Как посмотреть дату создания файла
HackWare.ru
Этичный хакинг и тестирование на проникновение, информационная безопасность
Время создания, доступа и изменения файла: что это, как их узнать и изменить. Как найти файлы по их времени создания, изменения или последнему открытию
Всё началось с того, что я заинтересовался, как найти в системе файлы созданные или изменённые за определённый промежуток времени. Например, как узнать, какие файлы в папке /etc были изменены за последний день или за последнюю неделю?
С этой задачей прекрасно справляется команда find, правда выяснилось, что у каждого файла доступны следующие метки времени:
Чтобы понимать, что именно мы нашли, нужно чётко знать разницу между этими свойствами файла.
Именно этому и посвящена данная статья, в ней будет рассказано:
Все эти вопросы имеют практический смысл: от простого домашнего использования — поиск файла, для которого мы не помним имя, но для которого помним время создания; до серьёзного профессионального — появление новых файлов на сервере, либо недавние модификации важных файлов, могут свидетельствовать о взломе системы или неавторизованном доступе, могут помочь при расследовании подобных случаев для понимания событий произошедшего. Либо быть применены с противоположными мотивами — что и как нужно поменять в метках времени, чтобы снизить возможности криминалистического исследования.
Временные метки файла в файловой системе и в метаданных
Прежде чем начать говорить о временных метках файла, нужно понять, что это является частью функциональности файловой системы. Следовательно, на различных файловых системах некоторые временные метки могут быть недоступны.
Кроме как в свойствах файла в файловой системе, временные метки могут храниться в метаданных самого файла. Очень многие форматы имеют метаданные и довольно часто эти метаданные содержат свой собственный набор временных меток, которые отличаются по составу и даже по текущему их значению от меток времени в файловой системе. Например, для документов Word в метаданных кроме даты создания могут также содержаться метки времени о дате печати файла, об общем времени редактировании файла и так далее.
Для изображений в EXIF метаданных также могут содержаться независимая от файловой системы информация о времени создания файла.
Нельзя ни в коем случае забывать о метаданных если ваша цель отредактировать метки времени! Для доступа/редактирования к метаданным используются различные приложения и эти вопросы не входят в тему данной статьи. Данная статья посвящена меткам времени файлов и папо, которые хранит файловая система.
Как посмотреть время создания, редактирования и открытия файла в Linux
Сразу все временные метки файла можно посмотреть с помощью команды stat. Запуск очень простой:
Например, я хочу узнать информацию о файле prog.txt:
С временем создания всё понятно — это когда файл был создан. Между прочим, эту информацию программа stat стала показывать довольно недавно. До этого на вопрос «как узнать время создания файла?» знатоки отвечали, что ядро Linux это не поддерживает. В качестве рабочего решения нужно было посмотреть иноду интересующего файла, а затем другой командой посмотреть дату создания этой иноды — это и считалось временем создания файла.
Выше показан вывод для команды на файловой системе ext4. Для файловой системы ext2 дата создания файла по-прежнему недоступна:
Теперь давайте разберёмся, что означают другие метки времени в Linux.
Что такое время доступа к файлу, время модификации файла и время изменения файла в Linux
Метки времени (timestamps):
Но прежде чем придумывать практическое использование времени последнего доступа к файлу (например, чтобы проверить, какие команды запускалась за последний час), нужно учитывать очень важные нюансы. Выше показано, что поддержка определённых меток времени зависит от файловой системы. Ещё поведение меток времени зависит от того, с какими опциями была смонтирована файловая система. Например, при запуске скрипта мы ожидаем, что время доступа к этому файлу изменится на текущее. Это так — для выполнения скрипта его нужно прочитать и atime должна поменяться на время выполнения. Обычно это так и происходит. Но если запускаемый/читаемый файл находится в файловой системе, которая смонтирована с опциями noatime или relatime (или другими возможными опциями, которые могут повлиять на изменение atime — к пример «только чтение»), то поведение будет другим.
noatime
Не обновлять на этой файловой системе время доступа к иноде (например, для ускорения производительности за счёт исключения ненужных операций)
relatime
Обновлять время доступа к иноде относительно времени модификации или изменения. Время доступа обновляется только если предыдущее время доступа было более старым, чем время модификации или изменения, либо если предыдущее время доступа старше 1 дня.
Итак — время последнего доступа к файлу может быть неточным! По сути, если при монтировании диска используется опция relatime, то получается, что оно показывает:
1) время последнего изменения или модификации файла
2) время сегодняшнего первого открытия файла
3) ИНОГДА оно действительно показывает время последнего доступа к файлу (если сегодня файл открывали только один раз), либо если этот доступ к файлу выполнен после его модификации или изменения статуса
Что такое время доступа, время модификации и время изменения директории в Linux
Посмотреть метки времени папки можно также с помощью команды stat:
Например, чтобы посмотреть информацию о текущей папке:
Для папок время последнего доступа обновляется при просмотре списка файлов внутри неё. Действуют такие же правила, как и для файлов — зависит от опций, с которыми смонтирована файловая система.
При создании или удалении нового файла внутри директории, при модификации содержимого или изменении свойств файла внутри папки, одновременно обновляется и время изменения, и время модификации данной папки.
Если запустить команду ls с опцией -l, то она покажет последнее время модификации содержимого файла (или директории). Используя опцию —time можно вызвать показ других меток времени:
Как можно увидеть, с помощью ls невозможно вывести время создания файла, поскольку эта возможность была добавлена в ядро недавно.
Если добавить опцию —sort=time, то будет также выполнена сортировка по выбранной метки времени.
Имеется несколько сокращённых опций:
Можно выбрать формат времени:
Значением TIME_STYLE могут быть: full-iso, long-iso, iso, locale или +ФОРМАТ.
Значение ФОРМАТа как в date(1). Если значение ФОРМАТа равно ФОРМАТ1 ФОРМАТ2, то ФОРМАТ1 применяется не к последним файлам, а ФОРМАТ2 к новым. Если TIME_STYLE начинается с «posix-», то он применяется только для локалей отличных от POSIX. Также, используемый стиль по умолчанию задаёт переменная окружения TIME_STYLE.
Есть сокращение популярного варианта:
Поиск и сортировка файлов по времени модификации, доступа и изменения
Теперь мы переходим к потрясающей команде find. С её помощью мы будем выводить нужные файлы по дате изменения, а также искать файлы, которые были изменены или к которым был получен определённое время назад.
Кстати, настоятельно рекомендуется к изучению следующий материал по команде find:
С помощью команды find можно настроить очень гибкий поиск и вывод результатов.
Предположим, я хочу просмотреть файлы в папке /etc отсортированные по дате модификации:
Аналогично, но файлы отсортированы по дате доступа:
И снова аналогичный пример, но файлы отсортированы по времени изменению статуса:
В команде find вы можете настроить формат даты под свои нужды, а также указать любые фильтры, которые она поддерживает. Например, ниже команда для показа файлов, отсортированных по дате модификации, но только тех из них, у которых в имени встречается ssh:
Или только файлов с расширением .desktop:
Или любых файлов, отсортированных по дате доступа, но только первых 20:
Поиск файлов по времени изменения
Для этого мы опять будем использовать команду find. Для поиска по времени у неё есть следующие опции:
-amin n
Последний раз к файлу был совершён доступ n минут назад.
-atime n
К файлу был совершён доступ n*24 часов назад. Когда find определяет, как много 24-часовых периодов назад к файлу был совершён доступ, любая дробная часть игнорируется, поэтому для соответствия -atime +1 к файлу должен быть сделан доступ по крайней мере два дня назад.
-cmin n
Статус файла был изменён последний раз n минут назад.
-ctime n
Последний раз статус файла был изменён n*24 часов назад. Смотрите комментарий для -atime для понимания, как округление влияет на интерпретацию времени изменения статуса файла.
-mmin n
Данные файла последний раз были изменены n минут назад.
-mtime n
То есть если в опции слово min — то число n трактуется как минуты, а если в опции присутствует слово time, то n трактуется как сутки.
В качестве числа n можно указать точное значение, а также выражения «больше чем n» и «меньше чем n» следующими способами:
С find можно строить весьма сложные конструкции условий чтобы найти именно то, что вам нужно. Далее всего несколько примеров — но количество возможностей безгранично. С опцией -name можно указывать шаблон имени, можно комбинировать с поиском по любым другим свойствам файла: размер, права доступа и т.д.
Чтобы найти все файлы, содержимое которых было изменено ровно 50 дней назад:
Чтобы найти все файлы, к которым был получен доступ ровно 50 дней назад:
Чтобы найти все файлы, содержимое которырх было модифицировано более 50 дней назад и менее 100 дней назад:
Чтобы найти файлы, статус которых был изменён за последний час:
Чтобы найти файлы, которые содержимое которых было модифицировано за последний час:
Чтобы найти все файлы, доступ к которым был сделан за последний час:
Чтобы найти все исполнимые файлы в текущей папке, которые были изменены или созданы за последние 10 дней:
Как отредактировать метки времени файла
С помощью команды touch можно изменить три метки времени файла или папки:
Если вы хотите изменить все эти значения на текущее время, то достаточно запустить команду вида:
Можно отдельно поменять только время доступа или только время модификации, соответствующие опции:
С помощью опции -t можно установить любое время, на которое мы хотим поменять метки файла. Формат указания времени следующий:
В этой строке то, что в фигурных скобках, является необязательным. Значения букв следующее:
Если не указать века или год вообще, то будет использоваться текущий год. Если не указать секунды, то значением по умолчанию является 00.
С помощью опции -t невозможно указать доли секунды и в выводе команды stat на их месте всегда будет 000000000
С помощью опции -d можно использовать разные более человечные способы указать время, например, «две недели назад». Это должно работать на английском, не знаю как с национальными языками. Опция -d (судя по описанию) понимает много разных вариантов синтаксиса, но для меня самым интересным свойством является возможность установить доли секунды, чтобы метки времени выглядели естественно, поскольку временные метки с девятью нулями на конце наводят мысль о том, что они спуфлены. Пример установки времени с указанием долей секунды:
То есть формат строки такой (из неё можно пропустить дефисы и двоеточия — опция -d всё равно её поймёт, но я их добавил для наглядности):
Как в Linux изменить время создания файла
Хотя файловая система ext4 поддерживает такое свойство файлов как «время создания», в ядро Linux возможность чтения этого свойства была добавлена недавно. Что касается возможности изменения времени создания файла, то такой функции нет (и не факт, что файловые системы это вообще поддерживают).
Но, как обычно, можно что-то придумать.
Время назад
При копировании файла в другой файл, его временем создания становится текущее время. Если перевести системное время на то, которое вы хотите установить для файла в качестве времени создания, а затем скопировать содержимое файла в новый, то таким образом можно установить любое время создания для нового файла.
Изменение времени создания в других ОС или файловых системах
В Интернете попадаются инструкции об изменении времени создания файла в операционных системах, которые это поддерживают. Также предлагается использовать некоторые другие файловые системы — например, сетевые, в которых также можно поменять это свойство.
Действительно, в Windows можно изменить не только время модификации файла, но и время создания. Но проблема в том, что при переносе в Linux сохраняется только время модификации. В качестве времени создания записывается текущее (то есть время создания иноды в файловой системе). И если это понимать — что временем создания файла является время модификации иноды, то становится понятно, невозможно никак перенести файл (ни в архиве, ни как-то ещё) с сохранением временем создания.
Также становится понятно, что из Windows невозможно изменить время создания файла, который находится в совместной папке в файловой системе ext4 (хотя я на всякий случай попробовал).
То есть вариантов поменять дату создания файла в Linux всего два: 1) поменять время системы; 2) низкоуровневое редактирование файловой системы (например, шестнадцатеричным редактором или специальными инструментами (если они существуют)) — с соответствующими рисками нарушить целостность файловой системы.
То есть плохая новость в том, что изменить время создания файла очень трудно или практически невозможно. Но хорошая новость в том, что время создания файла на практике почти не используется из-за того, что это поддерживают не все файловые системы, и в самой Linux эта поддержка появилась недавно. Например, команда find ничего не знает о времени создания файла (хотя может искать по другим трём меткам времени: модификация, доступ, изменение статуса), команда ls также не умеет отображать время создания файла (только обычные три метки времени).
Обычно используется время модификации файла, которое очень легко можно поменять с помощью touch.
Как изменить время создания и модификации файла в Windows
Кстати, если вам интересно, как поменять время создания файла в Windows, то это можно сделать с помощью утилиты NirCmd:
Я проверил команду nircmd.exe — сработала идеально в последней Windows 10.
Заключение
Путешествие в мир меток времени файлов в Linux оказалось намного длиннее чем я сам ожидал. Зато мы узнали о четырёх разных метках времени, о том, как их посмотреть и изменить, а также как искать файлы по любой из трёх меток времени.
Я об этом уже говорил, но напомню ещё раз — редактируя метки времени файла, не нужно забывать о соответствующих метках времени в метаданных самого файла (а не файловой системы). Про просмотр и удаление метаданных вы найдёте больше информации по ссылкам:
File. Get Creation Time(String) Метод
Определение
Некоторые сведения относятся к предварительной версии продукта, в которую до выпуска могут быть внесены существенные изменения. Майкрософт не предоставляет никаких гарантий, явных или подразумеваемых, относительно приведенных здесь сведений.
Возвращает дату и время создания заданного файла или каталога.
Параметры
Файл или каталог, для которого получены сведения о дате и времени создания.
Возвращаемое значение
Структура DateTime, для которой заданы дата и время создания указанного файла или каталога. Значение представляется в формате местного времени.
Исключения
У вызывающего объекта отсутствует необходимое разрешение.
Указанный путь, имя файла или оба значения превышают максимальную длину, заданную в системе.
Параметр path задан в недопустимом формате.
Примеры
Комментарии
Этот метод может возвращать неточное значение, поскольку в нем используются собственные функции, значения которых могут не обновляться операционной системой постоянно.
Если файл, описанный в path параметре, не существует, этот метод возвращает 12:00 полночь, 1 января 1601 г. н. э. эры Время в формате UTC, настроенное на местное время.
Диски в формате NTFS могут кэшировать сведения о файле, например время создания файла, в течение короткого периода времени. В результате может потребоваться явно задать время создания файла при перезаписи или замене существующего файла.
Список общих задач ввода-вывода см. в разделе Общие задачи ввода-вывода.
Как изменить дату создания файлов и папок в Windows
В некоторых случаях, пользователи ищут ответ на вопрос о том, как изменить дату создания файла Excel, Word, PowerPoint, JPG, PDF, MP3, MP4, или файлов других форматов. Подобная операция необходима в ситуациях, когда по каким-либо причинам нужно поменять даты создания файла, изменив его свойства.
Как поменять дату создания файла, можно ли изменить дату создания файла? Да, подобные манипуляции можно совершить с файлами или папками в Windows. Можно установить любую другую дату и время, как в прошлом, так и в будущем.
Это может понадобится, например, когда следует что-то скрыть, или выдать устаревшие файлы за новые, недавно созданные. Это могут быть файлы Ворд, Эксель, PowerPoint, файлы других текстовых форматов, видео, аудио, фотографии или другие изображения. Чтобы решить эту проблему, мы изменяем дату создания файла.
Прежде, чем ответить на вопрос, как поменять дату создания файла, сначала нужно узнать, где находится эта информация в свойствах файла.
Как посмотреть дату создания файла
В операционной системе файлы или папки сохраняют свойства даты создания, изменения и открытия. Дата создания файла отображена в свойствах файла.
Для просмотра этой информации нужно выполнить следующие действия:
При создании или изменении файла, Windows ориентируется на текущее время в операционной системе. В свойствах файла или папки указывается соответствующее время, поэтому нам нужно изменить дату создания файла Windows.
Изменить дату создания файла можно с помощью средств операционной системы Windows, или при помощи стороннего программного обеспечения. В этом руководстве вы найдете инструкции о нескольких способах решения данной проблемы, с помощью которых мы сможем изменить дату создания или изменения файла.
Смена дат штатными средствами Windows
Области дат заполняются в соответствии с операциями с файлами, папками и берутся из системного времени ОС. Чтобы поменять дату создания файла (папки) проделайте такие шаги:
В результате шагов 5 или 6, 7 создастся папка или файл с новыми значениями. Способ эффективен в том, случае если производится изменение даты создания файла в одном или нескольких экземплярах. Если элементов много, то способ смены значений, описанный выше, будет рутинной ручной работой, но для решения этой проблемы есть специальные программы.
Примечание: не забудьте перевести временные настройки к правильным, так как это может сказаться на корректности работы некоторых элементов в системе.
Как изменить дату создания файла в Total Commander
С помощью популярного файлового менеджера Total Commander можно изменить дату и время создания файла. В программе Total Commander можно поменять свойства одного файла или сразу нескольких файлов в пакетном режиме.
Необходимо выполнить следующие рекомендации:
В Total Commander подобным способом можно изменить дату и время модификации, дату и время последнего доступа.
Вам также может быть интересно:
Файловый Менеджер FreeCommander
FreeCommander является бесплатным файловым менеджером, аналогом известной программы TotalCommender. В нём также можно внести соответствующие изменения в атрибуты файлов и папок:
Как изменить дату создания содержимого файла в NewFileTime
NewFileTime — бесплатная программа, изменяющая дату создания файла. Программа не требует установки на компьютер, запускается из папки. Приложение поддерживает русский язык интерфейса.
NewFileTime можно скачать с официального сайта по этой ссылке. После загрузки на компьютер, распакуйте архив с программой.
В программе NewFileTime выполните действия:
В свойствах файла внесены изменения, касающиеся даты создания, изменения или открытия файла.
BulkFileChanger
Пожалуй, самый простой и удобный способ изменения даты создания файла – это использование программы BulkFileChanger от Nirsoft.
BulkFileChanger (официальный сайт) – это небольшая программа, которая позволяет создавать список файлов, а затем выполнять с ними определенные действия. Например, таким образом можно изменять время их создания, изменения, доступа, а также изменять некоторые атрибуты файлов (атрибут только для чтения, скрытый, системный). Утилита BulkFileChanger работает в любой версии Windows, начиная с Windows 2000 и до Windows 10, при этом поддерживаются как 32-разрядные, так и 64-разрядные операционные системы.
Программа BulkFileChanger полностью бесплатна и доступна для скачивания на официальном сайте разработчика. Она не требует установки и поставляется сразу в виде готового к работе Exe.
Для того чтобы изменить дату создания файла, нужно запустить программу BulkFileChanger на своем компьютере и перетащить в нее файлы.
После этого нужно выделить файлы в BulkFileChanger и нажать на кнопку с иконкой часов, которая находится на панели инструментов программы.
В результате откроется окно для управления датами и атрибутами файла. В самом верху данного окна будет доступен блок управления временем. Здесь можно изменить дату создания (Created), изменения (Modified), а также доступа к файлу (Accessed). Для изменения этих данных необходимо установить соответствующие флажки, указать нужные значения и нажать на кнопку «Do it».
Например, для того чтобы изменить дату создания файла нужно установить два флажка в строке «Created», напротив даты и времени создания. После чего нужно установить необходимое значение и применить изменения нажатием на кнопку «Do it».
После этого можно вернуться в проводник Windows и нажать на клавишу F5 для обновления данных о файлах. Если все было сделано правильно, то дата создания фала должна измениться.
Также отметим, что у Nirsoft есть консольная программа NirCmd (ссылка), которую также можно использовать для изменения даты создания файла. Для этого нужно просто запустить программу «nircmd.exe» с параметром «setfiletime» и указать новое время создания и изменения файла.
nircmd.exe setfiletime «c:\temp\myfile.txt» «24-06-2003 17:57:11» «22-11-2005 10:21:56»
В примере выше для файла «myfile.txt» устанавливается время создания – «24-06-2003 17:57:11» и время изменения – «22-11-2005 10:21:56».
Как изменить дату создания содержимого файла FileDate Changer
FileDate Changer — бесплатная программа от известного разработчика программного обеспечения NirSoft. Скачайте программу FileDate Changer с сайта разработчика здесь.
Распакуйте ZIP-архив с программой, а затем запустите приложение на компьютере.
Выполните следующие шаги:
Редактирование даты с помощью Фотоальбома Windows
Если на компьютере установлено приложение «Фотоальбом», то можно воспользоваться следующим способом изменения данных:
Преимущество данного способа заключается в том, что с помощью «Фотоальбома» можно изменить не только число создания изображения, но еще и время. Используя другие способы, отредактировать время не получится.
Как изменить свойства файла, дату создания в BulkFileChanger
BulkFileChanger — бесплатная утилита от NirSoft для массового изменения свойств файлов, аналог программы FileDate Changer с расширенными возможностями. Скачайте программу с официального сайта. Ссылки на загрузку находятся в нижней части страницы, там же нужно скачать язык локализации, чтобы русифицировать программу.
Выполните необходимые действия:
Изменение данных с использованием функции конвертации
Если в дате съемки должно быть указано сегодняшнее число, для изменения сведений можно применить любой мощный графический редактор. Например, Adobe Photoshop.
Главный недостаток этого метода состоит в том, что фотография из-за изменения форматов превращается в обычную картинку, которую можно скачать с любого сайта. Исчезают все сведения о снимке – разрешение, модель аппарата и прочее. Разбирающемуся в этом вопросе человеку нетрудно будет догадаться, что изображение редактировалось в Photoshop.