Saya seorang pemula ke terminal linux live OS's (misalnya Kali Linux).
Tolong beri tahu apa
1) dalam program yang dibangun (mis. Syslog ...),
2) Perintah di Terminal (mis. Ls, ps, md5sum, ...)
yang bisa digunakan untuk memeriksa perubahan pada OS Live (sejak boot dari disk)? Pemeriksaan integritas IE. Saya tertarik untuk turun ke level kernel dalam lingkup.
linux
forensics
kali-linux
terminal
unseen_rider
sumber
sumber
findsalah satu opsi waktu? Saya berpikir-mtimedan-ctimememiliki apa yang Anda butuhkan.Jawaban:
LiveCD umumnya bekerja dalam satu dari dua cara:
Mereka memasang root filesystem dari CD, kemudian menambahkan
tmpfsfilesystem berbasis untuk tempat-tempat (seperti/varatau/home) yang dimaksudkan untuk dimodifikasi. Dalam hal ini, sangat sederhana: file inti tidak berubah, karena mereka tidak pada sistem file yang dapat ditulisi.Mereka memasang sistem file root dari CD, kemudian menambahkan sistem file overlay yang mengalihkan semua modifikasi ke RAM. Dalam hal ini, cara terbaik untuk memeriksa perubahan adalah dengan melihat dokumentasi untuk sistem file overlay yang digunakan, dan melihat bagaimana memeriksanya untuk perubahan.
Perhatikan bahwa dalam kedua kasus tersebut, penyerang dapat menyembunyikan perubahan dari Anda dengan merusak alat yang ingin Anda gunakan. Anda tidak dapat memeriksa sistem untuk integritas dari dalam sistem. Anda harus memeriksanya dari luar.
sumber
Anda harus menggunakan journalctl . Ini memberitahu Anda hal-hal yang terjadi di systemd sejak sebelumnya. Tidak tahu apakah itu ada di Kali dan LiveCDs
sumber