各位好,我是风奕。今天和各位分享一个Linux应急响应过程中的小技巧。Linux kernel从4.11版本开始支持statx系统调用,比起stat系统调用,其返回结果更为丰富,其中就包含了文件的创建时间。glibc从2.28版本对于该系统调用进行了封装,stat命令(coreutils)从8.31版本开始也支持查看文件创建时间。
但是在应急响应场景下,无法保证上述的条件皆符合。那么此时应当如何获取文件的创建时间呢?首先需要文件系统的支持,例如ext4 xfs。其实文件系统记录了文件的创建时间,只不过内核不支持用户态获取,所以stat命令的结果中Birth time显示为空。此时可以通过debugfs读取磁盘中文件的inode进行获取:
debugfs -R "stat filename" filesystem | grep crtime
原文始发于微信公众号(风奕安全):Linux应急响应:查看文件的创建时间
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论