และกระบวนการ forensic แบบเก่า (ที่ทำการ duplicate image ของ harddisk แล้วทำการวิเคราะห์ทีหลัง) ก็ไม่สามารถนำมาใช้ในการวิเคราะห์หลักฐานได้่อย่างมีประสิทธิภาพ (หลักฐานอาจอยู่ใน memory ซึ่งไม่ได้ทำการเก็บข้อมูลในส่วนนั้นมา) นั่นเอง
เมื่อพูดถึง live response ข้อมูลของระบบอย่างหนึ่งที่ Incident Handler ควรที่จะสนใจคือข้อมูลของ process ที่กำลังรันอยู่บนระบบที่ทำการสืบสวน ซึ่ง tools แบบ command-line ยอดนิยมสำหรับเก็บข้อมูลของ process ที่รันอยู่บนระบบได้แก่ tlist และ pslist
คราวนี้ก็เลยเกิดคำถามขึ้นมาว่าตัวไหนดีกว่ากัน ว่าแล้วก็เลยนำ feature ของเจ้า 2 ตัวนี้มาเปรียบเทียบกัน ซึ่งผลที่ได้มีดังต่อไปนี้
ข้อดีของ tlist ที่ pslist ไม่มี
- tlist สามารถเรียกดู command-line รวมทั้ง path ของ executable image ที่ไว้ใช้สำหรับทำการรัน process ได้ โดยใช้คำสั่ง tlist -c
- tlist สามารถทำการ map ระหว่าง process กับรายชื่อของ service โดยใช้คำสั่ง tlist -s
- pslist สามารถเรียกดู process ของ remote machine ได้ pslist \\machine-name -u Administrator
- pslist สามารถเรียกดูระยะเวลาที่ process ทำการรันว่ารันมาได้นานเท่าใด ซึ่งเมื่อรัน pslist เฉยๆก็จะแสดงออกมา
- pslist สามารถเรียกดูข้อมูลของ memory และ thread ของแต่ละ process ได้โดยใช้คำสั่ง pslist -x (แต่รู้สึกไม่ค่อยมีประโยชน์เท่าไหร่เลยน่ะ)
- ทั้ง 2 ตัวนี้สามารถเรียกดู process tree ได้โดยใช้ tlist -t และ pslist -t ตามลำดับ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น