电子数据取证技术—读书笔记
《电子数据取证技术》这本书对很多取证的基础知识和工具做了非常全面的讲解,作为第一套计算机犯罪侦查专业系列的教程,值得用心去读一遍
6.1 数字时间取证
取证目标的时间检查注意以下因素:
-
系统时间是否准确。
-
时区和夏时制的影响
检查时不仅要通过系统时间查看,还得查看注册表中当前时区,所对应的注册表的位置在:
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones 保存了所有时区
- 进程和应用程序写入的时间戳
某些防病毒软件对文件扫描之后都会改变最后访问时间(部分杀毒软件扫描完后会恢复),如果进行了修复的话最后访问时间和修改时间都会改变
- 取证工具和人员的影响
时间的更新规律
操作 | 创建时间 | 修改时间 | 访问时间 |
---|---|---|---|
重命名或者修改属性 | 不变 | 不变 | 不变 |
文件夹内文件变化 | 不变 | 更新 | 更新 |
卷内移动 | 不变 | 不变 | 不变 |
修改内容(文件夹) | 不变 | 更新(NTFS)不变(FAT) | 更新(NTFS)不变(FAT) |
时间取证判断的规律:
(1)如果修改时间等于建立时间,那么文件是原始文件,没修改和剪贴
(2)如果修改时间早于建立时间,那么文件被复制或移动过
(3)硬盘内批量文件有很近的访问时间,可能是被工具扫描过,如杀毒软件。
(4)一个文件夹内一些文件的修改时间等于创建时间或者很相近,可能是网上批量下载
(5)文件拷贝,修改时间不变,创建时间和拷贝时间一致
(6)文件下载,创建时间和开始下载时间一致,修改时间为下载结束的时间(IE下载时先下载到临时目 录内在拷贝。)
(7)解压后,创建时间是解压时间,修改时间不变(压缩前一致)
时间取证的工具一般有DCode和DateDecoder。前者是图形化的界面,易于理解,后者是终端命令,但是可以将时间与其表现形式双向解析。
文件系统创建时间
FAT分区中,如果设置卷标,在FAT表头会出现卷标记录。