LEAF:一款功能强大的Linux安全取证框架
关于LEAF
LEAF是一款功能强大的Linux安全取证框架,在该工具的帮助下,广大研究人员可以轻松对Linux主机执行信息安全取证任务。
LEAF全称为Linux Evidence Acquisition Framework,该框架可以从Linux EXT4系统中获取文件和程序等信息安全取证信息,而且可以接收用户输入参数并进行自定义功能扩展。向LEAF提供了模块参数后,该工具将能够通过智能分析技术来提取Linux组件,并将分析数据输出到一个ISO镜像文件中。
工具要求
该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python环境。
推荐使用Python 3.8或更高版本。安装命令如下:
apt install python3 apt install pip3
接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/alex-cart/LEAF.git
切换到项目目录中,使用下列命令并通过requirements.txt文件安装该工具所需的依赖组件:
pip3 install -r requirements.txt
如果遇到报错的话,可以使用下列命令尝试修复:
sudo -H pip3 install -r requirements.txt
工具使用
LEAF_master.py [-h] [-i INPUT [INPUT ...]] [-o OUTPUT] [-u USERS [USERS ...]] [-c CATEGORIES [CATEGORIES ...]] [-v] [-s] [-g [GET_FILE_BY_OWNER [GET_FILE_BY_OWNER ...]]] [-y [YARA [YARA ...]]] [-yr [YARA_RECURSIVE [YARA_RECURSIVE ...]]] [-yd [YARA_DESTINATIONS [YARA_DESTINATIONS...]]] LEAF (Linux Evidence Acquisition Framework) - Cartware ____ _________ ___________ __________ / / / _____/ / ____ / / ______/ / / / /____ / /___/ / / /____ / / / _____/ / ____ / / _____/ / /_____ / /_____ / / / / / / /_________/ /_________/ /___/ /___/ /___/ v2.0
工具运行
此时,我们就可以使用下列命令并配合选项参数来运行LEAF了:
sudo python3 LEAF_master.py
工具参数
optional arguments: -h, --help 显示帮助信息和退出工具 -i INPUT [INPUT ...], --input INPUT [INPUT ...] 额外输入文件路径,多个文件以空格划分 默认: /home/user1/Desktop/LEAF-3/target_locations -o OUTPUT, --output OUTPUT 输出目录地址 默认: ./LEAF_output -u USERS [USERS ...], --users USERS [USERS ...] 要包含在输出文件中的用户信息,以空格划分 例如-u alice bob root). /etc/passwd中不存在的用户将会被移除 -c CATEGORIES [CATEGORIES ...], --categories CATEGORIES [CATEGORIES ...] 取证期间需要包含的工具组件和目录 目录以空格划分,例如-c network users apache 默认包含的目录为:APPLICATIONS, EXECUTIONS, LOGS, MISC, NETWORK, SHELL, STARTUP, SERVICES, SYSTEM, TRASH, USERS -v, --verbose Verbose模式输出,默认:False -s, --save 存储原始取证信息目录,默认:False -g [GET_OWNERSHIP [GET_OWNERSHIP ...]], --get_ownership [GET_OWNERSHIP [GET_OWNERSHIP ...]] 获取引入用户的所拥有的全部文件和目录 默认: Disabled -y [YARA [YARA ...]], --yara [YARA [YARA ...]] 配置Yara IOC扫描 默认: None -yr [YARA_RECURSIVE [YARA_RECURSIVE ...]], --yara_recursive [YARA_RECURSIVE [YARA_RECURSIVE ...]] 配置递归Yara IOC扫描 默认: None -yd [YARA_DESTINATIONS [YARA_DESTINATIONS...]], --yara_destinations [YARA_DESTINATIONS [YARA_DESTINATIONS...]] 需要运行Yara文件的目的路径 多个路径以空格划分,例如/home/alice/ /bin/star/ 默认: 所用的用户目录
工具使用样例
使用默认参数运行LEAF,默认输入文件为./target_locations,用户为所有用户,目录为所有目录,输出文件路径为./LEAF_output/。克隆的数据不会存储在本地目录,默认关闭Verbose模式,禁用YARA扫描:
LEAF_main.py
输出所有参数:
LEAF_main.py -i /home/alice/Desktop/customfile1.txt -o /home/alice/Desktop/ExampleOutput/ -c logs startup services apache -u alice bob charlie -s -v -y /path/to/yara_rule1.yar -yr /path2/to/yara_rules/ -yd /home/frank -g /etc/
指定用户名、目录和YARA文件:
LEAF_main.py -u alice bob charlie -c applications executions users -y /home/alice/Desktop/yara1.yar /home/alice/Desktop/yara2.yar
引入自定义输入文件和目录:
LEAF_main.py -i /home/alice/Desktop/customfile1.txt /home/alice/Desktop/customfile2.txt -c apache xampp
项目地址
LEAF:【GitHub传送门】
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
文章目录