[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [shell-script] Duvida Script para analise de arquivos por data de cr
|
From: |
MrBiTs |
|
Subject: |
Re: [shell-script] Duvida Script para analise de arquivos por data de criação. |
|
Date: |
Fri, 06 Mar 2015 11:26:28 -0300 |
|
User-agent: |
Mozilla/5.0 (X11; Linux x86_64; rv:31.0) Gecko/20100101 Thunderbird/31.4.0 |
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
On 03/06/2015 02:47 AM, Fernando Mercês address@hidden [shell-script] wrote:
>
>
> MrBiTs,
>
> Eu lembro que me deparei com este dilema quando estava escrevendo uma
> apostila de forense para o curso da 4Linux. Você pode
> usar o comando stat interno do debugfs, do e2fsprogs. Segue trecho da
> apostila que comento: http://pastebin.com/DnQNK1pa
>
> O chato é ter que abrir o filesystem onde o arquivo está, mas deve dar pra
> scriptar pegando com pwd, dirname e /etc/mtab, sei
> lá. Acho que é algo a se pensar pra eu incluir na bashacks! :)
>
> Grande abraço.
Oi, Fernando
Ter o crtime é importantíssimo para segurança (sem contar em forense), mas veja
que ainda é uma coisa um nível abaixo. Se você não
for root, você não consegue usar o debugfs (pelo menos nos meus sistemas, não)
e tem também o tempo que ele leva para devolver a
informação. Pensando na BH, você tem que ler o inode do arquivo, rodar o
debugfs de um jeito que ele faça o dump das informações e
saia (trivial) e parsear para pegar a data. Se você pensar num "bh_find -Btime"
e fizer isso para o disco todo, vai demorar uma
eternidade. Obviamente, se estamos falando em forense, a questão da demora
afeta pouco, mas no caso do menino não sei se é
aplicável.
Mas a solução é animal e o debugfs é uma ferramenta muito boa, sem contar o BH
que está BEM legal.
- --
echo
920680245503158263821824753325972325831728150312428342077412537729420364909318736253880971145983128276953696631956862757408858710644955909208239222408534030331747172248238293509539472164571738870818862971439246497991147436431430964603600458631758354381402352368220521740203494788796697543569807851284795072334480481413675418412856581412376640379241258356436205061541557366641602992820546646995466P
| dc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/
iQEcBAEBCAAGBQJU+bkUAAoJEG7IGPwrPKWr2VgIAJEeNqcA6ViiGA48P7OaaeXJ
qXUJimM2XXhN8KQlUZypyNyGdlnvzKkYMtKIlCXSPiTxBtClTAy90eHT0OCXai8M
2rXhHareVErs16FwA2JDyZQl1GVJBtcyOqw8q9RfHq4b1+91SCCInllVhgyVR3/6
G7gD1zLLYgSQ0xMaDQIy3TvJI8E4z7CFVgHg5hZg2ugQbWZ7CaP1eQdl88UTIa1P
46Goc5/h4VE9cmtc4I5qZvp+RCurckqjbmXMYgJHmpH7b0gK90fMDSqWsm8fmwB0
80ZYsfxeDduV2F0c6unoTTgpTGquI1VLF4e9rNbzKZiprIMHyc4fNubkshv+hfI=
=tEiG
-----END PGP SIGNATURE-----
- Re: [shell-script] Duvida Script para analise de arquivos por data de criação., (continued)
- Re: [shell-script] Duvida Script para analise de arquivos por data de criação., 빠는 Leonardo Goretti, 2015/03/05
- Re: [shell-script] Duvida Script para analise de arquivos por data de criação., Rodrigo Cunha, 2015/03/05
- Re: [shell-script] Duvida Script para analise de arquivos por data de criação., Rodrigo Cunha, 2015/03/05
- Re: [shell-script] Duvida Script para analise de arquivos por data de criação., Fabiano Soares Honorato, 2015/03/05
- Re: [shell-script] Duvida Script para analise de arquivos por data de criação., Rodrigo Cunha, 2015/03/05
- Re: [shell-script] Duvida Script para analise de arquivos por data de criação., Robson Alexandre, 2015/03/05
- Re: [shell-script] Duvida Script para analise de arquivos por data de criação., Julio C. Neves, 2015/03/06
Re: [shell-script] Duvida Script para analise de arquivos por data de criação., Julio C. Neves, 2015/03/05
Re: [shell-script] Duvida Script para analise de arquivos por data de criação., MrBiTs, 2015/03/05
Re: [shell-script] Duvida Script para analise de arquivos por data de criação., Julio C. Neves, 2015/03/06