Linux处事器安详变乱应急的一些漫笔 - 备份篇

或许就可以领略为Linux的内核是一块支持热插拔的板卡，在其运行进程中我们可以随时插入一个成果板，为其扩展成果。在不消的时辰我们又可以将这块成果板给拔掉。这样我们就可以在不消修改内核的环境下扩展了其成果。前面提到的fmem也是运用到了Linux内核的这个特征，下面要用的这个器材也是运行的这个特征。

在Linux中我们可以通过

lsmod 查察有哪些成果版正插在板卡上

insmod 插入一块新的成果版

rmmod 拔出一块成果版

内存备份器材LiME

https://github.com/504ensicslabs/lime

git下源码丢进kali里举办编译假设你编译有题目，好比相同的这种错误

make -C /lib/modules/2.6.32-25-generic-pae/build M="/test/LiME/src" modules 
make[1]: Entering directory `/lib/modules/2.6.32-25-generic-pae/build' 
make[1]: *** No rule to make target `modules'.  Stop. 
make[1]: Leaving directory `/lib/modules/2.6.32-25-generic-pae/build'make: *** [default] Erro 

你也许必要这个呼吁

apt-get install linux-headers-$(uname -r) 

去安装当前内核的开拓包完成LiME的编译

记得安装完内核开拓包后前去/lib/modules/xxxx-amd64目次下查察有没有build和source的软链接

没有的话通过下面呼吁建设一下

ln -s /usr/src/linux-headers-x.xx.x-x-amd64 build 
ln -s /usr/src/linux-headers-x.xx.x-x-common source 

没什么其他错误的话我们就可以加载这个模块举办内存备份了

进入其src目次举办编译# makemake -C /lib/modules/4.9.0-kali4-amd64/build M="/root/Github/LiME/src" modules

make[1]: Entering directory '/usr/src/linux-headers-4.9.0-kali4-amd64' 
  Building modules, stage 2. 
  MODPOST 1 modules 
  LD [M]  /root/Github/LiME/src/lime.ko 
make[1]: Leaving directory '/usr/src/linux-headers-4.9.0-kali4-amd64'strip --strip-unneeded lime.ko 
mv lime.ko lime-4.9.0-kali4-amd64.ko 

编译乐成后会在当前目次天生lime-4.9.0-kali4-amd64.ko文件

执行呼吁

# insmod ./lime-4.9.0-kali4-amd64.ko "path=/test/testmem.lime format=lime" 

稍等半晌完成内存的备份，个中path参数为备份内存生涯的路径，format为生涯名目，提议行使lime名目，利便我们后头通过volatility举办说明

简朴的先测试下方才备份的内存是否可以被volatility辨认

# python vol.py -f /test/testmem.lime --profile=Linuxkalix64 limeinfoVolatility Foundation Volatility Framework 2.6 
Memory Start       Memory End         Size               
------------------ ------------------ ------------------ 
0x0000000000001000 0x000000000009f3ff 0x000000000009e400 
0x0000000000100000 0x00000000546dffff 0x00000000545e0000 
0x0000000054700000 0x00000000547fffff 0x0000000000100000 

内存备份完后卸载lime模块

很无奈的备份

安详应急实验进程中偶然辰甲方爸爸也不必然让你搞这搞那，一句话，你要啥日记~ 我~ 甲方爸爸~ 给日记~

这时不免被这王霸之气震惊，随记录下必要备份哪些日记以及文件以免漏掉

打包打包打包

/var/log完备打包

视详细环境而定，假设日记过多环境下，则也许必要我们举办筛选打包

# tar -czvf xx_var_log_time.tar.gz /var/log 

针对web入侵应急还需备份出web应用，nginx日记等

常常会漏掉的一些内容

备份passwd和shadow文件说明是否存在可疑账号

好比某些本该是体系用户的账号却存在了口令字段

# cat /etc/passwd > etc_passwd.txt# cat /etc/shadow > etc_shadow.txt 

备份当前收集毗连环境# netstat -anp > netstat_anp.txt

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!