所以我想知道 touch 命令到底是如何工作的。我发现touch -t
它似乎可以根据一串数字修改时间戳,但这个字符串是如何格式化的?这可以用来伪造文件的创建、访问或修改时间吗?就这么简单吗?
此外,ls -lh
它只显示日期和时间,但我发现其他人也显示年份。为什么?我该如何让它显示年份?
答案1
时间戳为 [[CC]YY]MMDDhhmm[.ss]。[CC] 表示世纪,您可以忽略它,也可以忽略秒数。如果您忽略 [CC],命令将根据您输入的年份替换它。如果您仅用两位数指定年份,则 CC 为 20(表示范围为 (0~68) 的年份)和 19(表示范围为 (69~99) 的年份)。
这确实有时被用来伪造时间戳,并使调查受感染的机器时更难找到更改的文件或添加的二进制文件。