Al usar sistemas operativos UNIX, como es el caso de Linux, cada componente dentro de si se cataloga como archivo y cada “archivo” y cada vez que efectuamos algún cambio en dicho elemento, todos estos cambios son alojados en un inodo y Linux se encarga de identificar cada archivo por su respectivo número de inodo el cual no es el nombre de archivo humano con el cual ha sido creado.
En ambientes Linux, contamos con el comando “stat” (Statistics) el cual, como su nombre lo indica, se encarga de mostrar el estado del sistema de archivos generando información útil como:
- Fecha de creación del archivo
- Número de inodo
- Últimas modificaciones realizadas al archivo
- Ultimo cambio de estado
- Ultimo acceso y más información relevante.
En Linux contamos con parámetros como:
1. Encontrar la fecha de creación de un archivo en Linux
Para encontrar detalles de un archivo, específicamente la fecha y hora de creación de este, podemos hacer uso de crtime el cual se encarga de encontrar el inodo del archivo haciendo uso del comando stat, para ello vamos a ejecutar la siguiente sintaxis:
stat “Archivo”
Para ello debemos ir al directorio donde se encuentra el archivo a analizar y como vemos la información desplegada es completa con detalles como:
- Ultima fecha de acceso y modificación
- Enlaces
- Tamaño
- Número del nodo y más.
Como alternativa podemos usar el comando ls así. En este caso será desplegado el inodo de dicho archivo. Será necesario tener en cuenta el número de inodo asociado a dicho archivo.
ls -i “Archivo”
2. Saber el sistema root en Linux
El siguiente paso consiste en detectar el sistema de archivo root donde se encuentra alojado el archivo analizado, para ello, vamos a ejecutar el comando df -h con el fin de identificar el sistema de archivos raíz así:
df -h
En este caso podemos ver que el sistema root es “/dev/sda1”. Ahora, con esta información, vamos a usar el comando “debugfs” para encontrar la hora de creación del archivo añadiendo el parámetro “-R” el cual indica a debugfs que ejecute un único comando externo asociado a número de inodo del archivo a usar, para ello vamos a ejecutar la siguiente sintaxis:
sudo debugfs -R 'stat <# inodo>' /dev/sda1
Como resultado podremos observar detalles mucho más completos sobre el archivo seleccionado con detalles como:
- Número de inodo
- Modo
- Usuario y grupo asociados
- Tamaño
- Detalles de ctime, atime, mtime y crtime
- Checksum y más.
Podemos usar esta herramienta para obtener información mucho más detallada de cada archivo que sea necesario analizar.