휘발성 정보 수집
- 날짜 및 시간 정보
명령어 : date - 시스템 정보 확인
명령어 : uname -a - 프로세스 분석
명령어 : ps -ef , pstree , top - 네트워크 분석
명령어 : ifconfig , netstat -anop , netstat -nr , arp -a , tcpdump -i - 사용자 정보
명령어 : w
비휘발성 정보 수집
- 사용자 정보
명령어 : last , lastlog , /etc/passwd , /etc/shadow - 파일시스템
명령어 : df -k , dpkg -l(레드헷계열은 rpm -qa) - 시간 정보
명령어 : find / -ctime -1 -type f (최근 1시간 이내 속성이 변한 파일만 검색)
(mtime , atime)
윈도우/리눅스 – modify (수정시간/수정시간)
– access(엑세스시간/엑세스시간)
– create/change(생성시간/속성이 변한 시간) - 스케줄 정보
명령어 : crontab -l - 로그 분석
명령어 : history
리눅스의 분석 정보는 >> 을 통해 파일로 저장하여 분석이 가능.
예) #dpkg -l >> dpkg.txt
'공부 > 침해대응' 카테고리의 다른 글
| [침해대응] 가상 환경 구축 #1 - ESXi (0) | 2020.03.25 |
|---|---|
| ELK 설치 (0) | 2020.02.27 |
| Sysmom tools 설치 (0) | 2020.02.24 |
| 시스몬(Sysmon) 설치 (0) | 2020.02.20 |
| 윈도우 분석 도구 (0) | 2020.02.19 |