Kali与编程：Kali Linux 应急响应与取证工具速查手册

【目录】

1. 合规使用声明

2. 模块一：系统实时状态取证

3. 模块二：日志分析与溯源

4. 模块三：文件与磁盘取证

5. 模块四：内存取证

6. 模块五：网络流量取证

7. 模块六：恶意软件分析

8. 模块七：实战应急响应全流程

9. 常用一键取证脚本

---

1. 合规使用声明

本手册仅用于合法授权应急响应、企业安全事件处置、电子取证教学研究。

严禁未经授权对任何设备、数据、网络进行取证、分析、篡改，违者承担相应法律责任。

---

模块一：系统实时状态取证

1.1 ps

- 命令：ps

- 作用：查看当前进程信息，排查异常进程

- 示例：ps aux

1.2 netstat

- 命令：netstat

- 作用：查看网络连接、端口占用

- 示例：netstat -antp

1.3 lsof

- 命令：lsof

- 作用：列出打开文件/端口对应的进程

- 示例：lsof -i :4444

1.4 w

- 命令：w

- 作用：查看当前登录用户与操作行为

- 示例：w

---

模块二：日志分析与溯源

2.1 grep

- 命令：grep

- 作用：快速过滤日志关键内容

- 示例：grep "Failed password" /var/log/auth.log

2.2 last

- 命令：last

- 作用：查看登录历史、重启记录

- 示例：last -x

2.3 lastb

- 命令：lastb

- 作用：查看失败登录记录

- 示例：lastb

2.4 journalctl

- 命令：journalctl

- 作用：查看 systemd 系统日志

- 示例：journalctl -xe | grep ssh

---

模块三：文件与磁盘取证

3.1 md5sum / sha256sum

- 命令：md5sum

- 作用：计算文件哈希，校验完整性

- 示例：md5sum file.exe

3.2 strings

- 命令：strings

- 作用：提取文件中可打印字符串

- 示例：strings malware.bin

3.3 find

- 命令：find

- 作用：查找可疑文件、后门脚本

- 示例：find / -name "*.sh" -mtime -1

3.4 dd

- 命令：dd

- 作用：磁盘镜像完整备份

- 示例：dd if=/dev/sda of=image.dd

---

模块四：内存取证

4.1 volatility3

- 命令：volatility3

- 作用：内存镜像深度分析

- 示例：vol -f mem.raw windows.pslist

4.2 bulk_extractor

- 命令：bulk_extractor

- 作用：从内存/镜像中提取邮箱、URL、密码等特征

- 示例：bulk_extractor -o out mem.raw

4.3 memdump

- 命令：memdump

- 作用：导出系统内存镜像

- 示例：memdump > memdump.bin

---

模块五：网络流量取证

5.1 tcpdump

- 命令：tcpdump

- 作用：实时抓包、流量留存

- 示例：tcpdump -i eth0 -w traffic.pcap

5.2 wireshark / tshark

- 命令：tshark

- 作用：命令行流量分析

- 示例：tshark -r traffic.pcap -T fields -e ip.src

5.3 ngrep

- 命令：ngrep

- 作用：按关键词过滤流量

- 示例：ngrep -d eth0 "password"

---

模块六：恶意软件分析

6.1 clamscan

- 命令：clamscan

- 作用：病毒/恶意软件扫描

- 示例：clamscan -r /home

6.2 chkrootkit

- 命令：chkrootkit

- 作用：检测 rootkit 后门

- 示例：chkrootkit

6.3 rkhunter

- 命令：rkhunter

- 作用：系统后门、漏洞检测

- 示例：rkhunter --check

---

模块七：实战应急响应全流程

流程1：Linux 入侵排查全流程

1. 实时状态：ps aux、netstat -antp

2. 登录溯源：last、lastb

3. 日志分析：grep "ssh" /var/log/auth.log

4. 文件取证：find / -mtime -1、md5sum

5. 内存分析：memdump + volatility

6. 流量留存：tcpdump -w traffic.pcap

流程2：Windows 应急简易流程

1. 进程查看：tasklist

2. 网络连接：netstat -ano

3. 日志导出：wevtutil

4. 内存镜像：获取 mem.raw

5. 哈希校验：sha256sum

6. 恶意软件扫描：clamscan

---

常用一键取证脚本

一键系统状态取证

ps aux > process.log && netstat -antp > net.log && last > login.log

一键抓包10分钟

tcpdump -i eth0 -w traffic.pcap -G 600 -W 1

一键查找最近24小时修改文件

find / -mtime -1 -type f > recent_file.log

一键内存字符串提取

bulk_extractor -o out_dir memdump.bin

点击下方链接，学习Kali与编程最全课

https://b23.tv/LK8FUcEhttps://b23.tv/LK8FUcE