這是一本深入探討如何分析遭受破壞之Linux系統的書籍。你可以藉由本書瞭解如何鑑識Linux桌面、伺服器與物聯網裝置上的數位證據，並在犯罪或安全事件發生後重建事件的時間線。

在對Linux操作系統進行概述之後，你將學習如何分析儲存、火力系統和安裝的軟體，以及各種發行版的軟體套件系統。你將研究系統日誌、systemd日誌、核心和稽核日誌，以及守護程序和應用程序日誌。此外，你將檢查網路架構，包括接口、位址、網路管理員、DNS、無線裝置、VPN、防火牆和Proxy設定。

．如何鑑識時間、地點、語言與鍵盤的設定，以及時間軸與地理位置
．重構Linux的開機過程，從系統啟動與核心初始化一直到登入畫面
．分析分割表、卷冊管理、檔案系統、目錄結構、已安裝軟體與與網路設定
．對電源、溫度和物理環境，以及關機、重新開機和當機進行歷史分析
- 調查用戶登錄會話，並識別連結周邊裝置痕跡，包括外接硬碟、印表機等

這本綜合指南是專為需要理解Linux的調查人員所編寫的。從這裡開始你的數位鑑證之旅。

<序>

市面上已有好幾本關於Windows，甚至Mac的鑑識分析書籍，但針對Linux系統的鑑識分析書籍卻很少見，專門剖析裝有Linux系統的靜態硬碟（簡稱死碟〔dead disk〕）之書籍更是稀少。筆者看到社群裡的數位鑑識人員不斷埋怨「有愈來愈多的Linux磁碟映像送到實驗室來，可是不曉得如何下手！」這些抱怨的聲音來自私營部門（公司）和公家機構（執法單位）的鑑識實驗室，本書目標是希望為此日益增長的證據領域提供活用的資源，協助鑑識人員勘查及萃取Linux系統上的數位證據，以便重現過往的活動軌跡，描繪出符合事件邏輯的結論，並針對分析結果撰寫完整的鑑識報告。

撰寫本書的另一個原因是基於個人興趣，以及想要更深入瞭解現代Linux系統的內部結構，十幾年來，Linux發行版的重大進展已改變Linux鑑識分析的處理方式，筆者在瑞士伯爾尼應用科技大學教授數位鑑識和Linux課程，撰寫本書正可驅動我去理解這些主題。

人們對目標系統執行鑑識分析的動機或有不同，有關電腦系統的鑑識分析大致可分為受害方和加害方兩大類。
就受害方的角度，分析作業常涉及網路攻擊、系統入侵和網路詐騙等事件，鑑識對象是受害方所擁有，通常他們會願意提供給鑑識人員分析，這類鑑識對象有：
• 因漏洞或不當組態而遭受技術入侵或危害的伺服器。
• 因身分憑據被盜而遭到未經授權存取的伺服器。
• 遭到惡意軟體入侵的個人桌面系統。常因使用者點擊惡意鏈結或下載及執行惡意程式和腳本所致。
• 社交工程的受害者，因受誘騙而執行非自願的動作。
• 受到脅迫或勒索的使用者，不得不執行非自願的行為。
• 針對受害組織的大型調查行動中，電腦系統也是鑑識分析的標的之一。
上述場景所找到的數位軌跡都有助於重建過往事件或作為證據。
從加害方的角度，就是分析執法當局所扣押或企業事件應變團隊所沒收的電腦系統，這些系統可能是嫌疑人或犯罪者所擁有、管理或操作。底下列出一些常見的例子：
• 被設置成託管釣魚網站或散播惡意軟體的伺服器。
• 用於管理殭屍網路的命令和控制（C&C）伺服器。
• 濫用存取權而進行惡意活動或違反組織政策的使用者。
• 執行非法活動的個人桌面系統，例如保有或散發非法素材、從事入侵活動或參與非法地下網站活動（如賭博、兒童色情等）。
• 因大型犯罪調查（如組織犯罪、毒品買賣、恐怖行動等）而須鑑識分析的電腦系統。
• 配合大型民事調查（如訴訟或電子搜索）而須鑑識分析的電腦系統。
上述場景所找到的數位軌跡都有助於重建過往事件或作為證據。

當Linux電腦被執法人員依法扣押、經擁有該電腦的組織沒收，或由受害者自願提供，它們將被製作成映像系統再交由數位鑑識人員分析。Linux已是伺服器、物聯網（IoT）和嵌入式裝置上的常見平台，使用Linux的個人桌面系統亦不斷成長中，隨著Linux佔有率的增高，受害方和加害方的鑑識分析需求愈加殷切。
某些情況下，特別是人們受誣告或無端受到懷疑時，鑑識分析是證明其清白的重要手段。