电脑技术学习

UNIX应急响应攻略

dn001

  非链接文件是访问该文件的进程中止时被标记为删除的文件。当系统关闭时(正常关机或突然断电非正常关机),

  标记为删除的文件都将消失。因此在找到被标记为删除的文件之前不能关机!

  =================

  执行可信赖的shell

  =================

  使用我们自己准备的响应工具包,装载该介质的文件系统,

  mount –t auto /dev/sda1 /mnt/usb 或

  mount –t iso9660 /dev/cdrom /mnt/cdrom

  按下Ctrl+Alt+F1~F6,从控制台以root身份登陆。

  请一定要区分原环境变量中的命令和当前响应工具包的相同名字的命令集,防止潜在的二进制特洛伊木马攻击。

  ==================

  查看登陆系统的用户

  ==================

  [root@ay4z3ro foo]# w

  19:50:48 up 43 min, 2 users, load average: 0.00, 0.00, 0.00

  USER TTY LOGIN@ IDLE JCPU PCPU WHAT

  root :0 19:08 ?xdm? 11.10s 0.43s gnome-session

  root pts/0 19:08 1.00s 0.21s 0.01s w

  输出标题行显示了当前系统时间,该系统已运行的时间,当前登陆用户数,最近1分钟,5分钟和15分钟内的平均系统负载。

  USER字段显示当前登陆的用户名。TTY字段显示了会话的控制终端,tty表示从控制台登陆,pts/typ则可以表示通过一个网络连接,

  因为X是个C/S模式的应用程序,所以我在GNOME下开的shell窗口显示为pts。如果不从本地登陆,输出中还有FROM字段,

  表示建立会话的源地址的域名或IP。LOGIN@显示该连接的本地开始时间。IDLE字段显示了自上一个进程运行以来的时间长度。

  JCPU显示与tty或pts关联的全部进程所使用的时间。PCPU字段显示了WHAT列中当前进程所使用的CPU时间。WHAT列显示用户当前运行的进程。

标签: