2016-09-03 / @syui

pc

filestamp-ctime

タイムスタンプは基本的なものでmtime, atime, ctimeという感じのものがあります。調べてませんし、適当なのでまあそんな感じのものが3つあるということです。作成日時、最終アクセス、更新日時みたいな内容だった記憶ですが、今回はそれらを改竄する方法についてです。

タイムスタンプはlsexiftoolから簡単に確認できます。

$ ls -l
$ ls -lc
$ ls -lu
$ exiftool $file

タイムスタンプにはこれらの3つ以外にも独自フォーマットで保存される事が多く、通常、何らかのソフトを使ってファイルを作成すると、上記以外のタイムスタンプが保存されることがあります。

もし完璧にタイムスタンプの偽装をしたければ、ソフトごとに異なるタイムスタンプにも注意を払わなければなりません。

しかし、ここで紹介するのは、LinuxやUnixで一般的に使われているもののみです。注意してください。

mtime, atimeは簡単に偽装できます。

$ touch -d 201601010000 *

ただ、ctimeは少し厄介です。touchでは偽装できません。ctimeの書き換え方法として一般的に知られているやり方はディスク操作が必要になります。

しかし、ここでは最も簡単なハックのみ紹介します。

$ export now=$(date +"%Y-%m-%d %H:%M:%S")
$ echo $now
$ sudo date --set="2016-01-01 00:00:00.00"
$ chmod -R 777 .
$ sudo date --set="$now"

ctimeの偽装はこんな感じです。

このやり方では、ファイル数によっては多少設定時刻がズレるのですが、時刻サーバーから取得して修正すれば直ると思います。