弘连 探Linux勘验软件(LF100)是一款专为Linux/MAC服务器取证而设计的产品,通过本地/远程连接服务器,自动获取Linux/MAC服务器的运行状态,自动分析 站、数据库的配置,对服务器上的基础信息、 站连接信息、 站信息以及数据库信息等进行快速取证。产品有效的降低了Linux/MAC服务器现场勘验的难度和工作强度,使得Linux/MAC服务器现场/远程勘验更加规范化。
弘连 探勘验软件
功能参数
操作系统
支持Linux(CentOS、Redhat、Ubuntu、Debian)和MAC系统
易用性
★自动完成勘验工作,简单易用,将软件的复杂性埋藏于简洁易用的用户界面下,无需过多学习即可操作使用,有效降低了使用者入门技术门槛的要求;
支持远程终端操作,提供只读的命令行操作窗口;
★支持服务器基本信息、日志、 络、 站及docker信息的一键获取,同时可对一键获取内容进行预设,节约提取时间;
多进程、多线程架构,将系统和软件的性能发挥到极致;
数据固定
连接方式
支持多种连接方式:直接连接、连接代理、部署代理、连接Agent等,突破 络限制,一键连接目标主机;
★支持部署代理服务器并连接至代理服务器进行取证,实现内 穿透;
★连接Agent:Agent插件支持Linux、MacOS运行;Agent插件既可以通过互联 下载,也可手动拷贝使用;
Agent支持三种启动模式包含:本地端口监听;连接代理服务及提供代理服务;
支持SSL等加密连接,确保连接固定过程安全性;
支持多种连接验证方式,包括密码连接和私钥连接;
密码输入支持明文和密文相互切换,避免误操作以及密码泄露;
★支持用户身份登陆并提权,实现禁止root帐 远程登陆服务器的提取固定;
固定内容
基本信息自动提取分析,包括:系统概况、系统磁盘使用情况、内存使用情况、用户列表、进程列表、系统启动项、IP地址等;
络信息自动提取分析:包括防火墙规则、DNS缓存、 卡列表、 络连接、 络服务、ARP缓存等;
浏览器信息自动提取分析:包括火狐、谷歌等浏览器的使用痕迹解析展示及提取;
★Docker容器自动提取分析,包括基本信息、镜像列表、容器列表、卷列表、 络列表、系统配置、用户配置等;
DNS域名信息自动提取分析:包括系统DNS 缓存中所访问过的域名、所对应的 IP 地址及该 IP 归属地等信息;
管理员日志自动提取分析:包括查询服务器中的所有有效用户,具备发现隐藏用户的能力;并可提取相应操作系统其他用户登录密码;
站数据自动提取分析:支持 Apache、Nginx、Tomcat,包括远程主机的 站配置情况,包括服务器配置、日志、数据文件等显示和一键获取;
日志数据自动提取分析:包括登录日志(包括分析IP归属地)、文件访问日志、历史命令日志、系统日志、应用日志、安全日志、内核日志、浏览器历史等;
端口信息自动提取分析:包括查看当前系统所启用的 络端口、所使用的协议类型、远程服务器 IP、远程连接IP 地址归属地、端口及所对应的进程等信息;
★数据库自动提取分析:支持Mysql、MongoDB、SqlServer、PostgreSql数据库,包括直接连接远程主机所使用的数据库,查看远程数据库数据表基本情况,对数据库进行备份导出,内置数据库管理软件,可对关系型数据库和非关系型数据库进行管理;
★ 络通信状态和通信数据包获取:查看远程主机当前 络通信状态,进行数据包的定制获取,并对数据包进行分析;
★强大的远程镜像功能:支持通过 络传输,直接将远程服务器的内存、硬盘或者分区镜像取回本地;支持DD、E01等多种镜像格式;
★支持磁盘镜像的断点续传
数据分析
查看并获取远程服务器文件系统、目录等,具备强大的索引功能,可远程进行文件搜索以及文件内容搜索;
WebShell扫描:支持对 站目录和自定义目录进行WebShell扫描,并对文件进行深度分析,确定其威胁性;
★支持将远程服务器 络服务映射到本地空闲端口;
★支持远程服务器磁盘映射功能,将服务器逻辑分区直接挂载回本地,方便对文件直接操作,并对硬盘或者分区进行分析;
告功能
自动根据勘验结果生成 告;
合规功能
屏幕录像:在勘验的过程中,提供屏幕录像固定功能,并可根据实际情况定义录像品质、增加水印;
其他特点
★数据压缩传输:远程传输数据可根据实际 络状况来选择传输数据是否进行压缩传输;
远程镜像或文件下载时,支持缓存到中间代理服务器;
★支持E01格式镜像和目录压缩上传至0SS;
★支持选完oss任务后可直接关闭 探,所有oss任务可在待取证服务器后台上传;
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!
