Linux 取证分析全解析
1. 历史背景
在 2007 年,一位从事事件响应分析工作的专业人士,为完成信息安全硕士学位论文,决定选择 UNIX 取证分析这一具有挑战性的主题。起初,他本可以在同事 Harlan Carvey 的帮助下撰写关于 Windows 取证的论文,但他希望挑战自我,便投身于 UNIX 取证分析领域。
然而,研究过程中他发现 UNIX 取证的概念极为广泛,且当时几乎没有专门针对此领域的书籍。尽管找到了一些优秀的文章和白皮书,但缺乏系统性的资料。同时,他意识到 UNIX 存在众多变体,如 Solaris、AIX、HP - UX、BSD、Tru64 以及多种 Linux 版本。由于涵盖所有变体和架构、命令结构差异的书籍编写不切实际,最终选择聚焦于 Linux 2.6.22 - 14 内核,以 Ubuntu 7.10 Gutsy Gibbon 或 Fedora Core 8 为例进行讲解。不过,有 UNIX 使用经验的人可以灵活运用书中的命令结构或做些细微调整。
在完成论文后,他深刻认识到 UNIX 取证领域存在知识缺口。虽然有一些论坛和资料可供参考,但对于新手来说,缺乏一站式的全面信息,甚至可能因询问基础问题而感到尴尬。于是,他决定编写一本专门的 Linux 取证书籍,并从多位同事那里获取建议和反馈,Cory 和 Todd 也加入进来,为书籍的完成提供了重要帮助。
2. 目标受众
由于 Windows 系统的广泛使用,约 80% 的事件响应案例是基于 Windows 系统的,仅有约 20% 涉及 UNIX 变体。如果你遇到了这 20% 的nix 案例,且对 Linux 系统作为主机操作系统或用于取证调查缺乏
