Linux 數位鑑識(Digital Forensics) Script

調查資安事故都需要進行 1 個稱為數位鑑識(Digital Forensics)的過程，跟犯罪現場調查雷同，需要保留資安事故的相關跡證，譬如作業系統版本、網路設定資訊、網路拓墣、硬體資訊、系統日誌、記憶體內容、使用者資訊、登入歷史紀錄等等，盡可能地在不破壞現場的情況下，將這些資料搜集起來，並帶回去做分析研究之用，為的就是盡可能地還原不法人士入侵之後做了哪些事情，以評估受害範圍，並提出可行的災後復原方案與資訊安全改善建議。

也由於這些資料很多，如果交由人工進行，很容易漏掉某項步驟，導致拼湊事實的過程有所偏差，所以數位鑑識會交由工具或自動化的 Script 進行，不過一般人多半較不會接觸到這些領域，如果對資安的數位鑑識領域有興趣的話，可以玩玩看本文介紹的 vm32/Digital-Forensics-Script-for-Linux, 它可以把 Linux 系統上相關的資訊一次收集起來（而且有加密，避免機密二次外洩），這個 script 裡面也有很多指令可以學習，足以讓你認知到原來 Linux 系統中有這麼多資訊可以看ＸＤ

https://github.com/vm32/Digital-Forensics-Script-for-Linux