4 m.c lrwxrwxrwx root     root     /data1/csh -> tcsh

...

                9 m.c lrwxrwxrwx root     root     /data1/psfgettable -> psfxtable

               5044 ..c -rwxr-xr-x root     root     /data1/setkeycodes

Feb 02 04 10:38:35    16384 .a. drwx------ root     root     /data1/lost+found

То есть с указаного времени изменялся inode (..с) файла deallocvt, если файл недавно копировался или создавался другим способом, то это не должно вызывать подозрений, но если операционная система стоит не один день, а файл находится в неизменяемой обычно области (/bin, /sbin и т. д.), то это должно вызвать подозрения. Хотя, как вы понимаете, все эти времена можно без проблем изменить. Далее все, думаю, понятно по аналогии. Из интересных опций следует отметить -s, показывающую файлы с установленным SUID/SGID другим цветом, ее необходимо использовать совместно с -h, устанавливающую вывод в виде html.

Просмотреть, чем сейчас занимается тот или иной процесс, найденный при помощи ps, netstat, или lsof, можно, запустив команду pcat, которая копирует содержание его памяти в стандартный вывод.

./pcat 881 | strings | less

Наиболее полную информацию можно получить, используя опцию -H и направив при этом вывод в файл. В остальных опциях лучше один раз увидеть, чем сто раз прочитать.

Теперь попробуем найти потерянные или спрятанные файлы. Для этого воспользуемся утилитой ils (inode list), которая открывает названное устройство и перечисляет inode. По умолчанию ils выводит inodes только удаленных файлов.

Опций много, наиболее интересные следующие: опция -е выводит список всех inode; -o – выводит список всех inodes удаленных файлов, но таких, которые являются еще открытыми или выполняются; -r выводит список удаленных файлов.

# ./ils  -or /dev/hda9

class|host|device|start_time

ils|mgrinder|/dev/hda9|1075713057

st_ino|st_alloc|st_uid|st_gid|st_mtime  |st_atime  |st_ctime  |st_dtime  |st_mode|st_nlink|st_size|st_block0|st_block1

1     |a       |0     |0     |1075576270|1075576270|1075576270|0         |0      |0       |0      |0        |0

28    |f       |0     |0     |1075713004|1075711733|1075713004|1075713004|100755 |0       |0      |0        |0