1。


●? /var/log/cron

Linux的計劃任務相關信息的日志,我們也會使用它來找尋攻擊者可能會寫入的一些惡意計劃任務,其中可能會帶有一些惡意軟件等相關信息。

信息.webp.jpg


斗哥特意在計劃中添加了一個flag,通過cron日志我們可以很明顯的看到,有個flag,當然在真實環境或者是CTF比賽中,當然不會這么簡單,但是基本上我們排查問題思路也是如此。


●? /var/log/secure

此日志是linux 的安全日志,被用于記錄用戶工作的安全相關問題以及登陸認證情況,如:

認證.webp.jpg


不難發現,上面記錄了一些服務如polkitd、login、sshd等,無論成功與否,均會被記錄到此日志中,有時我們也可以通過它來判斷服務器是否被攻擊(如暴力破解、調用一些系統方法等),以下舉個被爆破之后的日志:

爆破.webp.jpg

可以從上圖中很容易發現該服務器正在被IP為192.168.153.167的攻擊機在短時間內對root用戶進行多次嘗試ssh登錄。

講完Linux,就得講一講Windows了,Windows大家肯定比較熟悉,因為我們現在的筆記本也基本都是Windows操作系統,但是說起查日志,可能還是相對比較少,但在Windows服務器中,日志還是挺關鍵的,確切的說不管在什么操作系統中,日志都是很重要的。

話不多說,開始和大家一起分析分析Windows日志。


Windows操作系統

Windows日志一般在事件查看器中可以進行查看,通常分為五個:應用程序、安全、Setup、系統、轉發事件。并且這五個中又以應用程序、安全以及系統日志較為常見,因此在本期中,將介紹這三個。


應用程序日志

此日志顧名思義便是記錄了應用程序的運行情況,包括運行出錯、甚至于出錯的原因,如:

應用.webp.jpg

它指出了錯誤應用程序名稱、版本、具體時間錯,并且還指出了錯誤的模塊以及異常代碼,故而,我們可以通過這些信息,進行對應的故障排查,具體如何排查可通過適當的資料等進行,斗哥在此便不做過多說明,需要提的是它在Windows中保存在Application.evtx文件中,如果在CTF比賽中,看到這個文件,那么可能就是讓你進行應用程序日志分析了。


安全日志

此處的安全日志和Linux的安全日志相似,但是它只記錄用戶登陸情況、用戶訪問時間以及訪問是否授權等,通過它我們可以輕松的發現是否存在爆破風險(一般在短時間內發現大量登陸失敗,即可認為該賬號被爆破了)。

日志.webp.jpg

上圖顯示的是正常的日志,并且它所給的信息也非常詳細(以一個登陸失敗為例)。

登錄.webp.jpg

它詳細到可以發現使用者信息、登陸類型、登陸失敗的賬戶、失敗信息、進程信息、內網信息以及詳細身份驗證信息等,十分方便。它在操作系統中保存在Security.evtx文件下,我們也可以通過雙擊它打開安全日志。


系統日志

系統日志則是記錄了操作系統安裝的應用程序軟件相關的事件。它包括了錯誤、警告及任何應用程序需要報告的信息等。

系統.webp.jpg

相比于Linux 的日志,Windows對于系統日志的記錄,也是挺詳細的,我們可以通過它來進行一些分析判斷,它存在于System.evtx文件中。


本期小結

本期的日志分析就介紹到此,主要為系統日志分析,這在分析取證中還是蠻重要的,也歡迎大家把自己對系統日志的分析相關題目發給斗哥,斗哥在此非常期待大家的分享。下期預告,下期將會針對日志分析的工具使用進行介紹,希望大家持續關注。

qrcode_for_gh_223e082fe8a7_430.jpg

發表評論

已有 2 條評論

取消
Loading...

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图