<aside> <img src="/icons/home_lightgray.svg" alt="/icons/home_lightgray.svg" width="40px" /> HOME
</aside>
<aside> <img src="/icons/list-indent_blue.svg" alt="/icons/list-indent_blue.svg" width="40px" /> Table of Contents
</aside>
При возникновении инцидента не следует выключать, перезагружать или производить иные восстановительные работы с компьютером. Необходимо оперативно уведомить Центр Мониторинга и Реагирования на Инциденты о случившемся через любой доступный канал связи, приложив кратко контекст инцидента: что произошло, где, когда и как проявилось. Далее приступить к сбору необходимой для анализа информации.
Данная инструкция предназначена для использования на невиртуализированных операционных системах на базе Linux. Если используется модифицированное ядро, необходимо упомянуть это для получения дальнейших инструкций.
ArtifactCollector – это утилита для сбора первичных артефактов с жесткого диска.
Файл утилиты доступен во вложениях, также доступна контрольная сумма SHA-256 для проверки целостности файла при скачивании.
Необходимо запустить утилиту от имени администратора, дождаться выполнения и прислать получившийся zip-архив.
git clone <https://github.com/forensicanalysis/artifactcollector>
cd artifactcollector
go install .
Для создания снимков оперативной памяти на физических Linux хостах рекомендуется использовать утилиту avml: https://github.com/microsoft/avml.
Необходимо запустить в консоли с правами root:
./avml --compress "$(hostname)-$(date +%s)".lime
Также можно дать процессу capability CAP_SYS_RAWIO и запускать от обычного пользователя:
sudo setcap cap_sys_rawio+ep ./avml
./avml --compress "$(hostname)-$(date +%s)".lime