翻译：UNIX系统下的应急响应工具介绍[1]

　　整个文章分三个系列介绍对于 OpenBSD, Linux, 或者Solaris系统的应急响应和取证过程中有用的工具。本部份聚焦在系统工具上，第二部份主要是介绍文件系统工具，最后部分则主要是网络工具。本文用到的都是基于 OpenBSD 3.2, Debian GNU/Linux 3.0 (woody), RedHat 8.0 (psyche), and Solaris 9 (aka Solaris 2.9 or SunOS 5.9)的。
　　
　　依赖于你所使用的操作系统，本文讨论的许多软件可能不是默认安装的。这种情况下，请根据文章后面的参考部分获得这些工具。
　　
　　The Soapbox
　　那些可以用来处理入侵威胁的工具不在本系列讨论内容中，本文只覆盖在入侵发生之后使用的工具。入侵通常是可以防止的。使用一些比如保证系统更新安装最新补丁的技术，按照最小化服务配置系统，使用设计为安全的操作系统，使用能够加固系统的核心补丁等等，这些来防范入侵的技术可能让你根本就从来不会使用在本系列文章中介绍到的这些工具。
　　
　　读者应该命令，一旦攻击者获得了系统控制权，这个系统就基本不应该被信任。我们讨论的工具多数都操作在用户方式。一个欺骗的核心模块可能不会让你正常地检查系统，比如，这个系统已经被入侵的情况下。这些欺骗的模块会采用多种办法来隐藏自己，比如根据系统设计来让自己在系统运行的时候不能轻易检测到。这意味着，你不应该相信你使用的那些工具的输出结果。这意味着在响应入侵事件中，应该采取怀疑、研究和谨慎的方式。
　　
　　你用于分析系统的工具应该是你可以去信任，而且没有被修改的。下面讨论了一些技术，比如将工具保存在离线的只读介质中，这样，你就更可以信赖，而不是那些在已经被入侵的系统上的二进制程序。
　　
　　你已经做了所有正确的事情，可以进行下面的一些练习，你的系统已经被入侵了。现在怎么办呢？
　　
　　Breaking Out the Toolbelt
　　现在首先应该检查那些我们后面需要用到的工具。这里不说man(1)提供的信息，特别是因为命令参数因为系统不同而不同。检查这样的信息是留给读者的一种练习。
　　
　　vmstat - 这是可以快速察看内存、CPU和磁盘子系统的命令。vmstat 通常执行一个短时间，以便可以察看子系统利用的趋势。vmstat 经常可以在系统性能有一些问题的时候帮助我们知道哪些地方应该去深究。
　　
　　mpstat - 这个命令在Linux和Solaris上都有，可以用它察看处理器利用的统计。mpstat 提供一个选项，允许在多处理器系统中察看指定CPU的统计。vmstat 没有这个功能。
　　
　　iostat - 显示比vmstat更详细的跟子系统相关的统计信息。
　　
　　sar,sa,lastcomm,last - 这些是检查历史数据和一些近来的系统事件。sar是一个Solaris和Linux的系统性能分析工具。这些可以用于检查的性能数据类似于vmstat, mpstat和 iostat的显示。 sar的数据是一段时间保存的内容，因此可以察看过去的信息。 lastcomm可以现在系统最近被执行的命令。这些可以用在系统审计中。sa 可以在*BSD和Linux中找到，它给用户在系统审计中更多的选项来收集信息。
　　
　　ps - 立足于进程状态，用于显示系统执行的进程和他们的信息。
　　
　　top - 显示的信息同ps接近，但是top可以了解到CPU消耗，可以根据用户指定的时间来更新显示。