shell-script-pt
[Top][All Lists]
Advanced
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [shell-script] Duvida Script para analise de arquivos por data de cr

From: Rodrigo Cunha
Subject: Re: [shell-script] Duvida Script para analise de arquivos por data de criação.
Date: Tue, 17 Mar 2015 20:28:08 -0300
Olá julio, obrigado pela observação.
Já add o site nos favoritos, :) obrigado cara!


Em 7 de março de 2015 14:17, Fernando Mercês address@hidden [shell-script] <address@hidden> escreveu:
 

Puxa, valeu, MrBits! :)

Concordo que deve ficar muito lento. Eu pensei em um bh_stat de início, só para dar a informação, e talvez com uma saída scriptável. Se conseguir te aviso. Obrigado pelas dicas!




Att,

Fernando Mercês
Linux Registered User #432779
www.mentebinaria.com.br
------------------------------------
"Ninguém pode ser escravo de sua identidade; quando surge uma possibilidade de mudança é preciso mudar". (Elliot Gould)

2015-03-06 9:26 GMT-05:00 MrBiTs address@hidden [shell-script] <address@hidden>:

 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

 On 03/06/2015 02:47 AM, Fernando Mercês address@hidden [shell-script] wrote:
>
>
> MrBiTs,
>
> Eu lembro que me deparei com este dilema quando estava escrevendo uma apostila de forense para o curso da 4Linux. Você pode
> usar o comando stat interno do debugfs, do e2fsprogs. Segue trecho da apostila que comento: http://pastebin.com/DnQNK1pa
>
> O chato é ter que abrir o filesystem onde o arquivo está, mas deve dar pra scriptar pegando com pwd, dirname e /etc/mtab, sei
> lá. Acho que é algo a se pensar pra eu incluir na bashacks! :)
>
> Grande abraço.

 Oi, Fernando

Ter o crtime é importantíssimo para segurança (sem contar em forense), mas veja que ainda é uma coisa um nível abaixo. Se você não
for root, você não consegue usar o debugfs (pelo menos nos meus sistemas, não) e tem também o tempo que ele leva para devolver a
informação. Pensando na BH, você tem que ler o inode do arquivo, rodar o debugfs de um jeito que ele faça o dump das informações e
saia (trivial) e parsear para pegar a data. Se você pensar num "bh_find -Btime" e fizer isso para o disco todo, vai demorar uma
eternidade. Obviamente, se estamos falando em forense, a questão da demora afeta pouco, mas no caso do menino não sei se é
aplicável.

Mas a solução é animal e o debugfs é uma ferramenta muito boa, sem contar o BH que está BEM legal.

- --
echo
920680245503158263821824753325972325831728150312428342077412537729420364909318736253880971145983128276953696631956862757408858710644955909208239222408534030331747172248238293509539472164571738870818862971439246497991147436431430964603600458631758354381402352368220521740203494788796697543569807851284795072334480481413675418412856581412376640379241258356436205061541557366641602992820546646995466P
| dc

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
Comment: Using GnuPG with Thunderbird - http://www.enigmail.net/

 iQEcBAEBCAAGBQJU+bkUAAoJEG7IGPwrPKWr2VgIAJEeNqcA6ViiGA48P7OaaeXJ
qXUJimM2XXhN8KQlUZypyNyGdlnvzKkYMtKIlCXSPiTxBtClTAy90eHT0OCXai8M
2rXhHareVErs16FwA2JDyZQl1GVJBtcyOqw8q9RfHq4b1+91SCCInllVhgyVR3/6
G7gD1zLLYgSQ0xMaDQIy3TvJI8E4z7CFVgHg5hZg2ugQbWZ7CaP1eQdl88UTIa1P
46Goc5/h4VE9cmtc4I5qZvp+RCurckqjbmXMYgJHmpH7b0gK90fMDSqWsm8fmwB0
80ZYsfxeDduV2F0c6unoTTgpTGquI1VLF4e9rNbzKZiprIMHyc4fNubkshv+hfI=
=tEiG
-----END PGP SIGNATURE-----





--
Atenciosamente,
Rodrigo da Silva Cunha

reply via email to
[Prev in Thread] Current Thread [Next in Thread]