Tripwire (http://www.tripwire.com).

Aide (http://www.cs.tut.fi/~rammer/aide.html).

syslog-ng (http://www.balabit.hu/en/downloads/syslog-ng).

chkrootkit (http://www.chkrootkit.org).

TCPwrapper.

dd if /dev/mem of <destino>
dd if /dev/kmem of <destino>
dd if /dev/rswap of <destino>

dd if <dipostivo> of <destino>

xwd -display :0 -root > screen.xwd
xwud -in screen.xwd

Servidor: nc -p <porta> -l > <saída>
Cliente: <comando_do_sistema> | nc -w 3 to <porta>

ifconfig, iwconfig
route -n
arp
netstat -tupan, lsof -i
unhidetcp <-- portas tcp/udp ocultas

tcpdump -l -n -e -x -vv -s 1500
ethereal

 ss 

Usuários atualmente logados: w, who
Files: /etc/utmp, /var/run/utmp, /var/adm/utmp(x).

 finger

last
Files: /var/adm/wtmp, /var/log/wtmp, /var/adm/wtmpx

last user -d -a -f /var/log/wtmp.1

lastlog
Files: /var/adm/lastlog, /var/log/lastlog.

lastb 
File: /var/log/btmp

history , cat ~/.bash_history

 uptime

 dpkg -l* 
    Data e hora: 
    * date

df -HT

fdisk -l

uname -a

• Processos atualmente em execução:

ps auxeww, ps ealf, 
Files: /vmunix, /dev/kmem, /proc

• Arquivos abertos:

 lsof

• Abertos por um determinado usuário:

lsof –u UID

• Arquivos chamados por um processo:

lsof –p PID

• Últimos comandos executados:

lastcomm
Files: /var/adm/pacct, /var/account/acct, /var/log/pacct.

• Processos ocultos:

unhide [proc/sys/brute]

free m

• Configurações gerais:

uname -a

• Módulos carregados:

lsmod, cat /proc/modules

• Módulos ocultos:

kstat -M (http://www.s0ftpj.org/tools/)

fsstat <-- tipo de fs

• Horário de último acesso:

ls -altu

• Tempo de alteração:

ls -alt

• Tempo de mudança nas permissões:

ls -altc

find / -ctime 1 -ls

find / -atime 1 -ls

stat <arquivo>
file <arquivo>

ls -la | cat -A

find / -type f -print0 | xargs -0 md5sum > <saída>

# chkrootkit ­r /mnt
# rkhunter ­­update; rkhunter ­c ­r /mnt

freshclam; clamscan ­r /mnt

• strings e grep.

• Podem encontrar informações em blocos marcados como defeituos.

• Útil para recuperação de trechos de arquivos apagados, em particular, de logs apagados.

• Tabela de símbolos:

nm <binário>, nm -Du <binário>

• Bibliotecas dinâmicas associadas:

ldd <binário>

• Visualização em hexadecimal:

cat <binário> | xxd

• Chamadas de sistema (em um ambiente de testes):

strace <binário>

• Pausando a execução de um processo:

kill -STOP <pid>

Conjunto de ferramentas para forense.

Utilitários que provêem funcionalidades extras ao TCP.

Engloba as funcionalidades do TCT e do TCTUtils para anállise do sistema de arquivos, além de recursos adicionais.
Portado para uma série e plataformas.

Provê uma interface gráfica para o TASK.

• É composto por quatro partes:

• grave-robber

 -Automatiza a coleta de evidências com os comandos citados anteriormente.
- Executa ações adicionais (geração de assinaturas criptográficas, lista com arquivos apagados ainda em uso, históricos de shell, ...).
- A coleta é feita de acordo com a ordem de volatilidade.

• mactime

Utiliza informações produzidas pelo grave-robber para criar um histórico de arquivos modificados e acessados em um dado intervalo de tempo.

• lazarus

lazarus: ferramenta para recuperação de arquivos apagados.

unrm: efetua dump do espaço não alocado no disco.

• Utilitários

Utiliários usados pela ferramenta grave-roober.

• Funcionamento do lazarus:

– Sistemas de arquivos unix tem baixa fragmentação.
– Tenta identificar o tipo de arquivo ao qual pertence um espaço não
alocado do disdo de 100 bytes.
– Armazena em um arquivo os blocos de dados lidos enquanto o tipo de
arquivo identificado não for alterado.
– Não funciona bem com arquivos grandes.

• Exemplos de utilitários:

– pcat: efetua o dump de um processo na memória.
– icat (ou inode-cat): visualiza o conteúdo de um arquivo a partir no
número do seu inode. Pode recuperar arquivos apagados ou parte deles.
– ils: lista informações inodes de arquivos removidos.

• Exemplos de utitários:

– bcat: exibe o conteúdo de um bloco de dados presente no sistema de
arquivos.
– blockcalc: mapeia blocos do sistema de arquivos orginal com a imagem
gerada pela ferramenta unrm.
– fls: lista as entradas de um bloco de dados pertencente a um diretório.
– find_file: tenta encontrar o nome de arquivo associado a um inode.
– find_inode: tenta encontrar o inode que tem alocado um determinado
bloco de dados do sistema de arquivos.
– istat: exibe informações sobre um determinado inode.

• Suporte a sistemas de arquivos de diversos SOs (BSD, Linux, Solaris, Windows).

• Exemplos de utilitários:

– dstat: exibe informações sobre um determinado bloco.
– fsstat: informações detalhas sobre o sistema de arquivos em uma
determinada partição.
– icat: semelhante ao icat do TCT.
– dcat: semelhante ao bcat do TCTUtils.
– Outras ferramenas com funções similares as exibidas anteriormente

apt-get install sleuthkit
dpkg -L sleuthkit

recupera dados apagados, discos corrompidos:
foremost, testdisk

• Arquivo de configs dos logs:

/etc/rsyslog.conf
/etc/logrotate.conf 
/var/log/*; /var/log/apache2/*;

• Arquivo que registra os logs do Servidor de E-mails:

/etc/mail/maillog 

• Contém registros de acesso ao sistema e em alguns casos registros do IPTABLES:

/var/log/messages 

• Logs do Servidor Web Apache:

/var/log/httpd/(access, error ou agent.log)

• Logs de impressoras:

/var/log/lpr.log

• Logs de serviços em geral:

/etc/log/daemon.log  ou /var/log/daemon.log

• Log do sistema:

/var/log/syslog

• Log de autenticação:

/var/log/auth.log

• Log do Kernel:

/var/log/kern.log

• Log crond:

/var/log/cron.log

• Log de erro e acesso a Lighttpd:

/var/log/lighttpd

• Log do registro de inicialização do sistema:

/var/log/boot.log

• Log do registro de banco de dados MySQL:

/var/log/mysqld.log

/tmp; /var/tmp

/var/www; /var/ftp; 

/etc/*;