帮酷LOGO
0 0 评论
文章标签:安全  COM  acc  

问题:

我需要检查在我的电脑中访问的文件列表( 例如: 在特定的时间内,是否可能?

或者

我需要检查是否有人访问我的电脑( 当我把它打开的时候) 或者不是特定时间。


回答 1:

我认为你不认为你的计算机已经完全受到了( 要检查运行sudo命令的用户,请参见 /var/log/auth.log )的破坏。 可以快速查找在你的主文件夹中不拥有的文件,也可以使用 find 命令( 对文件使用 -type f,对目录使用 -type d ) 访问任何文件。 在下面的示例中,假设你正在从首页文件夹( 只要输入 cd 就可以进入它) 运行,并且不希望搜索 root 目录中的文件。

1 ) 要查找你的主文件夹中不属于你登录用户的所有文件,请键入:


find ~ -type f! -user $USER



若要查找所有不属于任何合法用户的文件,请键入:


find ~ -type f -nouser



2 ) 系统上的文件有三个时间戳称为 mtime ( 文件修改时间),ctime (。inode更改时间和权限) 和 atime ( 文件访问时间),可以查询文件的修改方式。 经常讨论使用哪种最佳方法,但可能最好的办法是使用 find 命令查找文件或者修改文件,然后使用命令搜索 atimemtime,并使用你指定的分钟前的find 命令。

对于每个命令,都使用相同的命令开关: 例如 -atime 1 将匹配那些访问过的文件( 确切地说是天) ;要指定 more more或者小于,附加一个 + 或者 -。 下面的例子可以解释所有的( 为目录指定 -type d ):


find ~ -type f -atime 1 


find ~ -type f -amin -23


find ~ -type f -mtime 2 


find ~ -type f -mmin -45



3 ) 要合并目前的方法,你可以从你的个人文件夹中输入以下命令:

  • 搜索你的主目录中不属于 $USER 且最近一次访问的文件不超过两天。

find ~ -type f -atime -2! -user $USER

  • 搜索你的主目录中不属于 $USER 且上次修改过的文件不超过两天。

find ~ -type f -mtime -2! -user $USER


回答 2:

如果你的计算机被锁定,那么你可以检查每个登录和解锁事件用日期和时间记录每个登录和解锁事件。

没有直接方法知道是否有人正在访问未解锁的计算机,没有安装特殊程序跟踪活动。 但是间接信息可以用来推断。

例如浏览器历史经常会告诉你网站被访问的时间。 gnome访问的文件最近也会显示打开的文件。 你可以通过转到"统一"菜单,然后单击"最近使用的文件"部分中的"扩展"来进行这里操作:

recently used files in unity

如果需要更确切的列表( 包含由非gnome程序访问的文件),那么我们需要编写一个简短的脚本来检测可以疑范围之间的所有文件。 也许有人已经写了这个但我从未听说过。




文章标签:COM  acc  安全  

Copyright © 2011 HelpLib All rights reserved.    知识分享协议 京ICP备05059198号-3  |  如果智培  |  酷兔英语