частный форенсис

из анализа каких каталогов, подкаталогов, файлов, можно сделать вывод: здесь был юзер?

Может быть для начала объяснить, что такое «здесь был юзер»? Какие действия пользователя есть желание мониторить? Т.е. начать с описания задачи.

что такое «здесь был юзер»?

пользователь компьютера,о котором идет речь

Какие действия пользователя есть желание мониторить?

абсолютно любые, но что бы было понятно, что юзер их инициировал, а не система сама

вот пример

10:15:49.0000000000 /var/lib/swcatalog/icons/ubuntu-jammy-universe/64x64/git-cola_git-cola.png

и по

-mtime

на то же самое время до секунды, выскакивает несколько иконок, (от разных программ) которые модифицировались. Самих программ на компьютере нет. Что можно предположить?

audit.log

В моей ситауции не вариант. У меня вопрос по

-mtime

Если не дублировать скупое пояснение из мануала, что это за временная метка, можно ли утверждать, что это время записи / сохранения на диск ? То есть скачался на компьютер некий рандомный пакет, через

snap, dpkg, update/upgrade, manualy mode

,etc. , распаковался в соответствующие каталоги/ подкаталоги (драйвера, библиотеки, двоичные файлы и тд), и вот это время записи в каталоги/ подкаталоги всех этих файлов и будет временем

-mtime

? И затем, в случае обновления эта метка поменяется на новую? Вопрос в связи с тем в том числе, что некие файлы 2-х летней давности, имели все три метки одинаковой датой, 2-х летней давности (на момент проверки командой

find

почти 2 года назад), сейчас если посмотреть,

-mtime

осталась та же дата, время, а вот

-ctime

и дата создания изменились на плюс 1год примерно. Это касается группы файлов, у которых были одинаковые даты изначально.

ctime это не дата создания.

с этим не поспоришь)

Можно начать с книг по форензике, например «Криминалистический анализ файловых систем» (Кэрриэ Брайан). Можно начать с книг по операционным системам. И там и там много всего интересного. Попробуй начать с основ в общем.

Есть куча готовых инструментов по этому направлению.

Если юзер положил в крон скрипт, который делает апт апгрейд, то файлы скачанные аптом в твоих определениях творчество системы или юзера?

Или другой пример, человек накидал картинок в каталог и кеды пошли в кеше к ним превьюхи клепать, это кто сделал?

Если прямо конкретно, то сейчас только snap работает на автомате, стандартное обновление или апгрейд, через разрешение на кнопочку нажавши… по моему тут все очевидно или нет?

Так ты ответь если очевидно.

Я как дилетант могу ответить следующее… если одним временем куча файлов в каталогах и подкаталогах snap, а затем в usr/bin, с этим же временем и каталогах /lib , то же с этим временем,я предполагаю, что snap в соответствии с cron, 4 раза в сутки скачал, распаковал, установил приложения. Если же движения в /usr/bin, /lib , а так же других, но работы snap рядом не было, могу предположить , что это суета юзера . Я могу сюда закинуть каталоги, в которых была движуха, если что.

При чём тут снап? Я же конкретный вопрос задал. Ты на него можешь ответить?

Я смотрю на вопросы, на которые могу как делетант отвечать, на всевозможные теоретические, типа если лазером с луны пульнуть по зимнему застывшему колодцу соседки, то сколько уток было у царя гороха… это не ко мне

на всякий случай, в крон запрограмированы только действия снапа

Тогда могу только порекомендовать книжку почитать.

я понял, что по крайней мере пока, здесь нет людей , практически знакомых с проблемой, и я ,разумеется никому не предлагаю освоить тему для того,что бы затем разжевать все мне. Про -mtime, о чем выше спросил,кто то может пояснить не скупыми строчками из мануала?, ибо я сам это уже прочитал.

Конечно нет, если ты даже проблему не описал. Кто ж знает, что ты подразумеваешь под своим здесь был юзер? Сам ты прояснить проблему тоже не хочешь.

Я дико извиняюсь за параллели… но если ты увидишь какашки (человеческие) у себя под дверью, ты что подумаешь? про инопланетян? )

Предлагаю снять корону, вспомнить, что медведей учат ездить на велосипеде, значит они как то понимают людей, напрячь извилину и если есть желание и знание, просто взять и ответить… если сразу же возникло желание написать типа никто не обязан, то вот про эти буквы надо помнить и тогда когда рука тянется написать ерунду, что нету этой обязанности то же

Задал на англоязычном форуме вопрос, и как следовало ожидать, сразу же , по существу ответ.

Я правильно понял, что ты хочешь по mtime вычислить инопланетян, которые нагадили у тебя под дверью?

Да,утебя понималка работает, поэтому ты точно и по существу ответил )