1.基于Linux環境的數字取證系統，其特征在于系統由主機操作痕跡調查模塊、網絡操作痕跡調查模塊、日志信息調查模塊、內存信息調查模塊和證據固定模塊組成，其中，所述主機操作痕跡調查模塊包括基本操作調查功能和應用信息調查功能，后者通過提取系統包管理程序數據庫實現；所述網絡操作痕跡調查模塊包括基本操作信息調查功能、網絡緩存調查功能和網絡應用狀態調查功能；所述日志信息調查模塊包括日志文件分析入庫功能和關鍵字檢索模塊；所述內存信息調查模塊采用一個第三方開源的工具fmem來對內存進行轉儲，并結合系統dd工具實現內存信息調查；所述證據固定模塊對證據原文件和經過處理的數據庫文件進行hash處理，并記錄有關信息，確保證據文件損壞或有被修改嫌疑時能被監管部門及時發現。

2.根據權利要求1所述的基于Linux環境的數字取證系統，其特征在于所述基本操作調查功能包括：

(1)獲取系統的登錄時間列表，通過解析系統實時文件wtmp和btmp文件以調查是否存在非法訪問或敏感時期的異常訪問等信息；

(2)系統在登錄過程中啟動服務列表，以調查系統中是否存在攻擊者安裝的Rootkit或其他自啟動后門程序；

(3)基本用戶信息，用于判斷當前系統是否存在非法、可疑用戶。

3.根據權利要求1所述的基于Linux環境的數字取證系統，其特征在于所述應用信息調查功能包括：

(1)獲取系統中已安裝程序列表，判斷是否存在Rootkit及其他非法應用和惡意應用；

(2)獲取系統中殘留的安裝包，結合已安裝程序列表，判斷當前系統中是否安裝或安裝過相應的非法應用程序，以便調查人員判斷當前系統或系統所處網絡的受攻擊程度及影響范圍，還可以通過這部分信息，對攻擊進行溯源分析。

4.根據權利要求1所述的基于Linux環境的數字取證系統，其特征在于所述基本操作信息調查功能，通過解析netstat程序結果產生，包括：

(1)提取當前網絡連接狀態，判斷是否有異常連接進入或發出；

(2)如果發現有異常網絡連接，則針對這些信息進行篩選，可以快速定位攻擊源，方便調查人員進行溯源分析和攻擊路徑復現。

5.根據權利要求1所述的基于Linux環境的數字取證系統，其特征在于所述網絡緩存調查功能包括：

(1)ARP緩存信息，通過查閱ARP緩存，可以判斷該系統是否收到ARP欺騙攻擊，從而便于調查人員分析攻擊源和攻擊方法；

(2)DNS緩存信息，通過DNS緩存信息，可以判斷出當前系統是否受到DNS污染，或被導向了什么位置，便于調查人員溯源和確定攻擊入口。

6.根據權利要求1所述的基于Linux環境的數字取證系統，其特征在于所述網絡應用狀態調查功能，通過解析netstat程序結果產生，獲取網絡應用與ip、監聽端口的對應關系及連接存活狀態，進而通過這種關系可以判別系統中是否存在惡意的網絡應用及其監聽端口，從而方便調查人員對攻擊進行溯源和在內存數據中截獲惡意應用程序傳輸內容。

7.根據權利要求1所述的基于Linux環境的數字取證系統，其特征在于所述日志文件分析入庫功能是對所有必要的日志進行分析，按照不同字段的屬性存入不同數據結構組成的數據庫中，使得取證調查人員查看時明確知曉各個字段表示的含義，形成一種思路清晰，界面友好的結果反饋形式。

8.根據權利要求1所述的基于Linux環境的數字取證系統，其特征在于所述關鍵字檢索模塊是通過取證調查人員輸入的關鍵字，自動在數據庫中匹配出所有相關記錄并予以顯示，為取證調查人員提供信息篩選和整理的功能。

9.根據權利要求1所述的基于Linux環境的數字取證系統，其特征在于系統還可以包含圖形化運行界面。

10.根據權利要求1所述的基于Linux環境的數字取證系統，其特征在于所述證據固定模塊具體為：通過將取證調查人員姓名、身份ID、聯系方式、取證時間信息寫入證據工程文件中，并對所取得的數字化證據文件進行hash處理，形成基本的文件校驗，以實現證據固定防止惡意的取證人員修改證據文件的目的。