查看從 Linux 端點收集的過程資訊類別中的資料防護、元資料和證據描述。
下表包含在處理資訊類別中可能從 Linux 端點收集的證據資料和中繼資料的描述,這些資料可能由 收集證據任務 和 趨勢科技事件回應工具包 收集。這些證據類型在檢查 證據報告 時選擇證據類別後顯示在列中。
以下資料由正在運行的進程收集的主要證據組成。
|
證據資料防護
|
說明 |
|
使用者名稱
|
與該進程相關的使用者名稱
|
|
PID
|
進程 ID
|
|
命令列
|
用於執行該進程的命令行
|
|
建立時間
|
進程啟動的時間
|
|
父 PID
|
父程序的進程 ID
|
|
SHA1
|
相關檔案的 SHA1
|
|
核心時間
|
在核心模式下花費的時間(以時鐘週期計算)
|
|
使用者時間
|
在使用者模式中花費的時間(以時鐘週期計算)
|
以下中繼資料與個別進程相關,並顯示在證據報告的標籤頁中。
 |
注意並非所有列出的元數據都會被收集和顯示。
|
|
元數據標籤
|
證據資料防護
|
說明
|
|
檔案資訊
|
請參閱 共享檔案資訊物件
|
|
|
Socket 連線
|
本地位址
|
相關的本機 IP 位址
|
|
本地端口
|
相關的本地 TCP/UDP 通訊埠號碼
|
|
|
通訊協定
|
相關的傳輸控制通訊協定
|
|
|
遠端位址
|
相關的遠端 IP 位址
|
|
|
遠端埠口
|
相關的遠端 TCP/UDP 通訊埠號碼
|
|
|
狀態
|
連線狀態
|
|
|
創建者 UID
|
套接字創建者的用戶 ID
|
|
|
關聯執行緒
|
執行緒 ID
|
執行緒的進程 ID
|
|
命令列
|
執行檔或與執行緒相關的命令名稱的檔案名稱
|
|
|
目前狀態
|
以代表性字符表示的過程當前狀態
|
|
|
父 PID
|
父程序的進程 ID
|
|
|
進程組 ID
|
與該進程相關聯的群組 ID
|
|
|
會話 ID
|
進程的會話 ID
|
|
|
控制終端進程組ID
|
前景進程組在控制終端的ID
|
|
|
使用者時間
|
在使用者模式中花費的時間(以時鐘週期計算)
|
|
|
核心時間
|
在核心模式下花費的時間(以時鐘週期計算)
|
|
|
優先順序
|
該程序的優先值
|
|
|
Nice 值
|
用於設定真實進程優先級的值
|
|
|
開始時間
|
進程的運行時間(以時鐘周期計)
|
|
|
虛擬記憶體(位元組)
|
虛擬記憶體使用量(位元組)
|
|
|
等待通道
|
進程在休眠時的核心地址
|
|
|
即時優先值
|
實時進程使用的優先級值
|
|
|
退出代碼
|
表示執行緒退出狀態的值
|
|
|
環境變數
|
名稱
|
進程環境的名稱
|
|
值
|
流程環境的代表值
|
|
|
可訪問的庫
|
請參閱 共享檔案資訊物件
|
|
|
已開啟的檔案
|
請參閱 共享檔案資訊物件
|
|