了解鑑識可能從 Linux 端點收集的過程資訊類別中的證據類型。
正在執行的程序收集的主要證據
在證據報告中選擇Running Processes後,鑑識分析會在表格中顯示主要進程資訊。
|
證據資料防護
|
說明 |
|
使用者名稱
|
與該程序相關的使用者名稱
|
|
PID
|
程序 ID
|
|
指令行
|
用於執行該進程的命令行
|
|
建立時間
|
啟動程序的時間
|
|
父進程 PID
|
父程序的程序 ID
|
|
SHA1
|
相關檔案的安全雜湊演算法 1 (SHA-1)
|
|
核心時間
|
在核心模式下花費的時間(以時鐘週期計算)
|
|
使用者時間
|
在使用者模式中花費的時間(以時鐘週期計算)
|
詳細的程序資訊
 |
重要您的系統可能無法收集和顯示所有列出的元數據。
|
正在執行的程序收集的主要證據
鑑識在檢查證據報告時,選擇證據類別後會在欄位中顯示詳細的過程資訊。
|
證據資料防護
|
說明 |
|
使用者名稱
|
與該程序相關的使用者名稱
|
|
PID
|
程序 ID
|
|
指令行
|
用於執行該進程的命令行
|
|
建立時間
|
啟動程序的時間
|
|
父進程 PID
|
父程序的程序 ID
|
|
SHA1
|
相關檔案的安全雜湊演算法 1 (SHA-1)
|
|
核心時間
|
在核心模式下花費的時間(以時鐘週期計算)
|
|
使用者時間
|
在使用者模式中花費的時間(以時鐘週期計算)
|
檔案資訊
請參閱共享檔案資訊物件
Socket 連接
|
證據資料防護
|
說明
|
|
本地地址
|
相關的本地網路通訊協定 (IP) 位址
|
|
本地端口
|
相關的本地傳輸控制通訊協定/使用者資料包通訊協定 (TCP)/(UDP) 通訊埠號碼
|
|
通訊協定
|
相關的傳輸控制通訊協定
|
|
遠端位址
|
相關的遠端 IP 位址
|
|
遠端埠
|
相關的遠端 TCP/UDP 通訊埠號碼
|
|
省/市
|
連線狀態
|
|
創建者 UID
|
套接字創建者的用戶 ID
|
相關執行緒
|
證據資料防護
|
說明
|
|
執行緒 ID
|
執行緒的進程 ID
|
|
指令行
|
執行檔或與執行緒相關的命令的檔案名稱
|
|
目前狀態
|
以代表性字符表示的過程當前狀態
|
|
父進程 PID
|
父程序的程序 ID
|
|
程序組 ID
|
與該進程相關聯的群組 ID
|
|
會話 ID
|
進程的會話 ID
|
|
控制終端進程組ID
|
控制終端中前景進程組的ID
|
|
使用者時間
|
在使用者模式中花費的時間(以時鐘週期計算)
|
|
核心時間
|
在核心模式下花費的時間(以時鐘週期計算)
|
|
優先順序
|
進程的優先值
|
|
Nice 值
|
用於設定真實進程優先級的值
|
|
開始時間
|
進程的運行時間(以時鐘周期計算)
|
|
虛擬記憶體(位元組)
|
使用的虛擬記憶體量(位元組)
|
|
等待頻道
|
進程在休眠時的核心地址
|
|
即時優先值
|
用於即時處理程序的優先值
|
|
退出代碼
|
表示執行緒退出狀態的值
|
可存取的程式庫
請參閱共享檔案資訊物件
已開啟的檔案
請參閱共享檔案資訊物件