관리 메뉴

Lucete

lsof 명령어 본문

For3nsic/Forensic

lsof 명령어

LuCeT3 2015. 11. 20. 00:48


프로세스 정보를 확인하기 위한 명령어는 lsof라는 명령어가 있다. 


lsof라는 명령어는 

LiSt Open Files의 약자로 이름 그대로 수행하는 프로그 램이다. 좀 더 구체적으로, 현재 System에서 돌아가는 모든 Process에 의해서 Open된 파일들에 대한 정보를 보여준다.

사용법은

1. 어떤 특정한 파일을 사용하고 있는 프로세스들에 대한 정보를 알고 싶을 때,

lsof <expected file name with path>


2. 어떤 파일 시스템 내에, 그렇게 큰 크기의 파일들을 찾을 수 없는데도 불구하고, Available Space가 0을 향해서 치닫고 있을 수도 있다. 

lsof <expected directory - root of mounted partition>


3. 긴급히 어떤 파일 시스템을 unmount해야 할 때, lsof는 파일 시스템 내에 있는 파일들에 대해서 억세스하고 있는 프로세스들을 다 찾아줄 수 있다.

lsof <expected file system name>


4.  lsof는 모든 네트워크 Socket들을 찾아낼 수 있다.

lsof -i


5. 4번을 잘 이용하면, 어떤 네트워크 Connection에 대해서 그 목적지 나 어디서 부터 맺어진 연결인지를 쉽게 알아낼 수 있다. 

lsof -i@pwnplay.org 

lsof -iTCP(|UDP)@pwnplay.org:smtp


6. lsof를 이용하여, rcp나 ftp를 이용한 파일 전송 과정을 모니터링 할 수도 있다. 먼저 대상이 되는 프로세스를 ps 등을 이용해서 찾아낸다. 

lsof -p <PID>


7. lsof로는 어떤 유저가 열고 있는 모든 파일들을 열거해 볼 수도 있다.

lsof -u<loginname> 혹은 $ lsof -u<UID>






'For3nsic > Forensic' 카테고리의 다른 글

USB 자체가 아닌 운영체제 단에서 저장장치에서 쓰기 방지하기  (0) 2015.11.23
USB forensic  (0) 2015.11.23
lsof 명령어  (0) 2015.11.20
FTK Imager 알아보기 2  (0) 2015.11.17
FTK Imager알아보기 1  (0) 2015.11.17
데이터 저장 매체  (0) 2015.11.17
Tag
0 Comments
댓글쓰기 폼