文件分析
• 最近使用文件
– find / -ctime -2
– C:\Documents and Settings\Administrator\Recent
– C:\Documents and Settings\Default User\Recent
– %UserProfile%\Recent
• 系统日志分析
– /var/log/
• 重点分析位置
– /var/log/wtmp 登录进入,退出,数据交换、关机和重启纪录
– /var/run/utmp 有关当前登录用户的信息记录
– /var/log/lastlog 文件记录用户最后登录的信息,可用 lastlog 命令来查看。
– /var/log/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录。
– /var/log/cron 与定时任务相关的日志信息
– /var/log/message 系统启动后的信息和错误日志
– /var/log/apache2/access.log apache access log
– /etc/passwd 用户列表
– /etc/init.d/ 开机启动项
– /etc/cron* 定时任务
– /tmp 临时目录
– ~/.ssh
用户分析
• /etc/shadow 密码登陆相关信息
• uptime 查看用户登陆时间
• /etc/sudoers sudo 用户列表
进程分析
• netstat -ano 查看是否打开了可疑端口
• w 命令,查看用户及其进程
• 分析开机自启程序/脚本
– /etc/init.d
– ~/.bashrc
• 查看计划或定时任务
– crontab -l
• netstat -an / lsof 查看进程端口占用