系统敏感目录排查清单:Linux、Windows 与 Android
做应急响应时,我一般先看两类地方:一类是系统自己离不开的目录,另一类是攻击者最爱落脚的目录。前者改动空间大,后者藏东西方便。两边都扫一遍,通常能比只盯着进程和端口更早发现异常。
下面把 Linux、Windows、Android 三个常见平台里值得优先看的目录整理出来。目录本身不神秘,关键是知道它们正常应该长什么样,偏离了什么最先看。
Linux
配置、核心和设备相关目录
- /etc:系统配置中心,常见的账号、服务、SSH、cron 配置都在这里。这里一旦多出陌生条目,或者权限、时间戳不对,优先查。
- /boot:引导相关文件所在目录。它被动过手脚,系统可能直接起不来,或者留下更隐蔽的启动层持久化。
- /proc/sys:内核参数接口。正常情况下不该被随意改,遇到网络转发、路由、转发策略异常时,可以从这里反查。
- /dev、/sys:设备和硬件接口目录。它们本身不是'藏文件'的典型位置,但权限和访问行为异常时,很容易连出别的问题。
日志和临时目录
- /var/log:最该先翻的地方。
auth.log、secure、messages这几个文件里,经常能看出登录、提权和服务启动的痕迹。 - /tmp、/var/tmp:权限宽,落地方便。Webshell、一次性脚本、解压出来的载荷,很多都喜欢放这儿。
- /run:运行时临时文件目录,PID 文件、socket 文件都可能在里面。看起来杂,但异常进程和服务残留会留下痕迹。
- /dev/shm:共享内存目录。攻击者喜欢借它减少落盘痕迹,所以别只看文件名,连创建时间和执行痕迹一起看。
用户和应用目录
- /home:用户数据最集中。凭证、脚本、浏览器数据、同步目录,都可能在这里。
- /root:提权后最常被动的目录。这里出现陌生脚本、密钥、历史命令,通常都值得继续追。
- /srv:服务数据目录,Web、FTP、应用数据都可能放这里。
- /usr/bin、/usr/sbin:系统常用可执行文件目录。如果核心命令被替换,问题就不只是'有个文件'这么简单了。
- /usr/local/bin、/usr/local/sbin:手工安装的软件常落在这里,排查时容易被忽略,但也正因为如此,埋点很方便。
- /opt:第三方软件常用位置。陌生程序、异常依赖、自己带运行环境的工具,经常会在这里留下整套痕迹。
- /var/www 或 /var/html:Web 根目录。被篡改的页面、后门脚本、可疑上传文件,优先查这里。
一个实用的起点
先把最近变过的文件拉出来,比盲翻目录高效得多:
find / -type f -mtime -7 -ls
再看一眼异常进程,很多时候文件和进程是连着的:
ps aux | grep suspicious_keyword
Windows
系统核心目录
- C:\Windows\System32:系统核心文件所在目录。这里出现伪装成 DLL、EXE 的文件,往往不是好消息。


