Auch nicht schlecht. Das sind Daten aus dem Ordner /proc/
/proc/pid/fd
Verzeichnis mit allen offenen Filedeskriptoren als Link auf die betreffende Datei
Dazu nochmal das, was ich ts-soft per PM geschrieben habe:
Zitat von AHTMmmh - mit den Signaturen passt mir das unter Linux nicht. Unter Windows muss ich da gar nichts entwirren. Alle ausführbaren Dateien und Module des System haben in der Regel eine Signatur - es sei denn, es ist eine Bat.
Den ganzen signierten Kram kann ich unter Windows als unverändert von der Analyse erst mal komplett ausschließen.
Unter Linux können bestimmte Pakete signiert werden. In meiner Lubuntu Distribution sehe ich aber nicht, das da was signiert ist.
Will man ein Linux System analysieren, scheint das richtig Arbeit zu sein. Ich sehe da keine Möglichkeit, auf allen Distributionen etwas komplett beim Durchsehen vernachlässigen und einfach unter den Tisch schieben zu können.
Da sitzt man eventuell ja Wochen dran und eben nicht nur ein paar Minuten, wie unter Windows. Unter Windows kann ich fast alles erst mal ausklammern. Bei dem Rest fällt Malware geradezu direkt ins Auge. Die sticht einen direkt - meist sogar besonders stark, wenn die versucht, sich irgendwie zu verstecken und man wendet passende Methoden an.Sogar unter Android (wenn nicht gerootet) kann man da anders vorgehen. Das ist bei Linux etwas schade.
Darum geht es mir. Natürlich kann man das alles analysieren (wie unter Windows auch) - ich kann aber nichts bei einer Malwaresuche ausklammer.
Um eine Infektion möglichst auszuschließen, müsste ich mir eigentlich wirklich jeden Scheiß auf dem Betriebssystem ansehen und durchakkern. Eine Möglichkeit unter Linux nicht Wochen mit der Analyse zu verbringen, sondern nur einige Minuten, sehe ich zur Zeit nicht. Läuft auf einem Windowsssystem was, sieht man das manchmal mit den richtigen Daten in Sekunden.
Ich will hoffen, das so langsam klar wird, worauf ich hinaus will.
Unter Windows ist wirklich fast jede EXE und jede DLL und jeder Treiber des Betriebssystems signiert. Sogar VBS Dateien, die das System mitbringt und nutzt, haben die manchmal.
In Linux sehe ich diese Art der Signatur von ausführbaren Dateien nicht.