Busindre

User Tools

Site Tools

Trace: guia_rapida_de_la_linea_de_comandos_de_docker sellos_de_tiempo_tsa_con_openssl_paso_a_paso ejecutar_shell_en_entornos_enjaulados_chroot limite_en_correccion_ortografica_de_firefox defenderse_en_la_linea_de_comandos_de_grub2 ssh-agent_disponible_al_inicio_del_sistema utilizar_fechas_y_rangos_de_fechas_en_find wifi_en_el_arranque_con_netctl_y_wifi-menu codigo_php_simple_para_robar_fijar_cookies
comando_stat_access_modify_change

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
comando_stat_access_modify_change [2022/08/07 23:48] busindrecomando_stat_access_modify_change [2022/08/11 23:44] (current) busindre
Line 75: Line 75:
 NOTA: El timestamp de "Change" (Cambio) es modificado a la vez que se cambia la fecha de último acceso o de la última modificación. NOTA: El timestamp de "Change" (Cambio) es modificado a la vez que se cambia la fecha de último acceso o de la última modificación.
  
-**Hack para falsear de manera aproximada la fecha de creación/change de un fichero**+**Hack para falsear de manera aproximada la fecha de creación/Change de un fichero**
  
-En este ejemplo se clonarán los tres timestamps de un "fichero_referente" a otro denominado "fichero_hack", incluyendo la fecha de cambio.+No es factible cambiar los timestamps de "Change" y "Birth" en sistemas Linux sin cambiar la fecha del sistema. El cambiar la fecha del sistema hace que se dependa de la velocidad de procesamiento ya que el comando stat nos muestra detalle de nanosegundo. Es decir, en ese nanosegundo deben realizarse todas las acciones para que no haya diferencias. Un nanosegundo es la duración de un ciclo de reloj de un microprocesador de 1 GHz. 
 + 
 +En este ejemplo se clonarán los tres timestamps de un "fichero_referente" a otro denominado "fichero_hack", incluyendo la fecha Change. 
 + 
 +Sin campo Birth.
 <code bash> <code bash>
 # Fechas del fichero_hack y fichero referente. # Fechas del fichero_hack y fichero referente.
Line 108: Line 112:
  Birth: -  Birth: -
 </code> </code>
 +
 +
 +Con el campo "Birth" visualizable habría que hacer un paso más en comparación con el anterior, es decir, crear el fichero en una fecha concreta. 
 +<code bash>
 +# Se crea el fichero filehack mediante una copia de un fichero en la fecha de creación del fichero_referente.
 +# Si el campo Birth del fichero referencia es 2012-03-30 08:23:20.622000046:
 +date --set="2012-03-30 08:23:20.622000046"; cp file file_hack
 +
 +# Con eso actualmente file_hack ya tendrá dicha fecha de creación. Ahora simplemente se debe proceder como en el caso anterior para cambiar "Access", "Modify" y "Change".
 +</code>
 +
 +Si se quiere volver rápidamente al tiempo del sistema "actual", podemos guardar en una variable el tiempo justo antes de ejecutar los comandos y posteriormente establecer de nuevo la hora. En realidad la acción dura fracciones de segundo, por lo que prácticamente será inapreciable (Eso no deja de tener su posible reflejo en logs de journal, por ejemplo el cambio horario activa una limpieza de la cache de systemd-resolved).
 +<code bash>actual=$(date +"%Y-%m-%d %H:%M:%S.%9N") date --set="2012-03-30 08:23:20.622000046"; cp file file_hack; date --set="$actual"</code>
 +
 +Algunos logs generados por el cambio de hora del sistema.
 +<code>systemd-resolved[39295]: Clock change detected. Flushing caches.
 +systemd[1]: Starting Discard unused blocks on filesystems from /etc/fstab...
 +systemd[1]: Starting Rotate log files...
 +systemd[1]: Starting Daily man-db regeneration...
 +systemd[1]: Started Verify integrity of password and group files.
 +systemd[1]: shadow.service: Deactivated successfully.
 +systemd[1]: logrotate.service: Deactivated successfully.
 +systemd[1]: Finished Rotate log files.
 +systemd[1]: man-db.service: Deactivated successfully.
 +audit: BPF prog-id=0 op=UNLOAD
 +systemd[1]: Finished Daily man-db regeneration.
 +audit: BPF prog-id=0 op=UNLOAD
 +kernel: audit: type=1334 audit(1660253972.419:515): prog-id=0 op=UNLOAD
 +kernel: audit: type=1334 audit(1660253972.419:516): prog-id=0 op=UNLOAD
 +fstrim[39947]: /: 154 GiB (165362356224 bytes) recortados en /dev/sda1
 +systemd[1]: fstrim.service: Deactivated successfully.
 +systemd[1]: Finished Discard unused blocks on filesystems from /etc/fstab.</code>
 +
 +
 +NOTA: Recordar que depende de la capacidad de procesamiento pueden encontrarse diferencias en los nanosegundos. Si se opera varias veces el mismo comando y siempre se obtiene la misma diferencia de tiempo con el fichero referencia, se puede hacer una simple resta para ir unos nanosegundos más al pasado e intentar compensar.
 +
 +Al utilizar el comando date para cambiar la fecha, por debajo se hace una llamada al sistema del tipo "CLOCK_REALTIME". Esta systemcall no es compatible con el "time namespace" y por lo tanto, aunque se use un espacio de nombres de tiempo (unshare -T) con la intención de no impactar sobre todo el sistema operativo, no funcionará. Cuando se usa unshare con la opción -T, las únicas llamadas al sistema que tendrían efecto en el nuevo espacio de nombres serían CLOCK_MONOTONIC/BOOTTIME.
comando_stat_access_modify_change.1659908926.txt.gz · Last modified: 2022/08/07 23:48 by busindre