一、AIDE AIDE(Advanced Intrusion Detection Environment)是一款针对文件和目录进行完整性对比检查的程序,它被开发成Tripwire的一个替代品。...当管理员想要对系统进行一个完整性检测时,管理员会将之前构建的数据库放置一个当前系统可访问的区域,然后用AIDE将当前系统的状态和数据库进行对比,最后将检测到的当前系统的变更情况报告给管理员。...另外,AIDE可以配置为定时运行,利用cron等日程调度技术,每日对系统进行检测报告。 这个系统主要用于运维安全检测,AIDE会向管理员报告系统里所有的恶意更迭情况。...使用命令rkhunker -c对系统进行检测。...rkhunker -c对系统进行检测。
可以发现,由b29d0b8948ed59333490babc1f85442b,040e81279652e493b4ab629446bda08181125a61...
bytes 62348 (60.8 KiB) TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 2.uname 用于查看系统内核与系统版本等信息...,格式:uname[-a] [root@linuxprobe Desktop]# uname -a Linux linuxprobe.com 3.10.0-123.el7.x86_64 #1 SMP Mon...May 5 11:16:57 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux [root@linuxprobe Desktop]# cat /etc/redhat-release...Red Hat Enterprise Linux Server release 7.0 (Maipo) 3.uptime 查看系统负载信息 格式 uptime [root@linuxprobe Desktop...格式:last[参数] 7.history 用于显示历史执行过的命令 格式:history [-c] 8.sosreport 用于收集系统配置及架构信息并输出诊断文档 格式:sosreport
CRC校验技术是用于检测数据传输或存储过程中是否出现了错误的一种方法,校验算法可以通过计算应用与数据的循环冗余校验(CRC)检验值来检测任何数据损坏。...通过运用本校验技术我们可以实现对特定内存区域以及磁盘文件进行完整性检测,并以此来判定特定程序内存是否发生了变化,如果发生变化则拒绝执行,通过此种方法来保护内存或磁盘文件不会被非法篡改。...总之,内存和磁盘中的校验技术都是用于确保数据和程序的完整性和安全性的重要技术。...内存CRC32特征检测通常用于防止软件破解或打补丁,内存特征码检查实现原理是通过定位到.text节表的首地址及该节的长度,然后计算该节的CRC32值并存入全局变量,通过在程序内部打开一个子线程用于实时监测内存...end_addr - begin_addr;计算即可获取到当前所需要保护的内存长度,最后通过CalculateMemoryCRC32实现计算内存CRC的目的,读者可以在当前进程内启动子线程用于实现专门的内存检测
check_syscall.zip 随内核版本的变化,会增加一些新的系统调用,但如果glibc没有跟上,则不能直接调用,这个时候可以自己包装一下。...如果想知道内核是否支持某系统调用,先得知道它的系统调用ID号,下面代码即是用来检查是否支持epoll_create1: // 文件名: x.cpp // 编译: g++ -g -o x...Function not implemented perror("epoll_create"); exit(1); } // 走到这里,表示支持该系统调用
CRC校验技术是用于检测数据传输或存储过程中是否出现了错误的一种方法,校验算法可以通过计算应用与数据的循环冗余校验(CRC)检验值来检测任何数据损坏。...通过运用本校验技术我们可以实现对特定内存区域以及磁盘文件进行完整性检测,并以此来判定特定程序内存是否发生了变化,如果发生变化则拒绝执行,通过此种方法来保护内存或磁盘文件不会被非法篡改。...总之,内存和磁盘中的校验技术都是用于确保数据和程序的完整性和安全性的重要技术。...磁盘CRC(循环冗余校验)用于检测磁盘数据的完整性,一般而言某些木马专杀工具同样会用到磁盘CRC特征校验技术,该技术的实现原理与内存验证原理完全一致,针对磁盘的验证同样很简单,但此处我们需要将计算到的CRC32...// 检查磁盘完整性BOOL CalculateDiskCRC32(){ char szFileName[MAX_PATH] = { 0 }; char *pBuffer; DWORD
可以监视系统负载、进程状态、CPU和内存占用。有一个更易用的变种htop。 ps:显示系统所有运行中进程的一个快照。...输出可以定制成显示PID、PPID、用户、负载、内存、积累的用户/系统时间、启动时间、以及更多。有一个变种pstree可以用树结构显示进程。...vmstat:一个简单的命令行工具,可以显示多个实时系统特征,例如进程数、剩余内存、分页状态、CPU占用、块设备I/O活动、中断/上下文切换统计、等等。
通常程序中至少包括了代码段,数据段,而数据段中所存储的数据是经常会发生变动的,例如我们的全局变量,静态变量等都会默认存储在数据段,而代码段则不会发生变化,我们在检验时只需要注重.text内存段中的数据完整性即可...,针对内存的校验同样可以抵御调试器的CC断点,该断点原理就是在下端处写入int3指令,同样可以检测得到。...pause"); return 0; } 2.第二部就是计算校验和,然后计算该节的CRC32值,并存入全局变量,也就是程序打开后自动初始化计算一次内存crc32值并放入全局变量中,然后开一个线程,每三秒检测一次内存变化
CRC校验技术是用于检测数据传输或存储过程中是否出现了错误的一种方法,校验算法可以通过计算应用与数据的循环冗余校验(CRC)检验值来检测任何数据损坏。...通过运用本校验技术我们可以实现对特定内存区域以及磁盘文件进行完整性检测,并以此来判定特定程序内存是否发生了变化,如果发生变化则拒绝执行,通过此种方法来保护内存或磁盘文件不会被非法篡改。...总之,内存和磁盘中的校验技术都是用于确保数据和程序的完整性和安全性的重要技术。...磁盘CRC(循环冗余校验)用于检测磁盘数据的完整性,一般而言某些木马专杀工具同样会用到磁盘CRC特征校验技术,该技术的实现原理与内存验证原理完全一致,针对磁盘的验证同样很简单,但此处我们需要将计算到的CRC32...// 检查磁盘完整性 BOOL CalculateDiskCRC32() { char szFileName[MAX_PATH] = { 0 }; char *pBuffer;
当软件被开发出来时,为了增加软件的安全性,防止被破解,通常情况下都会对自身内存或磁盘文件进行完整性检查,以防止解密者修改程序,我们可以将exe与dll文件同时做校验,来达到相互认证的目的,解密者想要破解则比较麻烦...写入到文件中,即可实现磁盘文件的完整性检测,注意写入时应该是反写,且前面要补0. 在此次打开会提示程序没有被破解,当用户认为的修改指令时,就会提示已破解,无法继续运行下去。...将对比过程取反,同样可以过掉其磁盘CRC32的检测。...MapFileAndCheckSum 校验和: 通过使用系统提供的API实现反破解,该函数主要通过检测,PE可选头IMAGE_OPTIONAL_HEADER中的Checksum字段来实现的,一般的EXE...默认为0而DLL中才会启用,当然你可以自己开启,让其支持这种检测.
入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。...开头 > userdel rooot #删除user用户 > userdel -r rooot #将删除root用户,并且将/home目录下的root目录一并删除 查看当前登录系统的信息 > who...> netstat -tunlp | less 抓包分析 > tcpdump -c 10 -q //精简模式显示 10个包 使用ps命令检查可疑的进程 > ps -ef 查超系统中占用资源最高的资源 >...Linux系统服务管理,CentOS7使用systemd控制 CentOS6之前使用chkconfig控制。...cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/* 原文链接:https://rumenz.com/rumenbiji/linux-hacking
入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。...开头 > userdel rooot #删除user用户 > userdel -r rooot #将删除root用户,并且将/home目录下的root目录一并删除 查看当前登录系统的信息 > who...#查看当前登录用户(tty本地登陆 pts远程登录) > w #查看系统信息,想知道某一时刻用户的行为 > uptime #查看登陆多久、多少用户,负载 检查异常端口 使用netstat...> netstat -tunlp | less 抓包分析 > tcpdump -c 10 -q //精简模式显示 10个包 使用ps命令检查可疑的进程 > ps -ef 查超系统中占用资源最高的资源 >...Linux系统服务管理,CentOS7使用systemd控制 CentOS6之前使用chkconfig控制。
atime 1 -type f -iname不区分大小写,-atime最近一次被访问的时间,-type文件类型 检查历史命令 查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home...目录下的用户主目录的.bash_history文件 默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间,根据需要进行安全加固。...检查系统日志 在Linux上一般跟系统相关的日志默认都会放到/var/log下面,若是一旦出现问题,用户就可以通过查看日志来迅速定位,及时解决问题。...常用日志文件如下: /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能用vi直接查看,可以用lastb看 /var/log/lastlog 记录系统中所有用户最后一次成功登录系统的时间...> gerp "Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 原文链接:https://rumenz.com/rumenbiji/linux-hacking
-atime 1 -type f -iname不区分大小写,-atime最近一次被访问的时间,-type文件类型 检查历史命令 查看被入侵后,在系统上执行过哪些命令,使用root用户登录系统,检查/home...目录下的用户主目录的.bash_history文件 默认情况下,系统可以保存1000条的历史命令,并不记录命令执行的时间,根据需要进行安全加固。...检查系统日志 在Linux上一般跟系统相关的日志默认都会放到/var/log下面,若是一旦出现问题,用户就可以通过查看日志来迅速定位,及时解决问题。...常用日志文件如下: /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能用vi直接查看,可以用lastb看 /var/log/lastlog 记录系统中所有用户最后一次成功登录系统的时间...,这是一个二进制文件,不能用vi查看,可以用lastlog查看 /var/log/wtmp 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。
在主机入侵检测系统里,建立系统服务基线和检测系统服务进程行为,是检测恶意服务和恶意进程的关键。...只在使用systemd的Linux系统使用 建立系统服务基线 ---- 系统服务基线的建立,需要做的事情有如下几样: 获取所有安装的系统服务 获取当前系统运行级别 获取当前系统运行级别默认启动的服务...在主机入侵检测系统里,也可以通过system, popen, fork/execv之类的函数调用如下命令实现上面目的 systemctl list-unit-files --type=service...systemd/system/systemd-ask-password-wall.service /usr/lib/systemd/system/xl2tpd.service 检测系统服务进程行为...剩余内容请关注本人公众号debugeeker, 链接为最后防线:Linux系统服务检测
watch 命令 watch 是一个用来轻松地重复检测 Linux 系统中一系列数据命令,例如用户活动、正在运行进程、登录、内存使用等。...这个命令实际上是重复地运行一个特定的命令,每次都会重写之前显示的输出,它提供了一个比较方便的方式用以监测在你的系统中发生的活动。...pts/3 2019-01-23 11:11 (192.168.0.27) 如果你只是想看有多少用户登录进来,可以通过 watch 调用 uptime 命令获取用户数和负载的平均水平,以及系统的工作状况...nemo 20 0 16836 5636 4284 S 0.0 0.1 0:00.03 zsh 你可能不仅可以看到某个用户下的进程,还可以查看每个进程所占用的资源,以及系统总的工作状况...ac 命令 如果你想查看系统中每个用户登录的时长,可以使用 ac 命令。运行该命令之前首先需要安装 acct(Debian 等)或者 psacct(RHEL、Centos 等)包。
📷 1、点击[命令行窗口] 📷 2、按<Enter>键 📷 3、点击[命令行窗口] 📷 4、按<Enter>键 📷
Tunables”glibc漏洞执行安全检测,以判断目标Linux系统的安全态势。...由于目前各种Linux发行版中都存在这种类型的安全漏洞,将给Linux生态带来重大安全风险,其中还包括未经授权的数据访问和系统更改等等,因此我们开发出了LooneyPwner,以帮助广大研究人员识别Linux...glibc(GNU C 库)是 Linux 系统的基本组件,提供程序正常运行所需的基本功能和系统调用。程序启动时动态加载器会识别它所需的共享库,将它们加载到内存中并将它们与可执行文件链接。.../38 Redhat>=8.5 Gentoo Linux< 2.37-r7 LooneyPwner的功能 当前版本的LooneyPwner可以尝试在目标系统中扫描、检测和利用“Looney Tunables.../looneypwner.sh 工具运行截图 漏洞修复 如果你检测到了漏洞的话,别担心,目前主流Linux系统发行版已发布安全更新修复此漏洞,建议受影响的用户及时安装补丁进行防护: Debian
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
