Проблема, связанная с тем, чтобы копаться в системе в рабочем состоянии в том, что Вы уничтожите любую информацию, которую могли узнать из метаданых, хранящихся в каждом файле компьютера.

В Linux для записи того, когда определенные события происходят чаще всего, используются отметки времени MAC (MAC times).

Отметки времени

В список явлений, которые меняют отметки времени MAC в файле входят: «изменение» (англ. «modification», данные в файле были изменены), «доступ» (англ. «access», какая-либо часть файла была прочитана или выполнена), а также «изменение метаданных» (англ. «metadata change», были изменены права доступа или принадлежность файла).

Выключив питание сервера как можно раньше, Вы снизите вероятность того, что отметки времени MAC, записанные действиями нарушителя, будут обновлены другим пользователем.

Затем Кайл выступил с презентацией на тему взломанного образа, в которой показал, как пользоваться The Sleuth Kit и Autopsy Browser, чтобы провести расследование.

Эти программы могут быть использованы для просмотра файлов системного журнала, восстановления удаленных файлов и установления очередности файлов в файловой системе по отметкам времени MAC.

Эта информация помогла ему создать любопытное изображение не только того, как нарушитель получил доступ к одной из его машин, но и того, что он делал, получив доступ.

Кайл превосходно проводит публичные выступления, и я настоятельно рекомендую посетить его лекцию, если Вам выпадет шанс.

Слайды его презентации на Юго-Западном Саммите Drupal есть в сети, также как и его статья в Linux Journal «Введение в криминологию», где он очень подробно описывает то, как пользоваться этими программами.