这是一份练习取证的作业。我们拿到了 VirtualBox 镜像,并被要求查明某个用户是否搞乱了 ssh 配置。
我将映像以只读方式挂载,并发现用户的 .bash_history 内容为:
rm .bash_history
exit
我很困惑。有人能给我一些建议吗?
我目前正在尝试(但没有成功)弄清楚 extcarve 工具以及它的输出文件是什么。
答案1
可能有更简单的方法可以做到这一点,但这是我在物理机器上尝试的方法:
添加第二个驱动器。
从Ubuntu Live CD 映像(最好是 12.04 LTS)。
打开终端并安装相簿通过执行
sudo apt-get install testdisk安装要恢复的磁盘到。
启动 PhotoRec:
sudo photorec选择适当的磁盘。
取消选择除以下之外的所有选项TXT在文件选项。
选择适当的分区。
选择适当的文件系统。
自由的就足够了。你可以重试所有的如果没有的话。
为已安装磁盘上的文件选择一个目标。
等待该过程完成。
使用 grep 搜索输出:
grep -R ssh_config /media/<mountpoint>
Bash 的历史文件不太可能变得碎片化,所以 - 除非文件已经被覆盖 - 这应该有效。
请记住,知道自己在做什么的人不会被这个发现。通过设置HISTCONTROL=ignorespace并在命令前面添加空格或直接终止终端而不正常退出,很容易防止命令保存到历史文件中。
答案2
这是一个你必须在事后吸取教训的时刻。
.bash_history是一种相当弱的方式来确保你的用户不会调皮,然而,你可以安全 .bash_history通过设置chattr标志。