作者：佚名 来源：月光软件站 加入时间：2005-5-12　月光软件站

　　从事系统管理工作，就算你非常小心翼翼地做好了一切防护，还是可能有入侵者能够突破你的防护进入系统，并且更改或者删除一些文件。这里，我们借用honeynet project里面的一些实例，来对一个unix下的实用工具软件tct及其相关辅助软件做简要说明。并且在最后再介绍另外一个比较不错的能恢复ext2文件系统的软件recover。

　　首先说一下相关的软件：

　　1、The Coroners Toolkit：也就是我们所说的TCT，想要在国内下载的话，您可以到安全焦点(http://xfocus.org/tool/other/tct-1.07.tar.gz)下载。这是一个unix下的命令行文件系统 工具集，支持FFS及ext2fs，从块及结点处来对数据进行恢复。它能够针对文件的最后修改、访问或者改变(MAC)的时间来进行分析，并且根据数据节点的值提取出文件列表以进行恢复。

　　2、TCTUTILs：在http://xfocus.org/tool/other/tctutils-1.01.tar.gz可以下载当前最新 版本。它是对TCT的补充，提供了根据文件名对数据进行恢复的命令行工具。这两个工具都需要 使用者对一些底层基本知识比较了解。

　　3、Autopsy Forensic Browser：可以从http://xfocus.org/tool/other/autopsy-1.01.tar.gz 下载。它提供了一个友好的html界面给tct及tctutils。它能使枯燥的分析工作相对轻松些:)

　　一、安装：TCT在各种unix平台下都经过了比较好的测试。现在能够支持FreeBSD、OpenBSD、 SunOS、Linux等平台。TCTUTILs和Autopsy则不一定能跑得起来，我测试的平台是一台默认安装 的Red Hat 6.2系统。

　　1、tct

# tar zvfx tct-1.07.tar.gz -C /usr/local/tct/; cd /usr/local/tct/tct*; make

相关文章： 虚拟服务器实现方法 修改linux只能上500多个进程的限制 守护进程的概念和建立方法 如何一次添加大量账户 RedHat6.2服务器配置方案(4) DHCP RedHat6.2服务器配置方案(2) DNS RedHat6.2服务器配置方案(3) Apache RedHat6.2服务器配置方案(1) 前言 Linux日志管理详解 LINUX系统初始化过程解析 Linux操作实用技巧三则 在局域网中设置Linux时间服务器 移动整个Linux 一个IP建多个Web站点--TCP端口法 日志式文件系统简介 ext3日志式文件系统使用介绍 注解高端UNIX服务器之技术 嵌入式系统以及如何构造一个嵌入式系统概览 LINUX系统中动态链接库的创建与使用 在RedHat 6.2上运行SSH2 相关软件：