Sleuth Kit＋Autopsyで時系列に解析していたら、/bin/shコマンドを起動してpin.shというファイルを実行し、pingコマンドを発行しているシークエンスに出会しました。しかしその順序が、/bin/shへのアクセス、/bin/pingへのアクセス、pin.shへのアクセス、という順序になってて、シェルスクリプトpin.shの中でpingコマンドを呼び出しているのに、なぜping起動後にpin.shにアクセスしているのか？というのがちょっとした謎として議論のネタになりました。
さて、なぜこのような逆転現象が起きたのでしょうか？
回答例：「坊やだからさ」ヽ(´ー`)ノ