![타임스탬프 분석 [닫기]](https://linux55.com/image/102634/%ED%83%80%EC%9E%84%EC%8A%A4%ED%83%AC%ED%94%84%20%EB%B6%84%EC%84%9D%20%5B%EB%8B%AB%EA%B8%B0%5D.png)
해커가 UNIX 시스템에 대한 루트 액세스 권한을 얻을 수 있다고 가정해 보겠습니다. 그는 특정 파일을 복사한 다음 시스템 로그 파일을 변경하여 시스템 액세스에 대한 정보를 제거했습니다. 타임스탬프 분석이 이 액세스를 감지하는 데 어떻게 도움이 되는지
답변1
해커가 시스템에 대한 루트 액세스 권한을 얻으면 파일 타임스탬프를 마음대로 수정할 수도 있습니다. 따라서 동일한 서버에서 수행되는 모든 타임스탬프 분석은 결함이 있는 것으로 간주되어야 합니다.
답변2
침입자가 컴퓨터에 대한 루트 액세스 권한을 갖게 되면 모든 베팅은 중단됩니다. 타임스탬프는 믿을 수 없습니다.
또한보십시오 "감염된 서버를 처리하는 방법” ServerFault 포럼에서(타임스탬프가 아니라 해킹 시 조치 방법에 대해)
답변3
바이너리의 타임스탬프와 마지막 업데이트가 완료된 시기를 확인할 수 있습니다. 카탈로그의 날짜는 카탈로그가 변경된 시기에 대한 몇 가지 단서를 제공할 수 있습니다.
하지만 그러기 위해서는 약간의 실수나 경험이 없는 사람들의 공격이 필요합니다.
다른 사람들이 이미 지적했듯이 타임스탬프는 수정될 수 있지만 종종 커널도 "패치"될 수 있으므로 해당 시스템에서 오는 데이터(filde의 체크섬)를 신뢰할 수 없습니다. 하드 드라이브를 분리하고 보안 시스템에서 읽습니다. 더 나은 방법: 하드 드라이브를 교체하고 소프트웨어를 다시 설치하고(안전할 가능성이 높음) 데이터를 백업합니다.