Windows取证:
1.事故发生的时间,缩小范围。
2.提取系统信息。运行 ->Eventvwr.msc
3.web日志提取,搜索"log", 一般IIS 对应的目录C:\windows\system32\Logfiles
4.查看用户 net localgroup administrators
5.查看注册表 注册表键值 ,查看隐藏的用户名
6.用PCHunter 查看,电脑体检
Linux 取证:
一般日志 :/var/log/
历史操作记录: history
查看登录成功:last
查看系统账户: cat /etc/passwd
启动项:cat /etc/rc.local
计划任务: crontab -l
服务: cat /etc/services
查看进程: ps -ef
网络连接:netstat -an
使用高的命令:
cat
grep
find
管道符:|
重定向:> 、 >>
网友评论