Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 28/09/2011, à 14:14

Gaspra

Qu'est-ce qui a été modifié sur ma machine ?

Bonjour,

J'ai confié mon ordinateur à un technicien pour réparation hardware. J'ai récupéré mon ordinateur et j'aimerais savoir s'il a modifié des fichiers ou s'il a installé quelque chose à mon insu. Je connais l'heure d'utilisation de l'ordinateur. Est-ce que vous connaissez une commande du type ls -ltr récursive ou équivalent pour vérifier la non modification de fichiers ou l'ajout de fichier dans un répertoire à partir de la racine ?

Merci pour votre aide.

Et bonne fin de semaine smile

Hors ligne

#2 Le 28/09/2011, à 14:25

tirom14

Re : Qu'est-ce qui a été modifié sur ma machine ?

Hum....
Bin déjà, juste avec la date de dernière modification, tu pourras pas forcement être assuré que rien n'a été touché. Cette date peut facilement être changé.
Mais à mon avis en utilisant find, pis en récupérant que les dossier, et en faisant a chaque fois ton "ls -ltr", ce sera possible,

un truc genre :

for i in ´find´; do if test -d $i; then ls -lts $i; fi; done

Pis un traitement sur les dates affiché par la suite mais j'te laisse faire !

Hors ligne

#3 Le 28/09/2011, à 15:46

Gaspra

Re : Qu'est-ce qui a été modifié sur ma machine ?

Finalement, j'ai fait

find . -type f -mtime 0,5 -exec ls -l {} \; | grep sort -k6

C'est pas mal.

Dernière modification par Gaspra (Le 29/09/2011, à 14:44)

Hors ligne

#4 Le 28/09/2011, à 16:40

tirom14

Re : Qu'est-ce qui a été modifié sur ma machine ?

Ahh oui c'est nettement plus jolie du coup !

Hors ligne

#5 Le 29/09/2011, à 09:14

Gaspra

Re : Qu'est-ce qui a été modifié sur ma machine ?

Mais c'est vrai que ça ne concerne que les fichiers modifiés récemment.
Après je ne connais pas bien Linux ni sous quelle forme peut se faire un keylogger. Est-ce qu'on peut juste copier coller un script sur la machine sans lui demander de se lancer à chaque démarrage ou quelque chose du genre ? Et dans ce cas, la date de modification du fichier, correspond à la date du copier/coller ou à la date de création du script ?
PS : c'est pas curiosité que je fais tout ça. La probabilité qu'une modification ait été faite sur mon ordinateur est très faible smile

Hors ligne

#6 Le 30/09/2011, à 10:10

tirom14

Re : Qu'est-ce qui a été modifié sur ma machine ?

La date correspond à la date de dernière modification, donc sur le coup  : la date de copier/coller. M'après c'est pas quelque chose de certain, tu peut très bien (avec une option de cp, 'la connait pas) garder la date de modification du script original.
Pour le keylogger, je sais vraiment pas sous quelle forme il peut exister. J'imaginerai un daemon qui lit sur /dev/input/event0, où tu as tout les événements clavier, mais j'en sais pas plus.
Essais tu faires :

sudo  cat /dev/input/event0 | hexdump 

Mais pour vraiment vérifier que rien n'as été modifié, il aurai fallu faire un genre de "hash" sur tout ton disque, et sur tout tes fichiers. Au retour, tu refais ce "hash," que tu compares au précédant. Si c'est différent bin... change de technicien ! tongue
Je sais plus quelle logiciel fait ca, mais ça doit se trouver facilement j'pense.

Hors ligne

#7 Le 30/09/2011, à 10:14

tirom14

Re : Qu'est-ce qui a été modifié sur ma machine ?

Ahh ouai pis, il a pu aussi ouvrir ton disque en "esclave" sans lancer le système, et ainsi modifié n'importe quelle fichier directement sans changer la date de modification. La date existe qu'avec ton système allumé !

Hors ligne