【干货】操纵时间 感受威胁 MAC time时间戳视角

来源：Unit 4: Unix/Linux Forensics Analysis 4.1 Unix/Linux Forensics Analysis MAC Times

Sleuthkit工具的MAC time功能将文件作为输入，创建时间轴，对数据进行排序。

Timestamp工具更改windows文件系统中的所有时间戳

使用这个功能需要两个步骤：生成一个文件作为MACTIME的输入。数据文件包含时间戳、文件名和其他信息。FLS和ILS都可以创建这样的数据文件，使用-m选项。前面的干货中有介绍。FLS命令中，-r是递归，递归指示FLS以MAC time输入格式显示输出，以斜线作为拷贝镜像的挂载点。ILS命令中，使用-m不带斜杠，因为ILS输出没有文件名信息（找到删除的数据，但这些数据没有文件名）。

有了FLS和ILS命令得到的数据，就可以运行MAC time来对文件进行排序，重点是有日期和时间，得到的结果如图。重点是我们为什么要借助时间？这意味着在此期间发生了一些活动，例如下载或编译，因为人类无法在一秒钟内更改那么多文件。这里可以体现出一些犯罪软件的行为痕迹。

A表示最后一次访问时间  M表示最后一次修改时间   C表示最后一次inode更改时间

在某些条目中，您将看到在文件名之后显示了已删除或已删除的重新分配。如果还没有覆盖数据块，它的内容可能是可恢复的。像箭头这里的，没有重新分配就还可以恢复。已删除的重新分配的数据块，只要的数据块和inode映射还没有被覆盖，就可以找到逻辑上的关联进行恢复，又可能数据块只是被重新分配还没有被覆盖，前面已经感受过了。捣鼓一下马上就可以察觉是否可恢复。

看看哪些操作将使MAC time发生变化。

创建一个文件touch myfile   看看MAC time体现出来的是什么信息

因为创建的是新的文件，所有修改，访问和inode更改时间都是当前时间，大小也是0

Stat myfile命令查看时间戳，都是一样的。在Windows情况下，我们经常看到有四个时间戳。后面提windows。

More myfile命令读取这个文件，感受访问时间access的变化。同时发现时间戳的精度非常的多，一种应用是检测垃圾外挂，一些操作是人类无法完成的。（注意，个人臆测不当真，一切不验证就传播臆测的行为，都是害人害己。有条件的自己动手发现，不要引用去教别人，都往原创里面引导。服务及价值，服务他人兑换价值。不是窝着藏着低级技术不让别人得到与掌握。藏着低级技术不让他人取代你，最后两个都无法月薪几万。害人害己。）

感受一下修改时间的变化，modify time。使用追加命令echo hello  修改了内容

攻击者说我想更改为任何日期时间，因为他们想更改——日期时间不在作案时间内以隐藏信息。如果你用touch命令，所有真正的作案时间将被抹掉。

现在，如果攻击者希望针对给定的时间戳进行有意修改，他们是否可以这样做。把时间都改成很久以前。使用main touch查阅参数手册，得到更具体的修改参数，这些参数都是真实存在的 –A  -M两个参数，所以你只能故意改变访问时间和修改时间。

接着前面使用的FLS和ILS创建的两个主体文件进来。前面命令中故意用了-M参数，创建一个主体（body）文件。来给MAC time使用

MAC时间依赖于一个body文件，这就是为什么它叫back time。

-d是逗号分隔 –b是处理的文件，这些文件路径都可以拖拽文件生成，不要手动敲。

生成的csv文件用excel软件打开。这里C列有四个时间戳，第四个是birth，表示创建时间。

在同一秒发生一个很长的长块，这意味着发生了一些非人类行为，你可以找到它们并看看它们是什么情况。