Wenn Sie UNIX-Betriebssysteme verwenden, wie dies bei Linux der Fall ist, wird jede darin enthaltene Komponente als Datei und jede “Datei” katalogisiert. Jedes Mal, wenn wir an diesem Element Änderungen vornehmen, werden alle diese Änderungen in einem Inode gehostet und Linux ist dafür verantwortlich um jede Datei anhand ihrer jeweiligen Inode-Nummer zu identifizieren, die nicht der menschliche Dateiname ist, mit dem sie erstellt wurde.
In Linux-Umgebungen haben wir den Befehl “stat” (Statistics), der, wie der Name schon sagt, den Status des Dateisystems anzeigt und nützliche Informationen generiert, wie zum Beispiel:
- Erstellungsdatum der Datei
- Anzahl der Inodes
- Letzte an der Datei vorgenommene Änderungen
- Letzte Zustandsänderung
- Letzter Zugriff und relevantere Informationen.
Unter Linux haben wir Parameter wie:
Um auf dem Laufenden zu bleiben, sollten Sie unseren YouTube-Kanal abonnieren. ABONNIEREN
1. Ermitteln Sie das Erstellungsdatum einer Datei unter Linux
Um Details einer Datei zu finden, insbesondere das Datum und die Uhrzeit der Erstellung, können wir crtime verwenden, das dafür verantwortlich ist, den Inode der Datei mit dem Befehl stat zu finden. Dazu führen wir die folgende Syntax aus:
stat "Datei"
Dazu müssen wir in das Verzeichnis gehen, in dem die Datei analysiert werden soll, und wie wir sehen, sind die angezeigten Informationen vollständig mit Details wie:
- Letztes Zugriffs- und Änderungsdatum
- Links
- Größe
- Nummer des Knotens und mehr.
Alternativ können wir den Befehl ls wie folgt verwenden. In diesem Fall wird der Inode dieser Datei angezeigt. Es ist notwendig, die der Datei zugeordnete Inode-Nummer zu berücksichtigen.
ls -i "Datei"
2. Kennen Sie das Root-System in Linux
Der nächste Schritt besteht darin, das Root-Dateisystem zu ermitteln, in dem sich die gescannte Datei befindet. Dazu führen wir den Befehl df -h aus, um das Root-Dateisystem wie folgt zu identifizieren:
df -h
In diesem Fall sehen wir, dass das Root-System “/ dev / sda1” ist. Mit diesen Informationen werden wir nun den Befehl “debugfs” verwenden, um die Erstellungszeit der Datei zu ermitteln, indem wir den Parameter “-R” hinzufügen, der Debugfs anweist, einen einzelnen externen Befehl auszuführen, der der Inode-Nummer der zu verwendenden Datei zugeordnet ist. Dazu führen wir folgende Syntax aus:
sudo debugfs -R 'stat <# inodo>' / dev / sda1
Infolgedessen können wir viel umfassendere Details zu der ausgewählten Datei anzeigen, z. B .:
- Anzahl der Inodes
- Modus
- Benutzer und zugeordnete Gruppe
- Größe
- Angaben zu Uhrzeit, Uhrzeit, Uhrzeit und Uhrzeit
- Prüfsumme und mehr.
Mit diesem Tool können wir viel detailliertere Informationen zu jeder Datei erhalten, die analysiert werden muss.