Lors de l'utilisation de systèmes d'exploitation UNIX, comme dans le cas de Linux, chaque composant en lui-même est catalogué comme un fichier et chaque "fichier" et chaque fois que nous apportons une modification à cet élément, toutes ces modifications sont hébergées dans un inode et Linux s'en charge. pour identifier chaque fichier par son numéro d'inode respectif qui n'est pas le nom de fichier humain avec lequel il a été créé.
Dans les environnements Linux, on a la commande « stat » (Statistiques) qui, comme son nom l'indique, se charge d'afficher l'état du système de fichiers générant des informations utiles telles que :
- Date de création du fichier
- Numéro d'inode
- Dernières modifications apportées au fichier
- Dernier changement d'état
- Dernier accès et informations plus pertinentes.
Sous Linux, nous avons des paramètres tels que :
ctempsAffiche l'heure de changement de fichier.
à l'heureGénère le temps d'accès au fichier.
mtimeAffiche l'heure de modification du fichier.
crtimeAffiche l'heure à laquelle le fichier a été créé.
1. Trouver la date de création d'un fichier sous Linux
Étape 1
Pour retrouver les détails d'un fichier, notamment la date et l'heure de sa création, on peut utiliser crtime qui se charge de trouver l'inode du fichier à l'aide de la commande stat, pour cela on va exécuter la syntaxe suivante :
stat "Fichier"
Étape 2
Pour cela il faut aller dans le répertoire où se trouve le fichier à analyser et comme on le voit les informations affichées sont complètes avec des détails tels que :
- Dernière date d'accès et de modification
- Liens
- Taille
- Numéro de nœud et plus.
Étape 3
Alternativement, nous pouvons utiliser la commande ls comme ceci. Dans ce cas, l'inode dudit fichier sera affiché. Il faudra prendre en compte le numéro d'inode associé audit fichier.
ls -i "Fichier"
2. Connaître le système racine sous Linux
Étape 1
L'étape suivante consiste à détecter le système de fichiers racine où se trouve le fichier analysé, pour cela, nous allons exécuter la commande df -h afin d'identifier le système de fichiers racine comme ceci :
df -h
Étape 2
Dans ce cas, nous pouvons voir que le système racine est "/dev/sda1". Maintenant, avec ces informations, nous allons utiliser la commande "debugfs" pour trouver l'heure de création du fichier en ajoutant le paramètre "-R" qui indique à debugfs d'exécuter une seule commande externe associée au numéro d'inode du fichier à utiliser, pour cela nous allons exécuter la syntaxe suivante :
sudo debugfs -R 'stat' / dev / sda1
Étape 3
En conséquence, nous pouvons voir des détails beaucoup plus complets sur le fichier sélectionné avec des détails tels que :
- Numéro d'inode
- Mode
- Utilisateur et groupe associés
- Taille
- Détails de ctime, atime, mtime et crtime
- Somme de contrôle et plus.
Nous pouvons utiliser cet outil pour obtenir des informations beaucoup plus détaillées sur chaque dossier qui doit être analysé.