ハッカーがUNIXシステムへのrootアクセス権を取得できるとしましょう。彼は特定のファイルをコピーし、システムログファイルを変更してシステムアクセスに関する情報を削除しました。タイムスタンプ分析がこのアクセスを検出するのにどのように役立つか
答え1
ハッカーがシステムへのルートアクセスを取得したら、ファイルタイムスタンプを自由に変更できます。したがって、同じサーバーで実行されるすべてのタイムスタンプ分析は、欠陥があると見なされるべきです。
答え2
攻撃者がコンピュータへのルートアクセス権を持っていると、すべての賭けは中止されます。タイムスタンプは信じられません。
また見てください」感染したサーバーを処理する方法ServerFaultフォーラム(タイムスタンプではなくハッキング時の対処方法について)
答え3
バイナリのタイムスタンプと最後の更新が完了した時期を確認できます。カタログの日付は、カタログが変更された時期についていくつかの手がかりを提供できます。
しかし、そのためには、少しの間違いや経験のない人々の攻撃が必要です。
他の人がすでに指摘したように、タイムスタンプは変更される可能性がありますが、カーネルも「パッチ」される可能性があるため、システムからのデータ(fildeのチェックサム)は信頼できません。ハードドライブを取り外し、セキュリティシステムから読み込みます。より良い方法:ハードドライブを交換し、ソフトウェアを再インストールし(安全になる可能性が高い)、データをバックアップします。