🎁Preuve d’exécution

Savoir quels programmes ont été exécutés sur un hôte est essentiel dans une analyse médico-légale. Sur un hôte Linux, nous pouvons trouver des preuves d'exécution à partir de plusieurs sources.

🔒 Historique d'Exécution Sudo

Toutes les commandes exécutées avec sudo sont enregistrées dans le journal d'authentification. Vous pouvez filtrer les informations pertinentes en utilisant grep sur le fichier /var/log/auth.log*.

cat /var/log/auth.log* | grep -i COMMAND | tail

Ce terminal affiche les commandes exécutées par l'utilisateur Ubuntu en utilisant sudo.

⚙️ Historique de Bash

Toutes les commandes non exécutées avec sudo sont stockées dans l'historique de bash. Vous pouvez lire l'historique de bash de chaque utilisateur en consultant le fichier ~/.bash_history.

cat ~/.bash_history

N'oubliez pas d'examiner également l'historique de bash de l'utilisateur root pour toutes les commandes exécutées avec sudo.

📝 Fichiers Accessibles avec Vim

Le fichier .viminfo dans le répertoire personnel contient l'historique des fichiers ouverts dans Vim, y compris les commandes exécutées. Vous pouvez lire ce fichier avec cat.

cat ~/.viminfo

Cela affiche l'historique des commandes Vim ainsi que d'autres informations utiles.

En analysant ces sources, vous pouvez reconstituer l'activité d'exécution sur l'hôte Linux et identifier toute activité suspecte ou malveillante.

PreviousMecanisme de persistance NextLog files

Last updated 1 year ago