/bin : berisi command umum seperti ls, pd, cd.
Single User Mode : service tidak berjalan dan hanya root user yang dapat login. bisa untuk file system recovery, dan recovery password root.
/sbin : (system administration binary) direktori yg berisi sistem dan root only binaries yg dipakai untuk administrasi sistem. cth: ifconfig dan fdisk. [ cek direktori bin dan sbin untuk file yang cocok dengan timestamp saat insiden. Cek unusual script executable di direktori ini. Untuk memeriksa unusual script, pakai hash analysis tools untuk mengecualikan file yang dikenal ]
/etc : berisi script konfigurasi file di dalam sistem.
passwd : berisi informasi semua user yg mengakses machine termasuk username, path home dir, semua program yang mulai berjalan ketika user login.
shadow : berisi auth informasi user terdiri dari username & salt password.
profile: file/command yg berjalan saat startup bisa diset global ke semua user.
networks : berisi nama network pd sistem
hosts : berisi ip machine jika konek ke jaringan.
cron.d, cron.daily, cron.hourly, cron.weekly, cron.monthly: cron direktori berisi script yg dieksekusi oleh cron daemon. [mencari keberadaan malware dapat melalui ini].
init.d : untuk menjalankan berbagai script. [penting juga karena malware menggunakannya untuk menyembunyikan dan memulai eksekusinya saat sistem startup].
/dev : spesial file yang merepresentasikan device yang terhubung ke sistem. cth : usb, /dev/sda merepresentasikan hdd yang terdeteksi dalam sistem, ataupun drive virtual /dev/random atau /dev/zero. [ Informasi tentang device yang masuk juga ada dalam syslog termasuk timestamp device di attach pada sistem. Jika device telah digunakan untuk aktivitas kejahatan, dapat menggunakan informasi ini untuk mengidentifikasi jenis perangkat dan waktu penggunaannya ]
/proc : berisi process sistem. yaitu file sistem yang sedang berjalan.
netstat : file berisi info statistik koneksi jaringan sistem. [ cek jika ada koneksi mencurigakan ]
PID/exe : direktori ini berisi link ke executable process yang berhubungan dengan process ID.
/var : direktori paling penting yang berisi log file dan log aplikasi.
/var/log : berisi sistem log file.
/var/lib : berisi package dan db files
/var/spool : antrian print
/var/mail : email
/var/lock : lock file.
syslog : berisi catatan login, shutdown, dan waktu koneksi ke jaringan tertentu dibuat. [ dapat memprediksi pengguna dari insiden tertentu saat sistem berjalan ]
lastlog : Berisi informasi terkini dari semua pengguna yang masuk.
faillog : berisi upaya masuk yang gagal dari pengguna. [ untuk cek user mana yang diserang ]
/var/tmp temporary file yang dapat memberi informasi tentang file yang user telah akses.
/tmp : berisi file user temporary.
/usr : berisi file binary & file yang telah digunakan oleh user.
/usr/bin : berisi konfigurasi (general sistem binaries) mengenai aplikasi yg terinstall.
/usr/sbin : berisi konfigurasi (general sistem binaries) mengenai aplikasi yg terinstall tetapi dalam root privileges.
/usr/lib : berisi libraries, object files, and internal binaries yang digunakan oleh aplikasi.
/usr/share/man : repository manual pages.
/usr/local/: berisi program yang user install (aplikasi yang dikompile oleh local).
/us/local/bin : script yang bisa diakses oleh semua user.
/home : berisi data dan informasi milik user.
/opt : berisi software optional/eksternal software.
/boot : berisi bootloader, grubfile.
/media : berisi direktori untuk removable media.
/mnt : temporary mounting point untuk device external/remote file system.
/ : root directory
