hacktricks/forensics/basic-forensic-methodology/file-integrity-monitoring.md

3.5 KiB
Raw Permalink Blame History

{% hint style="success" %} 学习和实践AWS Hacking:HackTricks 培训 AWS 红队专家 (ARTE)
学习和实践GCP Hacking: HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks
{% endhint %}

基线

基线包括对系统的某些部分进行快照,以便与将来的状态进行比较以突出变化。

例如,您可以计算并存储文件系统中每个文件的哈希值,以便找出哪些文件已被修改。
这也可以用于创建的用户帐户、运行的进程、运行的服务以及任何其他不应该或根本不应该发生太多变化的事物。

文件完整性监控

文件完整性监控FIM是一种关键的安全技术通过跟踪文件的更改来保护 IT 环境和数据。它包括两个关键步骤:

  1. 基线比较: 使用文件属性或加密校验和(如 MD5 或 SHA-2建立基线以便将来进行比较以检测修改。
  2. 实时更改通知: 当文件被访问或更改时立即收到警报,通常通过操作系统内核扩展。

工具

参考资料

{% hint style="success" %} 学习和实践AWS Hacking:HackTricks 培训 AWS 红队专家 (ARTE)
学习和实践GCP Hacking: HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks
{% endhint %}