我有一个 USB 记忆棒。是否可以获取在该记忆棒上创建文件的用户信息?在 Linux 上我可以检索哪些有关该记忆棒在其他计算机上的先前使用信息?
答案1
这取决于文件和文件系统,但一般来说,您无法检索有关在硬盘上创建该文件的用户的信息。
大多数 USB 设备使用 FAT 文件系统的变体来存储所有权数据,而这种文件系统不允许记录数据。您能做的最好的事情就是查看日期戳,如果您的系统足够有限,但日志记录足够好,您可能能够将文件创建日期与用户登录的时间联系起来(从命令提示符运行“lastlog”可以显示最近用户的登录/注销历史记录)。
如果您重新格式化该记忆棒以使用支持用户 ID 的文件系统(例如 ext2/3/4),您将能够看到谁创建了该文件。
此外,您应该知道 Linux (Unix) 使用用户 ID 来识别用户。这些通常因系统而异 - 因此,如果我在一个 Linux 系统上写入文件,并在另一个 Linux 系统上查看它,如果用户 ID 在系统之间不相同,则报告的用户名将不正确(如“sudo getent password”中的第三个字段所报告的那样)