這是一本深入探討如何分析遭受破壞之Linux系統的書籍。你可以藉由本書瞭解如何鑑識Linux桌面、伺服器與物聯網裝置上的數位證據,並在犯罪或安全事件發生後重建事件的時間線。
在對Linux操作系統進行概述之後,你將學習如何分析儲存、火力系統和安裝的軟體,以及各種發行版的軟體套件系統。你將研究系統日誌、systemd日誌、核心和稽核日誌,以及守護程序和應用程序日誌。此外,你將檢查網路架構,包括接口、位址、網路管理員、DNS、無線裝置、VPN、防火牆和Proxy設定。
.如何鑑識時間、地點、語言與鍵盤的設定,以及時間軸與地理位置
.重構Linux的開機過程,從系統啟動與核心初始化一直到登入畫面
.分析分割表、卷冊管理、檔案系統、目錄結構、已安裝軟體與與網路設定
.對電源、溫度和物理環境,以及關機、重新開機和當機進行歷史分析
- 調查用戶登錄會話,並識別連結周邊裝置痕跡,包括外接硬碟、印表機等
這本綜合指南是專為需要理解Linux的調查人員所編寫的。從這裡開始你的數位鑑證之旅。
實戰Linux系統數位鑑識
內容描述
目錄大綱
第1章|數位鑑識簡介
本章介紹數位鑑識的歷史及未來展望,並就數位鑑識分析的重點,說明現今的趨勢和挑戰,以及數位鑑識分析的基本原則和業界的最佳實務。
第2章|關於Linux
簡要介紹現代Linux系統的技術基礎,說明Unix的歷史與影響、Linux發行版的進化及Linux桌面的演變,並介紹主要的Linux發行版家族和構成現代Linux系統的組件。最後,以鑑識分析呼應第1章內容,共同構成本書的基礎。
第3章|儲存裝置和檔案系統裡的證物
從磁碟分割區、卷冊管理和RAID系統下手,開始進行磁碟分析,討論三種最常見的Linux檔案系統(ext4、xfs和btrfs)證物,並從鑑識視角探討Linux的交換(swap)體系,包括針對休眠分割區的分析,還會介紹不同形式的檔案系統加密機制。
第4章|目錄結構和檔案鑑識分析
介紹典型Linux系統所安裝的檔案和目錄階層結構,如何透過雜湊資料來篩選或找出特定檔案,並說明如何分析Linux裡找到的不同檔案類型,包括POSIX類型、應用程式類型和Linux可執行檔,分析項目包含詮釋資料(metadata)和檔案內容,最後會分析當機資料和轉存的記憶體內容。
第5章|日誌裡的證物
本章致力於解析日誌檔,探討從何處尋找被記錄的跡證,內容涵蓋Linux裡的各式日誌紀錄,包括傳統的syslog、systemd日誌及由背景服務程序(daemon;簡稱服務程序)或應用程式所產生的日誌,也一併介紹Linux的稽核系統和核心環形(kernel ring)緩衝區。
第6章|重建開機和初始化過程
一般的系統生命週期是從啟動、運行到關機。本章將從<I>開機引導程序(bootloader)的分析切入,接著探討核心初始化及建立記憶體虛擬磁碟(RAM disk)過程所產生的證物,詳細剖析systemd(init)的啟動過程與系統的其他操作面向,並分析systemd和D-Bus如何啟用隨選服務(on-demand service),最後介紹實體環境和電源管理、睡眠、休眠和關機等機制,並尋找人類接觸實體系統的證據。
第7章|檢驗安裝的軟體套件
本章是唯一依不同Linux發行版作分節討論,內容包含套件安裝程序、分析已安裝的軟體套件、軟體套件的格式和軟體套件的組成,還會介紹如何判斷Linux發行版、發布版號和修補層級。
第8章|網路組態裡的證物
Linux的網路子系統包括硬體介面、DNS解析和網路管理員。在無線網路部分,可能存在Wi-Fi、WWAN和藍牙等證物的活動歷史資訊。本章也會介紹網路安全,包括越來越受歡迎的新WireGuard VPN、逐漸取代iptables的nftables防火牆,以及識別網路代理(proxy)設定。
第9章|時間和地域的鑑識分析
針對Linux系統的國際性和區域性面向的分析,包含重建鑑識時序所需的Linux時間格式、時區和其他時間戳記資訊,也會分析系統語系和鍵盤配置,還會介紹Linux的地理定位服務,以便重現系統的實體位置,特別是像筆記型電腦這種具有漫遊特性的設備。
第10章|重建使用者桌面和登入活動
使用者登入命令環境(shell)和Linux桌面的過程是本章重點,將介紹X11和Wayland等Linux視窗系統,以及GNOME、KDE等桌面環境,也會探討人類使用者的活動軌跡和桌面環境裡常見的證物(檢驗過Windows或Mac機器的人就能理解),這些證物有縮圖、垃圾桶(資源回收筒)、書籤、最近存取的檔案、密碼管理員(password wallet)、桌面搜尋等,最後以探討使用者的網路活動(如遠端登入、遠端桌面、網路共享磁碟和雲端帳戶)做結尾。
第11章|周邊裝置的使用跡證
本章將追蹤連接USB、Thunderbolt和PCI等周邊裝置所留下的跡證,說明如何判定從日誌裡找到的證據,以確認是哪一種周邊裝置在什麼時候連接到系統上,也會介紹Linux列印系統和SANE掃描功能的鑑識分析,以便找出作業過程所留下的歷史證物,還會介紹視訊會議系統所用的Video4Linux系統,最後以檢驗外接式儲存裝置做結尾。
後記
在此為Linux數位鑑識人員提供一些最終建議,根據筆者個人的數位鑑識經歷,為讀者們留下一些提示、建議和精神激勵。
附錄|鑑識人員應注意的檔案及目錄清單
這裡提供本書介紹過的檔案和目錄清單,作為鑑識人員快速查找特定檔案或目錄時參考,並以數位鑑識的觀點簡單說明這些資源的用途。
作者介紹
作者簡介
Bruce Nikkel
任教於瑞士伯爾尼應用科技大學,專攻數位鑑識和網路犯罪,是該大學網路安全與工程研究所的共同負責人,也是數位鑑識和網路調查碩士班的指導教授。除了學術工作外,自1997年服務於某家全球金融機構的風險和安全部門,帶領該機構的網路犯罪情資和證據調查團隊逾15年,目前擔任該機構的資安顧問,同時他也是《國際鑑識科學》(Forensic Science International)的數位鑑識期刊編輯,打從1990年代就與Unix和Linux結下不解之緣。