应急响应有一半是非技术的内容，制定一个合理的响应策略是至关重要的！

　　记住：现在开始对受害系统的每一步操作都可能改变已存在的证据或是导致敏感信息的丢失！

　　{{初始响应}}

　　目标:在进行司法鉴定复制之前获得系统中的易失数据，初步确定突发事件概况。

　　==============

　　创建响应工具包

　　==============

　　我们调查系统，必须以高度可信赖的程序执行命令，再加上备份与修复，创建一个工具包是很有必要的。

　　即使在非Unix/Linux系统上，创建工具包也应该作为响应的第一步。

　　首先，我们需要在对应体系结构的系统上编译响应期间需要的工具，且编译程序需要考虑系统兼容的问题。

　　通常我们需要如下的工具：

　　ls dd des file pkginfo

　　find icat lsof md5sum nc

　　netstat pcat perl ps strace

　　strings truss df vi

　　cat kstat ifconfig chkrootkit

　　more gzip last w rm

　　script bash modinfo lsmod

　　读者可根据自己的需要自行添加，但是一个工具包通常只能用来完成对某一特定平台的工作，

　　把对多个平台编译的工具放进同一个工具包反而会显得紊乱。

　　在Linux上创建响应工具包时，可以用gcc的–static参数编译源代码，或者用ldd检查动态连接库，

　　在响应工具包存储介质上建立库文件目录，并拷贝所有工具需要的动态连接库的副本，最后设置环境变量。

　　这个过程有点类似于创建一个Linux的优盘启动盘。

　　============

　　获取易失数据

　　============

　　易失的数据包括：当前打开的套接字，进程列表，RAM内容，非链接文件的位置。

　　*unix特性： unix允许进程正在执行时将其删除！

标签：