注册 登录
编程论坛 Windows论坛

Linux常用工具

源哥 发布于 2019-09-16 10:57, 1803 次点击
说完Windows,哪能不提Linux~
 
工具多多,不容错过的干货哦~
 
01
 
日志工具
 
1
 
logdissect
 
    logdissect用于分析日志文件和其他数据的 CLI 实用程序和 Python API。它可以解析、融合、过滤和导出数据(日志文件或json格式)
 
2
 
安装
 
安装有两种方法,通过github和PyPI
 
github
 
需要:python, python-setuptools  
 
    (and/or python3, python3-setuptools)
 
wget https:// -xzf v3.1.1.tar.gzcd logdissect-3.1.1sudo make all
 
注:笔者在测试时,发现当电脑只存在python2时,需要将logdissect/Makefile文件中以下关于python3的几行注释掉,才能正常安装,否则会报错
 
 
 
 
PyPI
 
 需要:pip
 
sudo pip install logdissect
 
3
 
选项介绍
 
用法:  
 
logdissect.py [-h] [--dhost DHOST] [--grep PATTERN][--last LAST][--process PROCESS][--protocol PROTOCOL][--range RANGE]              [--utc][--rdhost DHOST][--rgrep PATTERN][--rprocess PROCESS] [--rprotocol PROTOCOL][--rshost SHOST][--rsource SOURCE]              [--shost SHOST][--source SOURCE][--linejson LINEJSON] [--outlog OUTLOG][--label LABEL][--sojson SOJSON][--pretty][--version]              [--verbose] [-s] [--list-parsers][-p PARSER][-z]              [-t TZONE][file [file ...]]
 
位置参数:
 
file    指定输入文件
 
选项参数:
 
-h, --help    查看帮助信息--version     查看程序版本号--verbose     设置详细的终端输出-s            静默输出--list-parsers查看可用的解析器-p PARSER     选择解析器 (default: syslog)-z, --unzip   包含gzip压缩文件-t TZONE      指定UTC时区偏移量 (例如 '+0500')
 
 过滤选项:
 
--grep PATTERN     匹配目的主机--grep PATTERN     匹配模式--last LAST        匹配前一个时间段 (例如 5m/3h/2d/etc)--process PROCESS  匹配源进程--protocol PROTOCOL匹配协议--range RANGE      匹配事件范围 (YYYYMMDDhhmm-YYYYMMDDhhmm)(年月日时分)--utc              使用UTC进行范围匹配--rdhost DHOST     过滤掉目标主机--rgrep PATTERN    过滤掉模式--rprocess PROCESS 过滤掉源进程--rprotocol PROTOCOL过滤掉协议--rshost SHOST     过滤掉源主机--rsource SOURCE   过滤掉日志源--shost SHOST      匹配源主机--source SOURCE    匹配日志源
 
输出选项:
 
--linejson LINEJSON   设置逐行JSON输出的输出文件--outlog OUTLOG       设置标准日志输出的输出文件--label LABEL         设置输出日志的标签类型 (fname|fpath)--sojson SOJSON       设置单个对象JSON输出的输出文件--pretty              对sojson输出美化格式
 
4
 
解析器
 
--list-parsers    输出==== 可用解析模块: ====ciscoios:思科ios解析模块emerge:gentoo emerge日志解析模块linejson:logdissect每行对象JSON解析模块sojson:logdissect单个对象JSON解析模块syslog: syslog (标准时间戳)解析模块syslogiso:syslog (ISO时间戳)解析模块syslognohost:syslog (没有主机的标准时间戳)解析模块tcpdump:tcpdump终端输出解析模块webaccess:web访问日志解析模块windowsrsyslog:windows rsyslog代理日志解析模块
 
5
 
简单用法
 
查看过去一小时的登录日志:
 
logdissect --last 1h secure
 
 
查看过去30分钟systemd和cron进程的日志:
 
logdissect --last 30m --process systemd --process CRON messages
 
 
结合详细查看指定时间范围的messages和dmesg日志
 
logdissect --verbose --range 20190428120000-20190428121000 --label fpath messages dmesg
 
 
输出过去30天183.238.151.209的访问记录的文件
 
logdissect -s --outlog myaccess.log --grep 183.238.151.209 --last 30d --label fname /var/log/secure
 
 
02
 
进程工具
 
1
 
Linux Rootkit (vfs hook)  
 
    隐藏进程检测工具,一个linux内核模块,是用于检测rootkit的一个小demo。通过读取此内核模块创建的虚拟文件,可检测通过Hook vfs 函数来隐藏的进程。
 
下载链接:
 
https://security.
 
2
 
安装方法
 
unzip process_list.zipcd process_listmakemake install
 
使用效果:
 
 
03
 
网络分析工具
 
1
 
Tcpdump
 
  Tcpdump作为Linux下一款经典的抓包工具有必要进行讲解。
 
注:抓包只是一个数据包捕获过程,最重要的是对结果的分析。分析过程中,需要掌握主流协议的包结构,否则一切都是徒劳。
 
2
 
基础
 
常用选项:
 
-i:指定网络接口(如eth0,eth1。网络接口使用ifconfig命令查看)-nn:不对IP地址进行DNS反解析,并且不将端口转换为字符-vv:详细输出数据包信息-w:将捕获的结果存入指定文件,-w后接自定义文件名-r:将存入文件的结果读取出来以便分析
 
    重要:在抓包过程中,个人强烈建议使用 -n 选项。如果不加-n 选项,tcpdump程序就会对IP地址进行DNS反解析,反解析的过程会耗费相当部分时间。因为这里牵涉到libcap缓冲区,tcpdump捕获的数据包首先会放入缓冲区,然后上层提取。但是上层在尝试做DNS反解析的时间里,缓冲区会由于数据包过多而导致缓冲区溢出,溢出的直接结果就是部分数据包被drop,数据包被drop会对我们的分析过程造成极大影响——实际不丢包,但是数据显示却“丢包”。为了不影响我们的分析结果,个人建议加上-n选项
 
限定符:
 
    过滤器表达式由一个或多个基元组成,原语通常由id(名称或数字)前面加一个或多个限定符),tcpdump提供了3种限定符,分别为type、direction、protocol
 
type(类型):
 
host    //host 192.168.1.1net     //net 192.168port    //port 80portrange    //portrange 22-801.2.2 direction(数据包方向)srcdstsrc or dstsrc and dst1.2.3 protocal(协议)etheriparprarptcpudpicmp
 
3
 
基本语法
 
过滤主机:
 
tcpdump -i ehtN -n host IPADDRtcpdump -n -i eth1 host 192.168.1.1  抓取所有经过eth1,目标或源地址是192.168.1.1的数据包tcpdump -i eth1 -n src host 192.168.1.1  指定源地址tcpdump -i eth1 -n dst host 192.168.1.1  指定目标地址
 
过滤端口:
 
tcpdump -i eth1 -n port PortNumtcpdump -i eth1 -n port 25 抓取所有经过eth1,目的或源端口是25的网络数据tcpdump -i eth1 -n src port 25    指定源端口
 
网络过滤:
 
tcpdump -i eth1 -n net 192.168tcpdump -i eth1 -n src net 192.168
 
协议过滤:
 
tcpdump -i ethN -n Protocoltcpdump -i eth1 -n icmptcpdump -i eth1 -n ip
 
常用表达式:
 
非:!或者 not
 
与:&& 或者 and
 
或:|| 或者 or
 
tcpdump -i eth1 tcp and port 80 and (dst host 192.168.1.254 or dst host 192.168.1.200)  抓取所有经过eth1,目的地址是192.168.1.254或192.168.1.200;端口是80的TCP数据或者tcpdump -i eth1 '((tcp) and (port 80) and ((dst host 192.168.1.254) or (dst host 192.168.1.200)))'  //前面一个的写法括号需要转义,后一种写法是将表达式用引号引起来
 
4
 
包头过滤
 
    如何从包头过滤信息了?首先要熟悉IP、TCP等协议的包头结构,此处不做赘述。包头过滤的语法如下:
 
'protocol[x:y]':这里表示的是以protocol协议的第x字节起始,取后面的y字节(字节从0开始编号)'proto[x:y] & z = 0'  : proto[x:y]和z的与操作为0'proto[x:y] & z !=0'  : proto[x:y]和z的与操作不为0'proto[x:y] & z = z'  : proto[x:y]和z的与操作为z'proto[x:y] = z'      : proto[x:y]等于z操作符 : >, <, >=, <=, =, !=
 
IP协议抓包:
 
tcpdump-i -n eth1'((ip[2:2] = 1024) and (src host 192.168.1.1'))  抓取经过eth1网卡、数据包大小为1024并且源IP为192.168.1.1的数据包tcpdump -i -n eth1'((ip[2:2] > 1024) and (src host 192.168.1.1))'抓取经过eth1网卡、数据包字节大于1024并且源IP为192.168.1.1的数据包
 
TCP协议抓包:
 
抓TCP包:tcpdump -i eth3 -nn -vv tcp and host 218.8.51.194tcpdump: listening on eth3, link-type EN10MB (Ethernet), capture size 65535 bytes17:41:00.159396 IP (tos 0x0, ttl 54, id 2335, offset 0, flags [DF], proto TCP (6), length 60)218.8.51.194.51003 > 182.118.126.96.80: Flags [S], cksum 0xe729 (correct), seq 3087933325, win 14600, options [mss 1460,sackOK,TS val 796071570 ecr 0,nop,wscale 7], length 017:41:00.159427 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52)182.118.126.96.80 > 218.8.51.194.51003: Flags [S.], cksum 0xce85 (correct), seq 1946096042, ack 3087933326, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 017:41:00.190017 IP (tos 0x0, ttl 54, id 2336, offset 0, flags [DF], proto TCP (6), length 40)218.8.51.194.51003 > 182.118.126.96.80: Flags [.], cksum 0x47ed (correct), seq 1, ack 1, win 115, length 017:41:00.190354 IP (tos 0x0, ttl 54, id 2337, offset 0, flags [DF], proto TCP (6), length 40)218.8.51.194.51003 > 182.118.126.96.80: Flags [F.], cksum 0x47ec (correct), seq 1, ack 1, win 115, length 017:41:00.190402 IP (tos 0x0, ttl 64, id 57183, offset 0, flags [DF], proto TCP (6), length 40)182.118.126.96.80 > 218.8.51.194.51003: Flags [F.], cksum 0x47eb (correct), seq 1, ack 2, win 115, length 017:41:00.221104 IP (tos 0x0, ttl 54, id 2338, offset 0, flags [DF], proto TCP (6), length 40)218.8.51.194.51003 > 182.118.126.96.80: Flags [.], cksum 0x47eb (correct), seq 2, ack 2, win 115, length 0
 
结果分析:
 
上面的结果中,2-3行信息为TCP三次握手的过程,offset 表示偏移量
 
Flags 后面的标识含义:
 
S (SYN)
 
F (FIN)
 
P (PUSH)
 
R (RST)
 
W (ECN CWR)
 
E (ECN-Echo)
 
. (no flags)
 
cksum 表示校验和,其中correct表示校验和正确
 
抓取目的端口等于80的报文:
 
tcpdump -i eth1 -nn -vv '((tcp[2:2] = 80))'  //TCP头部的3-4字节为目的端口
 
抓取源端口等于80的报文:
 
tcpdump -i eht1 -nn -vv '((tcp[0:2] = 80))'  //TCP头部的1-2字节为源端口
 
** TCP的8种标记,这些标记在TCP头部的14字节——tcp[13]。TCP使用哪个标记,就会将这个标记的值置为1,如SYN包的二进制表示为: 00000010,十进制就是2
 
 +-+-+-+-+-+-+-+-+
 
 |C|E|U|A|P|R|S|F|
 
 |W|C|R|C|S|S|Y|I|
 
 |R|E|G|K|H|T|N|N|
 
 +-+-+-+-+-+-+-+-+
 
只抓TCP握手过程中的SYN包:
 
tcpdump -i eth1 -nn -vv '((tcp[13] = 2))'  这个时候标识位的值为 00000010
 
抓标记为SYN、ACK的包:
 
tcpdump -i eth3 -nn -vv '((tcp[13] = 18))'  此时标识位的至为 00010010
 
其他标识位抓包方法一次类推。这种通过数字计算的或许会比较麻烦,因此tcpdump支持了另一种写法,上面两种写法分别如下:
 
tcpdump -i eth3 -n -vv "tcp[tcpflags] & (tcp-syn) != 0"
 
tcpdump -i eth3 -nn -vv '((tcp[tcpflags] & tcp-syn != 0) and (tcp[tcpflags] & tcp-ack != 0 ))'
 
[root@tw13c150 ~]# tcpdump -i eth3 -n -vv "tcp[tcpflags] & (tcp-ack) != 0" and (host 218.8.51.194)
 
tcpdump: listening on eth3, link-type EN10MB (Ethernet), capture size 65535 bytes
 
13:46:26.019271 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), length 52)
 
    182.118.126.96.http > 218.8.51.194.58137: Flags [S.], cksum 0xfbc7 (correct), seq 769939001, ack 1488795467, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 7], length 0
 
13:46:26.049499 IP (tos 0x0, ttl 56, id 34444, offset 0, flags [DF], proto TCP (6), length 40)
 
    218.8.51.194.58137 > 182.118.126.96.http: Flags [.], cksum 0x752f (correct), seq 1488795467, ack 769939002, win 115, lengt
 
其他协议抓包(DNS、HTTP等)
 
HTTP:tcpdump -i eth3 -nn -vv 'tcp[20:2]=0x4745 or tcp[20:2]=0x4854'//tcp[20:2]=0x4745 表示'GET'的'GE',tcp[20:2]=0x4854 表示HTTP的 'HT'DNS:tcpdump -i eth1 udp dst port 53
 
    最后,如果需要查看数据内容,可使用tcpdump -s 0 -w filename把数据包都保存下来(-s 0是抓取完整数据包,否则默认只抓68字节。),然后用wireshark分析。
 
网络丢包分析抓包技巧:
 
    我们公司的服务器上有很多ping程序,抓包时为了避免其它数据包的影响,我们可以抓特定长度的包。
 
以ICMP为例:
 
A端指定数据字节为 1024 bytes pingping -c 400 -i 0.01 -s 1024 -f tw04008s2.那么B端抓IP数据包的长度应为1024(数据长度)+8(8字节ICMP首部)+20(字节IP首部)tcpdump -i eth1 "(ip[2:2]=1052) and src host 123.59.127.2" -w loss.cap//这里的 ip[2:2] 指的是过滤从第三字节开始的两个字节数,因此我过滤出的就是3、4字节
 
    其实捕获数据包不难,但是我们要学会分析、清洗数据,这就需要十分熟悉各类协议,尤其是TCP,IP,HTTP等
 
04
 
内存服务工具
 
1
 
Volatility  
 
volatility 是一款内存取证和分析工具,可以对 dump 出来的内存进行分析,并提取内存中的文件。支持多平台运行(需要python环境),该工具支持 Windows 和 Linux,Kali 下面默认已经安装。
 
    下载地址:http://www.
 
2
 
使用方法
 
要查看可用选项,请运行“python vol.py -h”或“python vol.py —info”
 
root@kali:~/volatility-master# python vol.py -hVolatility Foundation Volatility Framework 2.6.1Usage: Volatility - A memory forensics analysis platform.
 
Options:
 
-h, --help  //list all available options and their default values.Default values may be set in the configuration file(/etc/volatilityrc)--conf-file=/root/.volatilityrc  //User based configuration file-d, --debug  //Debug volatility--plugins=PLUGINS    //Additional plugin directories to use (colon separated)--info  //Print information about all registered objects--cache-directory=/root/.cache/volatility    //Directory where cache files are stored--cache    //Use caching--tz=TZ    //Sets the (Olson) timezone for displaying timestamps.using pytz (if installed) or tzset-f FILENAME, --filename=FILENAME    //Filename to use when opening an image--profile=WinXPSP2x86    //Name of the profile to load (use --info to see a list of supported profiles)-l LOCATION, --location=LOCATION    //A URN location from which to load an address space-w, --write    //Enable write support--dtb=DTB    //DTB Address--shift=SHIFT    //Mac KASLR shift address--output=text    //Output in this format (support is module specific, see the Module Output Options below)--output-file=OUTPUT_FILE    //Write output in this file-v, --verbose    //Verbose information--physical_shift=PHYSICAL_SHIFT    //Linux kernel physical shift address--virtual_shift=VIRTUAL_SHIFT    //Linux kernel virtual shift address-g KDBG, --kdbg=KDBG  //Specify a KDBG virtual address (Note: for 64-bit Windows 8 and above this is the address of KdCopyDataBlock)--force    //Force utilization of suspect profile-k KPCR, --kpcr=KPCR    //Specify a specific KPCR address--cookie=COOKIE    //Specify the address of nt!ObHeaderCookie (valid for Windows 10 only)
 
支持以下插件:
 
linux_apihooks  - 检查userland apihookslinux_arp  - 打印ARP表linux_aslr_shift  - 自动检测Linux ASLR转换linux_banner  - 打印Linux横幅信息linux_bash  - 从bash进程内存中恢复bash历史记录linux_bash_env  - 恢复进程的动态环境变量linux_bash_hash  - 从bash进程内存中恢复bash哈希表linux_check_afinfo  - 验证网络协议的操作函数指针linux_check_creds  - 检查是否有任何进程共享凭证结构linux_check_evt_arm  - 检查异常向量表以查找syscall表挂钩linux_check_fop  - 检查rootkit修改的文件操作结构linux_check_idt  - 检查IDT是否已被更改linux_check_inline_kernel  - 检查内联内核挂钩linux_check_modules  - 将模块列表与sysfs信息进行比较(如果有)linux_check_syscall  - 检查系统调用表是否已被更改linux_check_syscall_arm  - 检查系统调用表是否已被更改linux_check_tty  - 检查tty设备的挂钩linux_cpuinfo  - 打印有关每个活动处理器的信息linux_dentry_cache  - 从dentry缓存中收集文件linux_dmesg  - 收集dmesg缓冲区linux_dump_map  - 将选定的内存映射写入磁盘linux_dynamic_env  - 恢复进程的动态环境变量linux_elfs  - 在进程映射中查找ELF二进制文件linux_enumerate_files  - 列出文件系统缓存引用的文件linux_find_file  - 列出并恢复内存中的文件linux_getcwd  - 列出每个进程的当前工作目录linux_hidden_modules  - 刻录内存以查找隐藏的内核模块linux_ifconfig  - 收集活动接口linux_info_regs  - 就像GDB中的'info registers'。它打印出所有的linux_iomem  - 提供类似于/ proc / iomem的输出linux_kernel_opened_files  - 列出从内核中打开的文件linux_keyboard_notifiers  - 解析键盘通知程序调用链linux_ldrmodules  - 将proc映射的输出与libdl中的库列表进行比较linux_library_list  - 列出加载到进程中的库linux_librarydump  - 将进程内存中的共享库转储到磁盘linux_list_raw  - 列出具有混杂套接字的应用程序linux_lsmod  - 收集加载的内核模块linux_lsof  - 列出文件描述符及其路径linux_malfind  - 查找可疑的进程映射linux_memmap  - 转储linux任务的内存映射linux_moddump  - 提取加载的内核模块linux_mount  - 收集已安装的fs /设备linux_mount_cache  - 从kmem_cache收集已安装的fs / deviceslinux_netfilter  - 列出Netfilter挂钩linux_netscan  - 用于网络连接结构linux_netstat  - 列出打开的套接字linux_pidhashtable  - 通过PID哈希表枚举进程linux_pkt_queues  - 将每个进程的数据包队列写入磁盘linux_plthook  - 扫描ELF二进制文件的PLT以挂钩到非NEEDED图像linux_proc_maps  - 收集进程内存映射linux_proc_maps_rb  - 通过映射红黑树收集linux的进程映射linux_procdump  - 将进程的可执行映像转储到磁盘linux_process_hollow  - 检查进程空洞的迹象linux_psaux  - 收集进程以及完整的命令行和开始时间linux_psenv  - 收集进程及其静态环境变量linux_pslist  - 通过遍历task_struct->任务列表来收集活动任务linux_pslist_cache  - 从kmem_cache中收集任务linux_psscan  - 扫描进程的物理内存linux_pstree  - 显示进程之间的父/子关系linux_psxview  - 查找包含各种流程列表的隐藏流程linux_recover_filesystem  - 从内存中恢复整个缓存的文件系统linux_route_cache  - 从内存中恢复路由缓存linux_sk_buff_cache  - 从sk_buff kmem_cache中恢复数据包linux_slabinfo  - 正在运行的机器上的Mimics / proc / slabinfolinux_strings  - 将物理偏移与虚拟地址匹配(可能需要一段时间,非常详细)linux_threads  - 打印进程的线程linux_tmpfs  - 从内存中恢复tmpfs文件系统linux_truecrypt_passphrase  - 恢复缓存的Truecrypt密码linux_vma_cache  - 从vm_area_struct缓存中收集VMAlinux_volshell  - 内存映像中的Shelllinux_yarascan  -  Linux内存映像中的shell
 
下面简单介绍以Linux dump出来的内存文件分析
 
查看网络连接信息:
 
 
查看进程信息
 
 
05
 
信息收集工具
 
1
 
FastIR Collector
 
   FastIR Collector Linux,可以快速完成Linux服务器各项数据的信息收集,无需掌握linux各种复杂的命令与参数。该工具可以收集:系统信息(内核版本、内核模块、网络接口、主机名、发行版本),用户登录信息,网络连接,用户数据,自动进程,磁盘信息,文件系统信息等,并将结果输出为csv文件。FastIRcollector同样也有Windows的版本,可以用来收集Windows系统信息。
 
下载地址:git clone https://
 
运行环境:代码运行在python2环境下,python 2.4以上版本。必须以root账户运行
 
2
 
使用方法
 
cd Fastir_Collector_Linuxpython fastIR_collector_linux.py
 
命令执行后,会生成output目录,收集的所有数据会打包放在该目录下。
 
使用sz命令下载该压缩包到本地环境。(yum install -y lszrz,可安装rz与sz)
 
也可以使用ftp或sftp传输
 
 
 
参数:
 
 
0 回复
1