[发明专利]一种文件修改时间可信度判定方法、装置和存储介质

说明书

本申请公开了一种文件修改时间可信度判定方法、装置、电子设备和计算机可读存储介质，该方法包括：当检测到被监测文件的文件状态改变时间发生变化时，获取被监测文件变化后的属性内容；根据属性内容中的文件状态改变时间和属性内容中的文件修改时间差值，确定被监测文件的实际修改时间；其中，文件修改时间差值为被监控文件的文件状态改变时间的变化累加差；查看当前被监控文件的文件修改时间，并判断文件修改时间与实际修改时间是否一致；若是，则判定文件修改时间可信；若否，则判定文件修改时间不可信。该方法能够准确识别文件修改时间的可信度，并提高了文件修改时间作为文件内容是否被修改依据的可信度。

技术领域

本申请涉及计算机技术领域，特别涉及一种文件修改时间可信度判定方法、装置、电子设备和计算机可读存储介质。

背景技术

文件修改时间用于判定文件什么时候被修改了，恶意用户将文件内容修改后，为了隐藏痕迹，往往会将文件修改时间进行篡改，修改为其他时间。例如，黑客通过创建一个临时文件，通过将系统文件的当前文件修改时间赋值给临时文件，当篡改系统文件后，再将临时文件的文件修改时间赋值给系统文件，这样系统文件被篡改前后的文件修改时间就一致了，隐藏了系统文件被篡改的痕迹。降低了文件修改时间的可信度。

发明内容

本申请的目的是提供一种文件修改时间可信度判定方法，能够准确识别文件修改时间的可信度。其具体方案如下：

第一方面，本申请公开了一种文件修改时间可信度判定方法，包括：

当检测到被监测文件的文件状态改变时间发生变化时，获取所述被监测文件变化后的属性内容；

根据所述属性内容中的文件状态改变时间和所述属性内容中的文件修改时间差值，确定所述被监测文件的实际修改时间；其中，所述文件修改时间差值为所述被监控文件的文件状态改变时间的变化累加差；

查看当前所述被监控文件的文件修改时间，并判断所述文件修改时间与所述实际修改时间是否一致；

若是，则判定所述文件修改时间可信；若否，则判定所述文件修改时间不可信。

可选的，根据所述属性内容中的文件状态改变时间和所述属性内容中的文件修改时间差值，确定所述被监测文件的实际修改时间，包括：

根据所述属性内容，识别所述被监控文件的文件变化性质；

若所述文件变化性质为文件属性变化，获取所述被监测文件变化前的属性内容，将变化前所述属性内容中的文件修改时间差值和变化前后所述文件状态改变时间的差值进行累加，得到所述被监控文件的文件状态改变时间的变化累加差；

若所述文件变化性质为文件内容变化，则将所述文件状态改变时间的变化累加差设为0；

根据变化后所述属性内容中的文件修改时间与所述文件状态改变时间的变化累加差，得到所述被监测文件的实际修改时间。

可选的，根据所述属性内容，识别所述被监控文件的文件变化性质，包括：

若所述属性内容中的文件权限、文件的硬连接数、属主、属组中的任意一项或多项发生变化，则确定所述被监控文件的文件变化性质为所述文件属性变化；

若所述属性内容中的文件类型、文件大小、iNode编号中的任意一项或多项发生变化，则确定所述被监控文件的文件变化性质为所述文件内容变化。

可选的，所述查看当前所述被监控文件的文件修改时间，包括：

利用stat命令查看当前所述被监控文件的文件修改时间。

第二方面，本申请公开了一种文件修改时间可信度判定装置，包括：

获取模块，用于当检测到被监测文件的文件状态改变时间发生变化时，获取所述被监测文件变化后的属性内容；