Файли в Linux мають 3 типи тимчасових міток: час доступу (англ. Access time, скор. Atime), час модифікації (англ. Modification time, скор. Mtime) і час зміни (англ. Change time, скор. Ctime).
Одного разу може виникнути необхідність підробити тимчасові мітки будь-якого файлу.
atime (час доступу), як і mtime (час модифікації) можуть бути легко змінені за допомогою команди touch. але для підробки мітки ctime (часу зміни) стандартного рішення не існує.
Проте, як обхідного шляху, можна встановити системний час в те значення на яке ви хочете змінити ctime файлу, потім використовувати команду touch на цьому файлі і потім відкотити системне час назад.
З наведеної нижче статті ви дізнаєтеся, як зберігаючи анонімність змінювати часові мітки файлу.
Дізнатися Тимчасові Мітки файлу
Щоб отримати інформацію про поточний тимчасових мітках файлу скористаєтеся командою stat:
Різниця Між «atime», «mtime» і «ctime»
Коли вона оновлюється?
Час доступу до файлу оновлюється коли ви відкриваєте файл або коли він використовується для інших операцій, наприклад таких як: grep, cat, head і т.д.
Час модифікації файлу оновлюється коли ви змінюєте його вміст або зберігаєте файл.
Час редагування файлу оновлюється коли змінюються його атрибути, такі як власник файлу, права, або він переміщається на іншу файлову систему. Також цей час оновлюється і при зміни часу модифікації файлу.
Змінити часу «Доступу» і «Модифікації» файлу
Змінити atime до файлу (час доступу):
Змінити mtime файлу (час модифікації):
Підробити Час «Зміни» файлу
Як я вже говори раніше, не існує стандартного рішення для підробки ctime (часу редагування файлу).
Проте, якщо ви готові ризикнути, це можна зробити.
Для початку необхідно змінити системний час на те, на яке ви хочете поміняти ctime.
Потім необхідно використовувати команду touch на файлі, а потім відкотити системне час назад.
Неочікувані наслідки: Зміна системного часу може привести до неочікуваним наслідків. Використовуйте наведені нижче команди тільки на свій страх і ризик.
Збережіть поточну дату і час в змінну NOW:
Встановіть підроблене системний час (необхідний root):
Використовуйте команду touch на файлі для зміни всіх тимчасових міток на підроблені:
Відкотити час назад (необхідний root):
Для збільшення швидкості виконання модифікацій і як наслідок зменшення ризику можливих наслідків, ви можете виконає наведені вище команди наступним чином:
замітаємо Сліди
Щоб замести сліди - очистіть значення змінної, а також почистити логи і історію.
Очистіть значення змінної NOW:
З файлу / var / log / messages видаліть рядки з інформацією про зміну системного часу (необхідний root):
Очистіть історію входів в Linux (необхідний root):
Очистіть історію поточної сесії: