파일 시스템 계층 구조, 개인 포렌식 분석 [닫기]

파일 시스템 계층 구조, 개인 포렌식 분석 [닫기]

메모리를 새로 고치고 터미널에서 명령을 실행하고 싶습니다.

find / -mtime some_date -printf '%TY-%Tm-%Td %TT %p\n' 2>/dev/null | sort -r

출력에 수많은 파일, 드라이버, 프로세스가 표시됩니다. 그리고 그 중 사용자 참여 없이 시스템에 의해 수정된 것은 무엇이고, 사용자 참여로 수정된 것은 무엇인지 궁금합니다. 예를 들어.

07:47:19.0000000000 /var/lib/swcatalog/icons/ubuntu-jammy-universe/*

아이콘(다른 프로그램의 여러 아이콘)은 폴더에 있지만 컴퓨터의 프로그램은 폴더에 없습니다. 프로그램 설치, 시작, 프로그램 제거, 웹사이트 열기 등의 사용자 작업을 명시적으로 확인할 수 있나요? 아니면 예를 들어

20:17:18.0000000000 /etc/logcheck/ignore.d.server/libsasl2-modules
20:17:18.0000000000 /usr/lib/x86_64-linux-gnu/libsasl2.so.2

그리고 동시에 더 많은 운전자가 있습니다. 체인은 라인으로 끝납니다

20:17:18.0000000000 /var/lib/dpkg/info/libsasl2-modules-db:amd64.md5sums

여기서 프로세스의 개시자는 누구입니까, 사용자입니까 아니면 시스템입니까? 잠깐... 일반적으로 어떤 디렉터리\파일\프로세스 분석을 통해 명확한 결론을 내릴 수 있는지 알고 싶습니다. 여기에 사용자가 있습니다. 아마도 명령을 사용 -ctime하고 -atime어떤 프로세스 디렉토리를 살펴보는 것이 더 나을까요 ? 이 주제에 대한 매뉴얼이 있을까요? 어떤 답변이라도 감사하겠습니다.

답변1

난... 솔직히 잘 모르겠어.무엇여기서 묻는 질문이지만 언급한 마지막 세 파일의 경우 모두 동일한 프로세스(예: 최신 업데이트된 amd64 아키텍처 버전을 설치한 프로세스)에 의해 동시에 생성/수정된 것이 분명합니다 libsasl2-modules-db.

(에서 apt show libsasl2-modules-db:

설명: Cyrus SASL - 플러그형 인증 모듈(DB)

이는 Cyrus SASL API 구현 버전 2.1입니다. 자세한 내용은 패키지 libsasl2-2 및 RFC 2222를 참조하세요. . 이 패키지는 Berkeley DB 조회를 지원하는 DB 플러그인을 제공합니다.

)

/var/lib/dpkg/infodpkg가 특정 패키지를 설치, 업데이트 또는 제거할 때 수행할 작업 및/또는 확인 작업을 결정하는 데 도움이 되는 다양한 보조("INFO") 파일이 포함되어 있습니다. 특히 이 .md5sums파일에는 패키지에 있는 모든 파일의 MD5 체크섬이 포함되어 dpkg가 해당 파일이 변조되지 않았는지 확인할 수 있습니다.

/etc/logcheck/ignore.d.server/이는 서비스의 삽입 디렉터리입니다 logcheck. 패키지는 이 디렉터리를 사용하여 필요에 따라 관련 구성 조각을 추가할 수 있습니다. 분명히 libsasl2-modules-db는 다양한 시스템 로그 정보를 생성하여 너무 많은 오류를 방지하는 것이 가장 좋습니다. 긍정적인 점.

마지막으로 /usr/lib/x86_64-linux-gnu/libsasl2.so.2실제 페이로드가 있습니다. 이는 Berkeley DB 시스템과 상호 작용할 수 있게 해주는 SASL 공유 개체 라이브러리 파일입니다.

이들 모두는 패키지 설치 또는 업데이트 작업을 통해 동시에 배치됩니다 libsasl2-modules-db:amd64. 이는 자동 업그레이드일 수도 있고 수동 작업일 수도 있습니다. 알 수 있는 정보가 충분하지 않습니다. /var/log/unattended-upgrades/의 활동을 확인하는 것이 좋습니다 ./var/log/apt/

마찬가지로, /var/lib/swcatalog/icons/ubuntu-jammy-universe패키지가 설치되고 해당 아이콘이 디렉토리에 추가되거나 링크되면 패키지에 의해 디렉토리가 거의 자동으로 채워질 것입니다.

이 기사의 시작 부분에서 말했듯이, 당신이 무엇을 찾고 있는지 잘 모르겠지만, 간단한 "전체 파일 시스템에서 최근에 수정되었거나 추가된 모든 파일을 검색"하는 명령은 별로 도움이 되지 않습니다. - 최신 Linux 시스템은 충분히 정적이지 않습니다.

진지한 포렌식을 수행하려면 신호와 잡음을 구별하는 방법을 배워야 하며, 이를 수행하는 유일한 방법은 시스템을 구성하는 구성 요소가 어떻게 작동하는지 이해하는 것입니다.

관련 정보