Linux DFIR 取证手册

用于事件响应和证据收集的 Linux 取证获取工作流

## 📌 概述 当 Linux 服务器被怀疑遭到入侵时，每一秒都至关重要。攻击者可能正在运行活动进程、维持持久化，或窃取数据。 本手册提供了一种**清晰且可操作的方法**，用于从运行中的 Linux 系统收集取证证据，而不会破坏关键痕迹。它侧重于**优先获取易失性数据**、**理解攻击者行为**，并确保**以符合取证规范的方式保存证据**。 本指南并未列出通用的命令，而是帮助您**像调查员一样思考**——优先收集什么，什么最重要，以及攻击者通常如何在 Linux 系统上留下痕迹。 ## 🎯 目标 本手册旨在帮助您： - 在**实时系统活动**消失之前将其捕获 - 识别**恶意进程和网络连接** - 收集**可靠的日志和攻击者行动的痕迹** - 检测 Linux 上使用的**持久化技术** - 安全地**获取磁盘和内存**以进行深入分析 - 构建事件发生期间的**事件时间线** ## 📚 目录 1. [实时系统快照（首次响应）](01-live-system-snapshot.md) 2. [内存获取](02-memory-acquisition.md) 3. [磁盘获取]() 4. [日志收集与分析]() 5. [持久化机制调查]() 6. [用户级别痕迹]() 7. [网络状态与指标]() 8. [文件系统与时间线分析]() 9. [Rootkit 与完整性检查]() ## 🪟 相关项目 用于事件响应和证据收集的 Windows DFIR 取证获取工作流： 🔗 https://github.com/ilyess-sellami/DFIR-Windows-Acquisition-Playbook

标签：Cutter, ESC漏洞, HTTP工具, HTTP请求, IP 地址批量处理, Linux取证, PB级数据处理, Web归档检索, 内存获取, 子域名变形, 安全合规, 安全教程, 安全运维, 库, 应急响应, 应急响应手册, 恶意进程, 技术栈, 数字取证, 无线安全, 磁盘获取, 系统快照, 网络代理, 网络安全, 网络安全审计, 自动化脚本, 证据收集, 防御加固, 隐私保护