-r--r--r-- 1 root root 0 Sep 20 19:54 stat

　　-r--r--r-- 1 root root 0 Sep 20 19:54 statm

　　-r--r--r-- 1 root root 0 Sep 20 19:54 status

　　Exe链接允许我们恢复被删除的文件，只要这些文件仍然运行。为获得“已删除可执行文件的备份，只需要使用cp命令在该文件系统上

　　创建一个拷贝就行。通过检查fd子目录，可以识别该进程打开的所有文件。如果对Unix环境下的编程有所了解的话，很容易就能发现

　　是在读写一个文件还是打开一个网络连接。cmdline文件的内容是该进程的完整命令行。以下语句是攻击者的欺骗手段,

　　strcpy(argv[0],any_string);

　　这样该文件就显示了一种假象，即使如此，我们仍有必要检查此文件。

　　==================================

　　获取所有文件的创建，修改和访问时间

　　==================================

　　ls –alRu > /mnt/usb/access

　　ls –alRc > /mnt/usb/modification

　　ls –alR > /mnt/usb/creation

　　============

　　获取系统日志

　　============

　　大多数UNIX的日志在/var/log和/var/adm目录下，各种UNIX派生系统日志的具体位置有所不同。

　　在此之前，有必要了解针对特定系统的日志存贮位置。

　　比较重要的二进制日志文件：

　　utmp,用w工具访问；

　　wtmp,用last工具访问；

　　lastlog,用lastlog工具访问；

　　进程记账日志,用astcomm工具访问

　　常见的ASCII文本日志文件：

　　apache日志--/var/log/httpd/access_log；

　　ftp日志—xferlog；

　　命令历史记录文件；

　　/var/log/messages;

标签：