在排查问题或整理文件时,文件“创建时间"具有防篡改、方便排序和操作逻辑清晰的特点。
我们可以通过 touch 命令修改 mtime、atime,但 创建时间 crtime 的修改难度则呈指数级上升,需要修改文件系统底层结构,这对于系统分析取证非常有帮助。
另外,在对照片、视频、日志等文件进行排序时,按 crtime 排序比 mtime 排序,时间线更加清晰,不会出现时间跳跃的问题。
由于 ls 命令工具无法直接显示 crtime,当我们需要通过文件创建时间 crtime 排序时,需要借助 stat 工具,实现的方式如下:
# 文件按创建时间排序stat -C '%W %n' * | sort -n
atime、mtime、ctime 和 crtime 是文件在时间维度上发生异动的忠实记录者,善用它们,在特定场合或关键时刻可能成为我们的救命稻草。