背景:
事情是這樣的,由於公司讓在2020年1月8日中午12點前提交“年終總結PPT”,作爲一個搞技術的,我一向對PPT深惡痛絕,於是就沒重視提交晚了,自然領到了200RMB的處罰。然而領導寬容,要求我只要能提交在2020年1月8日中午12點前已經完成PPT的證據即可免單,嘿嘿。是時候展示正在的技術(當然沒什麼技術含量了)啦。於是就有了這個MAC時間,百度了下“MAC時間”,發現都被什麼“蘋果MAC時間”相關的佔據着。遂順手將MAC時間相關的知識記錄下來。進入正題:
所謂MAC時間:
Atime:即access time,指的是文件的最後一次訪問的時間,比如cat、more文件的這個時間都會變化。
Mtime:即modify time,指的是文件最後一次內容發生改變的時間,就是直接會改變文件HASH值的變動。
Ctime:即change time,指的是文件狀態發生改變的時間,比如文件的權限,屬主屬組、重命名時發生改變這個時間就會變化。
注意:ls -l命令默認顯示的是mtime
查看命令stat:
root@kali:/mnt/hgfs/Vmshare# stat 2019年終工工作總結-李東鋒.pptx
文件:2019年終工工作總結-李東鋒.pptx
大小:1683193 塊:3288 IO 塊:1024 普通文件
設備:2fh/47d Inode:4 硬鏈接:1
權限:(0777/-rwxrwxrwx) Uid:( 0/ root) Gid:( 0/ root)
最近訪問:2020-01-09 15:13:23.000000000 +0800
最近更改:2020-01-08 11:32:14.000000000 +0800
最近改動:2020-01-08 11:32:14.000000000 +0800
創建時間:-
配合find命令查找改變過的文件
# find /lee/ -mtime 1 #查找修改時間剛好爲1天的文件
# find /lee/ -mtime -1 #小於1天的文件
# find /lee/ -mtime +1 #大於1天的文件
在應急響應的時候經常會這樣去查找異常的文件,不過這個時間其實也是可以改變(僞造)的,黑客是不會輕易給你留下證據的。至於怎麼修改?由於領導不太明白MAC時間,不認可我的證據,我得去交罰款了,呵呵,且聽下回分解。