ビュー:

ForensicsがLinuxエンドポイントから収集する可能性のあるプロセス情報カテゴリのエビデンスの種類について学びましょう。

実行中のプロセスに関して収集された主要なエビデンス

Forensicsは、エビデンスレポート[Running Processes]を選択した後、主要なプロセス情報をテーブルに表示します。
forensics-running-process-primary-info=3b56a48e-1f59-49c9-b382-d994778ff5b1.png
エビデンスデータ
説明
ユーザ名
プロセスに関連付けられたユーザ名
PID
プロセスID
コマンドライン
プロセスを実行するために使用されたコマンドライン
作成日時
プロセスが開始された時刻
親PID
親プロセスのプロセスID
SHA1
関連ファイルのセキュアハッシュアルゴリズム1 (SHA-1)
カーネル時間
カーネルモードでの時間の経過をティックで表したもの
ユーザ時間
ユーザモードで費やされた時間 (ティック単位)

詳細なプロセス情報

重要
重要
お使いのシステムは、すべてのリストされたメタデータを収集および表示しない可能性があります。

実行中のプロセスに関して収集された主要なエビデンス

Forensicsは、エビデンスレポートを調査する際にエビデンスカテゴリを選択した後、列に詳細なプロセス情報を表示します。
forensics-process-detailed-info=ef66095d-2dbe-4dc2-9263-c4735476f497.png
エビデンスデータ
説明
ユーザ名
プロセスに関連付けられたユーザ名
PID
プロセスID
コマンドライン
プロセスを実行するために使用されたコマンドライン
作成日時
プロセスが開始された時刻
親PID
親プロセスのプロセスID
SHA1
関連ファイルのセキュアハッシュアルゴリズム1 (SHA-1)
カーネル時間
カーネルモードでの時間の経過をティックで表したもの
ユーザ時間
ユーザモードで費やされた時間 (ティック単位)

ファイル情報

ソケット接続

エビデンスデータ
説明
ローカルアドレス
関連するローカルインターネットプロトコル (IP) アドレス
ローカルポート
関連するローカル伝送制御プロトコル/ユーザデータグラムプロトコル (TCP)/(UDP) ポート番号
プロトコル
関連する伝送制御プロトコル
リモートアドレス
関連するリモートIPアドレス
リモートポート
関連するリモートTCP/UDPポート番号
都道府県
接続の状態
作成者UID
ソケット作成者のユーザID

関連スレッド

エビデンスデータ
説明
スレッドID
スレッドのプロセスID
コマンドライン
スレッドに関連付けられた実行ファイルのファイル名またはコマンド名
現在の状態
プロセスの現在の状態を表す代表的な文字
親PID
親プロセスのプロセスID
プロセスグループID
プロセスに関連付けられたグループID
セッションID
プロセスのセッションID
制御端末プロセスグループID
制御端末のフォアグラウンドプロセスグループのID
ユーザ時間
ユーザモードで費やされた時間 (ティック単位)
カーネル時間
カーネルモードでの時間の経過をティックで表したもの
優先度
プロセスの優先度値
ナイス値
真のプロセス優先度を設定するために使用される値
開始日時
プロセスの実行時間 (ティック単位)
仮想メモリ (バイト)
バイト単位で使用されている仮想メモリの量
待機チャネル
スリープ中のプロセスのカーネルアドレス
リアルタイム優先度値
リアルタイムプロセスに使用される優先度値
終了コード
スレッドの終了ステータスを表す値

アクセシブルライブラリ

ファイルを開く