如何确定 Linux 系统的安装时间？

[Owen Chia]

大家好：
最近碰到了一个问题：在对 Linux 系统的磁盘镜像文件进行电子取证的过程中，需要获取该系统的安装日期。

目前想到的办法是看根分区的 lost+found 目录（文件系统是 ext4）的创建日期，这样做可行吗？有没有其他方法？

--------------
OwenChia

[Shell Xu]

passwd -S bin

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

--

彼節者有間，而刀刃者無厚；以無厚入有間，恢恢乎其於游刃必有餘地矣。
blog: http://shell909090.org/blog/

twitter: @shell909090
about.me: http://about.me/shell909090

[Plain_Text]

　　电子取证？理论上所有日期时间信息都可以造假，比如在安装前修改系统时间。
就算安装前没有，安装后也可以手工去修改许多文件的日期时间。如果没有做任何
人工干预，那么许多地方都可以反映出安装日期，比如 /etc/ 下的一些文件在安装
时生成，之后不会再做改动。其实如果真的涉及到法律纠纷，这种取证方法真的
很不可靠。

[Owen Chia]

对，确实很不可靠，特别是还有些运行在内存的 distro ……不过我只是学校实训课遇到的……

另外，一些伪基站的案子，实施者都是只负责按下特定的按钮，虽然取证结果跟供词能对的上，但感觉还是没法确保取证结果足够可靠……

--------------
OwenChia

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。

[Shell Xu]

下面的case会不会变成伪基站工作者变身成uber司机试图打游击，最终被城建联合执法大队和热心抢钥匙群众联手抓获。。。

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

[宋为]

难道不是被碰瓷的老人拉住动弹不得，才被捕的吗？

在 2015年09月17日 12:38, Shell Xu 写道:

下面的case会不会变成伪基站工作者变身成uber司机试图打游击，最终被城建联合执法大队和热心抢钥匙群 众联手抓获。。。