hacktricks/generic-methodologies-and-resources/basic-forensic-methodology/file-integrity-monitoring.md

{% hint style="success" %} 学习和实践AWS Hacking:HackTricks 培训 AWS 红队专家 (ARTE)
学习和实践GCP Hacking: HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

• 检查 订阅计划!
• 加入 💬 Discord 群组 或 telegram 群组 或 关注 我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

{% endhint %}

基线

基线包括对系统的某些部分进行快照，以便与将来的状态进行比较以突出变化。

例如，您可以计算并存储文件系统中每个文件的哈希值，以便找出哪些文件已被修改。
还可以对创建的用户帐户、运行的进程、运行的服务以及任何其他不应该或根本不应该发生太大变化的事物进行此操作。

文件完整性监控

文件完整性监控（FIM）是一种关键的安全技术，通过跟踪文件的更改来保护 IT 环境和数据。它包括两个关键步骤：

1. 基线比较： 使用文件属性或加密校验和（如 MD5 或 SHA-2）建立基线，以便将来进行比较以检测修改。
2. 实时更改通知： 当文件被访问或更改时立即收到警报，通常通过操作系统内核扩展。

工具

• https://github.com/topics/file-integrity-monitoring
• https://www.solarwinds.com/security-event-manager/use-cases/file-integrity-monitoring-software

参考资料

• https://cybersecurity.att.com/blogs/security-essentials/what-is-file-integrity-monitoring-and-why-you-need-it

{% hint style="success" %} 学习和实践AWS Hacking:HackTricks 培训 AWS 红队专家 (ARTE)
学习和实践GCP Hacking: HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

• 检查 订阅计划!
• 加入 💬 Discord 群组 或 telegram 群组 或 关注 我们的 Twitter 🐦 @hacktricks_live.
• 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

{% endhint %}