- File Systems
- 知识点
- USB 通常挂载到 /mdia/external/文件夹下。/media是根目录文件
- Mount 指令查看挂载情况,在内存分析中使用volatility linux_mount 插件
- ext3/4,Linux系统中最常见的文件系统格式
- sysfs,一个伪文件系统,通常挂载在/sys/文件夹下,保存一些硬件连接系统的信息。
- proc,一个伪文件系统,通常挂载在/proc/文件夹下,保存一些运行的进程,激活的网络连接,内核加载模块,也包含一些内存管理的配置。
- tmpfs,一个只存在内存里的文件系统,通常使用在/tmp和/dev/shm文件夹下。
- devpts,一个为了伪终端存在的挂载点,一个伪文件系统,通过SSH远程连接和命令行模式时会产生伪终端。
- devtmpfs,一个伪文件系统,在/dev/文件夹下用来管理文件和目录
- cifs,用来挂载远程SMB的共享,当一个Linux系统想要去挂载远程Windows’系统的文件共享时或者NAS服务启动时可以看到。
- Mount指令显示结果中个参数含义
- Atime/noatime:决定是否文件的访问时间可以更新,如果访问时间没有被设置,将很大的影响你决定哪个那个文件攻击者访问过。
- Diratime/nodiratime,决定是否文件夹的访问时间可以更新
- Relatime/norelatime,更新访问时间仅当访问时间比最后一个修改时间还要早时,在内核版本2.6.3*之后,当访问时间早于24小时之后,任何情况下都会进行更
- 知识点
Linux 内存取证之文件系统取证(Volatility取证)
最新推荐文章于 2024-02-01 14:03:13 发布