Quando si utilizzano sistemi operativi UNIX, come nel caso di Linux, ogni componente al suo interno viene catalogato come file e ogni "file" e ogni volta che apportiamo una modifica a tale elemento, tutte queste modifiche sono ospitate in un inode e Linux si occupa per identificare ogni file con il rispettivo numero di inode che non è il nome del file umano con cui è stato creato.
Negli ambienti Linux abbiamo il comando "stat" (Statistics) che, come indica il nome, ha il compito di mostrare lo stato del file system generando informazioni utili come:
- Data di creazione del file
- numero di inode
- Ultime modifiche apportate al file
- Ultimo cambio di stato
- Ultimo accesso e informazioni più rilevanti.
In Linux abbiamo parametri come:
ctimeVisualizza l'ora di modifica del file.
un tempoGenera il tempo di accesso al file.
mtimeVisualizza l'ora di modifica del file.
critimeVisualizza l'ora in cui il file è stato creato.
1. Trovare la data di creazione di un file in Linux
Passo 1
Per trovare i dettagli di un file, in particolare la data e l'ora della sua creazione, possiamo usare crtime che si occupa di trovare l'inode del file usando il comando stat, per questo eseguiremo la seguente sintassi:
statistica "File"
Passo 2
Per questo dobbiamo andare nella directory in cui si trova il file da analizzare e come vediamo le informazioni visualizzate sono complete di dettagli come:
- Ultima data di accesso e modifica
- Link
- Dimensione
- Numero di nodo e altro.
Passaggio 3
In alternativa possiamo usare il comando ls in questo modo. In questo caso verrà visualizzato l'inode di detto file. Sarà necessario tenere conto del numero di inode associato a detto file.
ls -i "File"
2. Conoscere il sistema di root in Linux
Passo 1
Il prossimo passo è rilevare il file system root in cui si trova il file analizzato, per questo eseguiremo il comando df -h per identificare il file system root in questo modo:
df -h
Passo 2
In questo caso possiamo vedere che il sistema di root è "/dev/sda1". Ora, con queste informazioni, useremo il comando "debugfs" per trovare l'ora di creazione del file aggiungendo il parametro "-R" che dice a debugfs di eseguire un singolo comando esterno associato al numero di inode del file da usare, per questo eseguiremo la seguente sintassi:
sudo debugfs -R 'stat' / dev / sda1
Passaggio 3
Di conseguenza, possiamo vedere dettagli molto più completi sul file selezionato con dettagli come:
- numero di inode
- Modalità
- Utente e gruppo associati
- Dimensione
- Dettagli di ctime, atime, mtime e crtime
- Checksum e altro.
Possiamo utilizzare questo strumento per ottenere informazioni molto più dettagliate su ciascun file che deve essere analizzato.