(inburst_at_263.net)
系统遭受入侵后使用TCT进行紧急恢复并分析
by inburst[email protected]
http://xfocus.org;http://inburst.org
2001-6-10
从事系统管理工作,就算你非常小心翼翼地做好了一切防护,还是可能有入侵者能够突破你
的防护进入系统,并且更改或者删除一些文件。这里,我们借用honeynet project里面的一些实
例,来对一个unix下的实用工具软件tct及其相关辅助软件做简要说明。并且在最后再介绍另外
一个比较不错的能恢复ext2文件系统的软件recover。
首先说一下相关的软件:
1、The Coroners Toolkit:也就是我们所说的TCT,想要在国内下载的话,您可以到安全焦
点(http://xfocus.org/tool/other/tct-1.07.tar.gz)下载。这是一个unix下的命令行文件系统
工具集,支持FFS及ext2fs,从块及结点处来对数据进行恢复。它能够针对文件的最后修改、访
问或者改变(MAC)的时间来进行分析,并且根据数据节点的值提取出文件列表以进行恢复。
2、TCTUTILs:在http://xfocus.org/tool/other/tctutils-1.01.tar.gz可以下载当前最新
版本。它是对TCT的补充,提供了根据文件名对数据进行恢复的命令行工具。这两个工具都需要
使用者对一些底层基本知识比较了解。
3、Autopsy Forensic Browser:可以从http://xfocus.org/tool/other/autopsy-1.01.tar.gz
下载。它提供了一个友好的html界面给tct及tctutils。它能使枯燥的分析工作相对轻松些:)
一、安装:TCT在各种unix平台下都经过了比较好的测试。现在能够支持FreeBSD、OpenBSD、
SunOS、Linux等平台。TCTUTILs和Autopsy则不一定能跑得起来,我测试的平台是一台默认安装
的Red Hat 6.2系统。
1、tct
# tar zvfx tct-1.07.tar.gz -C /usr/local/tct/; cd /usr/local/tct/tct*; make
这样把tct展开到/usr/local/tct/tct-1.07/的目录下,并且进入,make。这里,如果是make
过之后,需要重新在编译的话,需要运行perl reconfig命令重新配置。
2、tctutils:
# tar zvfx tctutils-1.01.tar.gz -C /usr/local/tct;cd /usr/local/tct/tctu*;make
现在tctutils似乎只在OpenBSD 2.8、Debian Linux 2.2、Solaris 2.7下经过详尽测试,而
对FreeBSD还支持不好。通常make不会出现什么问题,如果有,自己改下代码或者Makefile即可。
3、Autopsy:
解包后运行./configure后,它会自己寻找一些实用工具如grep、strings、md5sum的路径,
并要求确认tct以及tctutils的路径(如果没找到会要求你输入正确路径)。最后要求输入需要检
查的文件系统所在,才生成程序autopsy。
二、honeynet scan15简介:
关于honeynet project的详情,可以参见安全焦点(http://xfocus.org/honeynet/),他们
现在维护着国外honeynet项目的中文镜像。
scan15是honeynet在2001年3月15日于一台受入侵的Linux机器上搜集到的数据而面临的问题。
入侵者下载了一些rootkit放在根目录下,成功安装后删除了。而honeynet project将当时的原始
数据镜像下来,作为题目出给网络安全爱好者,要求对这一被删除的rootkit进行恢复。