Erfahren Sie mehr über die Arten von Beweismitteln in der Kategorie Prozessinformationen, die Forensics von Linux-Endpunkten sammeln könnte.
Primärbeweise zu laufenden Prozessen gesammelt
Forensics zeigt die primären Prozessinformationen in einer Tabelle an, nachdem Running Processes im Beweisbericht ausgewählt wurde.
|
Evidenzdaten
|
Beschreibung |
|
Benutzername
|
Die Benutzernamen, die dem Prozess zugeordnet sind
|
|
PID
|
Die Prozess-ID
|
|
Befehlszeile
|
Die Befehlszeile, die zum Ausführen des Prozesses verwendet wurde
|
|
Erstellungszeit
|
Die Startzeit des Prozesses
|
|
Übergeordnete PID
|
Die Prozess-ID des übergeordneten Prozesses
|
|
SHA1
|
Der Secure Hash Algorithm 1 (SHA-1) der zugehörigen Datei
|
|
Kernel-Zeit
|
Die im Kernel-Modus verbrachte Zeit in Ticks
|
|
Benutzerzeit
|
Die im Benutzermodus verbrachte Zeit in Ticks
|
Detaillierte Prozessinformationen
 |
WichtigIhr System sammelt und zeigt möglicherweise nicht alle aufgeführten Metadaten an.
|
Primärbeweise zu laufenden Prozessen gesammelt
Forensics zeigt detaillierte Prozessinformationen in Spalten an, nachdem eine Beweiskategorie
beim Untersuchen eines Beweisberichts ausgewählt wurde.
|
Evidenzdaten
|
Beschreibung |
|
Benutzername
|
Die Benutzernamen, die dem Prozess zugeordnet sind
|
|
PID
|
Die Prozess-ID
|
|
Befehlszeile
|
Die Befehlszeile, die zum Ausführen des Prozesses verwendet wurde
|
|
Erstellungszeit
|
Die Startzeit des Prozesses
|
|
Übergeordnete PID
|
Die Prozess-ID des übergeordneten Prozesses
|
|
SHA1
|
Der Secure Hash Algorithm 1 (SHA-1) der zugehörigen Datei
|
|
Kernel-Zeit
|
Die im Kernel-Modus verbrachte Zeit in Ticks
|
|
Benutzerzeit
|
Die im Benutzermodus verbrachte Zeit in Ticks
|
Dateiinformationen
Socket-Verbindungen
|
Evidenzdaten
|
Beschreibung
|
|
Lokale Adresse
|
Die zugehörige lokale Internetprotokoll (IP)-Adresse
|
|
Lokaler Port
|
Die zugehörige lokale Übertragungssteuerungsprotokoll / Benutzer-Datagramm-Protokoll
(TCP)/(UDP) Portnummer
|
|
Protokoll
|
Das zugehörige Übertragungssteuerungsprotokoll
|
|
Remote-Adresse
|
Die zugehörige Remote-IP-Adresse
|
|
Remote-Port
|
Die zugehörige Remote-TCP/UDP-Portnummer
|
|
Bundesland
|
Der Status der Verbindung
|
|
Ersteller-UID
|
Die Benutzer-ID des Socket-Erstellers
|
Zugehörige Threads
|
Evidenzdaten
|
Beschreibung
|
|
Thread-ID
|
Die Prozess-ID des Threads
|
|
Befehlszeile
|
Der Dateiname der ausführbaren Datei oder der Befehlsname, der mit dem Thread verknüpft
ist
|
|
Aktueller Status
|
Der aktuelle Zustand des Prozesses, ausgedrückt als repräsentatives Zeichen
|
|
Übergeordnete PID
|
Die Prozess-ID des übergeordneten Prozesses
|
|
Prozessgruppen-ID
|
Die mit dem Prozess verknüpfte Gruppen-ID
|
|
Sitzungs-ID
|
Die Sitzungs-ID des Prozesses
|
|
Steuerung der Terminalprozessgruppen-ID
|
Die ID der Vordergrundprozessgruppe im Steuerterminal
|
|
Benutzerzeit
|
Die im Benutzermodus verbrachte Zeit in Ticks
|
|
Kernel-Zeit
|
Die im Kernel-Modus verbrachte Zeit in Ticks
|
|
Priorität
|
Der Prioritätswert des Prozesses
|
|
Netter Wert
|
Der Wert, der verwendet wird, um die tatsächliche Prozesspriorität festzulegen
|
|
Startzeit
|
Die Laufzeit des Prozesses in Ticks
|
|
Virtueller Speicher (Byte)
|
Der in Byte verwendete virtuelle Speicherbetrag
|
|
Wartekanal
|
Die Kernel-Adresse des Prozesses im Ruhezustand
|
|
Echtzeit-Prioritätswert
|
Der Prioritätswert, der für Echtzeitprozesse verwendet wird
|
|
Beendigungscode
|
Der Wert, der den Beendigungsstatus des Threads darstellt
|