我正在对基于主机的证据进行取证分析 - 检查服务器硬盘的分区。
我有兴趣在系统死机/重启之前找到所有“用户”运行的进程。
由于这不是实时分析,我无法使用ps或top来查看正在运行的进程。
所以,我想知道是否有像/ var / log / messages这样的日志显示用户运行的进程。
我在/ var / log / *中经历了很多日志 - 它们向我提供了有关登录,包更新,授权的信息 - 但没有关于流程的信息。
答案 0 :(得分:0)
如果没有"命令会计"启用,没有。
答案 1 :(得分:0)
有可能找到一些不太大的东西,无论如何要考虑的一些事情:
.bash_history并且类似的文件可能会使用最近的会话信息进行更新)crash(http://people.redhat.com/anderson/crash_whitepaper/)。/tmp,/var/tmp可能会有一些线索,正在运行的内容答案 2 :(得分:0)
所以,我想知道是否有像/ var / log / messages这样的日志 向我展示用户运行的进程
考虑到/ var / log的文件系统路径指定的操作系统,我假设你使用的是ubuntu或一些基于 linux 的服务器,如果你在盒子运行的时候没有进行实时取证或内存取证(抓取内存捕获),并且您重新启动系统,/ var / log中没有将进程归属于用户的文件。但是,如果用户正在使用bash shell,那么您可以检查.bash_history文件,该文件显示该用户运行的命令,我认为该命令为500(默认情况下为bash shell)。
或者,如果进行了内存转储(/ dev / mem或/ dev / kmem),那么您可以使用波动率来提取在盒子上运行的进程。但是,我认为您不能将流程归因于运行它们的用户。您需要为该链接提供波动率的额外输出。