linux系统下如何获取现场证据

1）用syslogd工具在/var/log/messages中记录系统日志；

2）用ps(静态)和top（动态）命令查看当前进程状态；

3）老办法：截图。用Linux下的截图软件，scrot。

b表示是个移动存储的块设备；

第一个rw-表示所有者可读写；

第二个rw-表示所有者属于的组的其他成员可读写；

1：使用的节点数为1

root：所有者为root，disk：所属组为disk；

8，1不知道。

2003-01-30 表示创建时间

---