檢視次數:

了解鑑識可能從 Linux 端點收集的過程資訊類別中的證據類型。

正在執行的程序收集的主要證據

證據報告中選擇Running Processes後,鑑識分析會在表格中顯示主要進程資訊。
forensics-running-process-primary-info=3b56a48e-1f59-49c9-b382-d994778ff5b1.png
證據資料防護
說明
使用者名稱
與該程序相關的使用者名稱
PID
程序 ID
指令行
用於執行該進程的命令行
建立時間
啟動程序的時間
父進程 PID
父程序的程序 ID
SHA1
相關檔案的安全雜湊演算法 1 (SHA-1)
核心時間
在核心模式下花費的時間(以時鐘週期計算)
使用者時間
在使用者模式中花費的時間(以時鐘週期計算)

詳細的程序資訊

重要
重要
您的系統可能無法收集和顯示所有列出的元數據。

正在執行的程序收集的主要證據

鑑識在檢查證據報告時,選擇證據類別後會在欄位中顯示詳細的過程資訊。
forensics-process-detailed-info=ef66095d-2dbe-4dc2-9263-c4735476f497.png
證據資料防護
說明
使用者名稱
與該程序相關的使用者名稱
PID
程序 ID
指令行
用於執行該進程的命令行
建立時間
啟動程序的時間
父進程 PID
父程序的程序 ID
SHA1
相關檔案的安全雜湊演算法 1 (SHA-1)
核心時間
在核心模式下花費的時間(以時鐘週期計算)
使用者時間
在使用者模式中花費的時間(以時鐘週期計算)

檔案資訊

Socket 連接

證據資料防護
說明
本地地址
相關的本地網路通訊協定 (IP) 位址
本地端口
相關的本地傳輸控制通訊協定/使用者資料包通訊協定 (TCP)/(UDP) 通訊埠號碼
通訊協定
相關的傳輸控制通訊協定
遠端位址
相關的遠端 IP 位址
遠端埠
相關的遠端 TCP/UDP 通訊埠號碼
省/市
連線狀態
創建者 UID
套接字創建者的用戶 ID

相關執行緒

證據資料防護
說明
執行緒 ID
執行緒的進程 ID
指令行
執行檔或與執行緒相關的命令的檔案名稱
目前狀態
以代表性字符表示的過程當前狀態
父進程 PID
父程序的程序 ID
程序組 ID
與該進程相關聯的群組 ID
會話 ID
進程的會話 ID
控制終端進程組ID
控制終端中前景進程組的ID
使用者時間
在使用者模式中花費的時間(以時鐘週期計算)
核心時間
在核心模式下花費的時間(以時鐘週期計算)
優先順序
進程的優先值
Nice 值
用於設定真實進程優先級的值
開始時間
進程的運行時間(以時鐘周期計算)
虛擬記憶體(位元組)
使用的虛擬記憶體量(位元組)
等待頻道
進程在休眠時的核心地址
即時優先值
用於即時處理程序的優先值
退出代碼
表示執行緒退出狀態的值

可存取的程式庫

已開啟的檔案