#رمضانيات_DFIR
11 رمضان - wtmp/btmp ✅🚫
في أنظمة ال Linux فيه two artifacts يسجلون عمليات تسجيل الدخول الناجحة و غير الناجحة. التسجيل الدخول الناجح يتسجل في wtmp وغير الناجحة في btmp
#DFIR #BlueTeam
11 رمضان - wtmp/btmp ✅🚫
في أنظمة ال Linux فيه two artifacts يسجلون عمليات تسجيل الدخول الناجحة و غير الناجحة. التسجيل الدخول الناجح يتسجل في wtmp وغير الناجحة في btmp
#DFIR #BlueTeam
هذي الملفين موجودة في /var/log. السجلات الأقدم تنحفظ في ملف بنفس الأسم الأساسي بالأضافة لرقم بعد الأسم زي مو موضح في الصورة
الملفات wtmp و btmp تحتوي على السجلات بصيغة binary data فنحتاج نسوي لها parse عشان نقدر نطلع معلومات نستفيد منها. نقدر نستخدم الأمر last في ال Linux زي مهو موضح في الصورة
هذا ال artifact جدا مفيد و يحفظ السجلات لمدة أطول من ال auth.log/secure.log بالأضافة أنه يحفظ أي عملية تسجيل دخول ب tty يعني حتى لو مسجل دخول على النظام بشكل مباشر, بتلقى السجل الخاص بتسجيل الدخول هنا
جاري تحميل الاقتراحات...