Bash Shell History
Per-user record of every interactive shell command executed by Bash, written to ~/.bash_history on logout (or in real time when HISTTIMEFORMAT and PROMPT_COMMAND are configured).
保存場所
標準的なファイルシステムパスとレジストリ上の場所です。
- $~/.bash_history
- $/root/.bash_history
- $/home/*/.bash_history
- $~/.zsh_history
フォレンジック上の重要性
このアーティファクトが決定的な証拠になりやすい代表的な調査シナリオです。
- Reconstructing attacker post-exploitation activity on a Linux host
- Insider threat — proving a sysadmin ran destructive commands
- Identifying credentials accidentally typed inline (e.g., curl -u user:pass)
- Linking lateral movement via ssh/scp commands across hosts
MITRE ATT&CKマッピング
このアーティファクトが検知や裏付けに役立つ可能性のある技術です。
解析に使えるツール
このアーティファクトの解析でよく使われるunJaena AIおよびDFIRツールです。
関連アーティファクト
Linux Auth Log
Authentication and authorization events emitted by PAM-aware services — sshd logins, sudo invocations, su attempts, screen unlocks, and polkit decisions. The first place to look when scoping a Linux compromise.
Linux Syslog
Plain-text system event log written by rsyslog or syslog-ng, recording kernel messages, daemon output, cron jobs, and (on older distros) authentication events. Standard format on Debian/Ubuntu and RHEL/CentOS systems without journald-only logging.
Linux Cron & Scheduler Artifacts
Time-based job scheduler configuration (system and per-user crontabs, drop-in directories) plus the execution log written by cron/anacron. Key artifact for persistence detection on Linux servers.
Amcache.hve
Compatibility database introduced in Windows 8 that records every PE file executed on the system, including SHA-1 hash, full path, publisher, and first-seen timestamp.
参考資料
アーティファクト解析を手作業で終わらせない
unJaena AIはディスクイメージ、ライブレスポンス出力、モバイルバックアップを取り込み、このページのアーティファクトと200件以上の追加項目を自動で関連付け、調査に使えるタイムラインへ整理します。
unJaena AIを試す →