2019年8月20日 星期二

列出檔案並根據修改日期排序

機器中了綁架病毒(Ransomware),將所有檔案加密後,檔名後綴.adage。這時候想要知道這隻綁架病毒從什麼時候開始將檔案加密,將檔案依照修改時間排序:
  • find . -name "*.adage" -printf "%T@ %Tc %p\n" | sort -n | tail -5
上述指令的參數說明如下:
  • %Tk:檔案最後修改的時間,格式用k來決定
    • %Tk:從1970/1/1的00:00 GMT到修改的時間,包含小數部分
    • %Tc:檔案修改的當地時間
  • %p:檔案名稱

測試的結果發現,這隻綁架病毒綁架手法如下:
  • 2012 May 29, 15:58:34 綁架了第一個檔案,然後就停止不動
  • 2019 Aug 8, 02:50:05 開始綁架資料夾底下的檔案
  • 2019 Aug 8, 17:22:50 完成最後一個檔案綁架,總計綁架了百萬個檔案

參考資料

_EOF_

沒有留言:

張貼留言