Эта шпаргалка — быстрый рабочий инструмент для аналитиков DFIR/Blue Team и администраторов, которым нужно провести первичный live response в Linux: зафиксировать состояние, собрать артефакты, выделить аномалии и подготовить базу для дальнейшей форензики (off‑host анализ образов, таймлайнов и журналов).
Принципы работы аналитика:
- минимизируем изменения на целевой системе;
- всё, что собираем, хешируем;
- фиксируем контекст (версию ОС, локаль/часовой пояс, сетевое окружение);
- по возможности работаем из однопользовательской сессии с ограниченными правами, повышая привилегии только точечно.
Источник: Хабрахабр
Источник: D3One
Другие материалы на сайте b.Z - Записки о гаджетах, людях и музыке