【愚公系列】2022年06月 系统取证工具之其他取证

其他取证工具的使用

1、lsof命令（Volatility支持linux_lsof）

   如果电脑上没有前面所说的工具，那么lsof也是一个不错的工具。

   安装：yum install lsof -y

前言 lsof（list open files ~~~ “ls + of”的组合）是一个列出当前系统打开文件的工具。在linux环境下，一切皆文件，通过文件不仅仅可以访问常规数据，还可以访问网络连接和硬件。在终端下输入lsof即可显示系统打开的文件，因为 lsof 需要访问核心内存和各种文件，所以需要root用户执行。

   lsof 常见的用法是查找应用程序打开的文件的名称和数目。可用于查找出某个特定应用程序将日志数据记录到何处，或者正在跟踪某个问题。例如，linux限制了进程能够打开文件的数目。通常这个数值很大，所以不会产生问题，并且在需要时，应用程序可以请求更大的值（直到某个上限）。如果你怀疑应用程序耗尽了文件描述符，那么可以使用 lsof 统计打开的文件数目，以进行验证。

  常用的参数列表

  lsof filename 显示打开指定文件的所有进程

  lsof -a 表示两个参数都必须满足时才显示结果

  lsof -c string 显示COMMAND列中包含指定字符的进程所有打开的文件

  lsof -u username 显示所属user进程打开的文件

  lsof -g gid 显示归属gid的进程情况

  lsof +d /DIR/ 显示目录下被进程打开的文件

  lsof +D /DIR/ 同上，但是会搜索目录下的所有目录，时间相对较长

  lsof -d FD 显示指定文件描述符的进程

  lsof -n 不将IP转换为hostname，缺省是不加上-n参数

  lsof -i 用以显示符合条件的进程情况

2、实例

1)、列出某个用户打开的文件

  lsof -u user_name

  例如：lsof -u root

  lsof -u ^root查看非root用户的文件使用情况

2）、列出在某个端口运行的进程

  lsof -i :port_number

 例如lsof -i:22， lsof -i:100-1000， lsof -i:22,23,80

查看所有网络情况：lsof -i

 lsof -i[46] [protocol][@hostname|hostaddr][:service|port]

 46 --> IPv4 or IPv6，例如 -i 4 或者 -i 6

  protocol --> TCP or UDP

  hostname --> Internet host name

  hostaddr --> IPv4地址

  service --> service name (可以不只一个)

  port --> 端口号 (可以不只一个)，例如lsof -i 4 10.1.1.1@server

3）、查找进程id来列出打开的文件

   lsof -p PID

   例如lsof -p 717

   lsof -i -a -p 717

   lsof `which sshd` （哪个进程在使用openssh的可执行文件）

4）、根据某个目录列出被打开的文件

  lsof +D directory

  如：lsof +D /var/log/

5）、杀死某个用户所有活动进程

  killall -9 `lsof -t -u user_name`

 这里是用lsof找出user_name的所有活动进程，然后使用killall命令杀死。

 如：kill -9 `lsof -t -u roo