파일 시스템 계층 구조, 개인 포렌식 분석 [닫기]

난... 솔직히 잘 모르겠어.무엇여기서 묻는 질문이지만 언급한 마지막 세 파일의 경우 모두 동일한 프로세스(예: 최신 업데이트된 amd64 아키텍처 버전을 설치한 프로세스)에 의해 동시에 생성/수정된 것이 분명합니다 libsasl2-modules-db.

(에서 apt show libsasl2-modules-db:

설명: Cyrus SASL - 플러그형 인증 모듈(DB)

이는 Cyrus SASL API 구현 버전 2.1입니다. 자세한 내용은 패키지 libsasl2-2 및 RFC 2222를 참조하세요. . 이 패키지는 Berkeley DB 조회를 지원하는 DB 플러그인을 제공합니다.

)

/var/lib/dpkg/infodpkg가 특정 패키지를 설치, 업데이트 또는 제거할 때 수행할 작업 및/또는 확인 작업을 결정하는 데 도움이 되는 다양한 보조("INFO") 파일이 포함되어 있습니다. 특히 이 .md5sums파일에는 패키지에 있는 모든 파일의 MD5 체크섬이 포함되어 dpkg가 해당 파일이 변조되지 않았는지 확인할 수 있습니다.

/etc/logcheck/ignore.d.server/이는 서비스의 삽입 디렉터리입니다 logcheck. 패키지는 이 디렉터리를 사용하여 필요에 따라 관련 구성 조각을 추가할 수 있습니다. 분명히 libsasl2-modules-db는 다양한 시스템 로그 정보를 생성하여 너무 많은 오류를 방지하는 것이 가장 좋습니다. 긍정적인 점.

마지막으로 /usr/lib/x86_64-linux-gnu/libsasl2.so.2실제 페이로드가 있습니다. 이는 Berkeley DB 시스템과 상호 작용할 수 있게 해주는 SASL 공유 개체 라이브러리 파일입니다.

이들 모두는 패키지 설치 또는 업데이트 작업을 통해 동시에 배치됩니다 libsasl2-modules-db:amd64. 이는 자동 업그레이드일 수도 있고 수동 작업일 수도 있습니다. 알 수 있는 정보가 충분하지 않습니다. /var/log/unattended-upgrades/의 활동을 확인하는 것이 좋습니다 ./var/log/apt/

마찬가지로, /var/lib/swcatalog/icons/ubuntu-jammy-universe패키지가 설치되고 해당 아이콘이 디렉토리에 추가되거나 링크되면 패키지에 의해 디렉토리가 거의 자동으로 채워질 것입니다.

이 기사의 시작 부분에서 말했듯이, 당신이 무엇을 찾고 있는지 잘 모르겠지만, 간단한 "전체 파일 시스템에서 최근에 수정되었거나 추가된 모든 파일을 검색"하는 명령은 별로 도움이 되지 않습니다. - 최신 Linux 시스템은 충분히 정적이지 않습니다.

진지한 포렌식을 수행하려면 신호와 잡음을 구별하는 방법을 배워야 하며, 이를 수행하는 유일한 방법은 시스템을 구성하는 구성 요소가 어떻게 작동하는지 이해하는 것입니다.