我正在对基于主机的证据进行取证分析 - 检查服务器硬盘驱动器的分区。
我有兴趣找到系统死亡/重新启动之前所有“用户”运行的进程。
由于这不是实时分析,我无法使用 ps 或 top 查看正在运行的进程。
所以,我想知道是否有像 /var/log/messages 这样的日志来显示用户运行的进程。
我在 /var/log/* 中浏览了很多日志——它们给了我关于登录、包更新、授权的信息——但没有关于进程的信息。
问问题
774 次
3 回答
0
如果没有启用“命令记帐”,则没有。
于 2014-11-17T10:46:15.343 回答
0
找到东西的机会不是太大,无论如何要考虑一些事情:
- 取决于优雅的死亡/重启的程度(如果进程被优雅地杀死,
.bash_history并且类似的文件可能会使用最近的会话信息进行更新) - utmp和wtmp文件可能会在重新启动时提供活动用户列表。
- 操作系统可能正在保存故障转储(取决于 linux 发行版)。如果是这样 - 您可以在崩溃时检查操作系统状态。有关详细信息,请参阅 RedHat
crash( http://people.redhat.com/anderson/crash_whitepaper/ )。 /tmp,/var/tmp可能有一些线索,什么在运行- 崩溃时间附近具有mtime和ctime时间戳的任何文件(也可能是atime )
- 也许您可以从交换分区中获得一些有用的东西(特别是如果重新启动与大量 RAM 使用有关)。
于 2014-12-05T17:53:56.250 回答
0
所以,我想知道是否有像 /var/log/messages 这样的日志来显示用户运行的进程
给定 /var/log 的文件系统路径指定的操作系统,我假设您使用的是 ubuntu 或某些基于linux的服务器,并且如果您在机器运行时没有进行实时取证或内存取证(内存捕获被抓取),并且您重新启动了系统,/var/log 中没有将进程归因于用户的文件。但是,如果用户使用的是 bash shell,那么您可以检查 .bash_history 文件,该文件显示了该用户运行的命令,我认为是 500(默认情况下是 bash shell)。
或者,如果进行了内存转储(/dev/mem 或 /dev/kmem),那么您可以使用易失性来提取在盒子上运行的进程。但是,我认为您不能将这些进程归因于运行它们的用户。您需要波动性的额外输出才能建立该链接。
于 2015-01-01T19:00:22.743 回答