《电子数据取证技术》--读书笔记

电子数据取证技术—读书笔记

《电子数据取证技术》这本书对很多取证的基础知识和工具做了非常全面的讲解,作为第一套计算机犯罪侦查专业系列的教程,值得用心去读一遍

6.1 数字时间取证

取证目标的时间检查注意以下因素:

  • 系统时间是否准确。

  • 时区和夏时制的影响

检查时不仅要通过系统时间查看,还得查看注册表中当前时区,所对应的注册表的位置在:
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones 保存了所有时区

  • 进程和应用程序写入的时间戳

某些防病毒软件对文件扫描之后都会改变最后访问时间(部分杀毒软件扫描完后会恢复),如果进行了修复的话最后访问时间和修改时间都会改变

  • 取证工具和人员的影响

时间的更新规律

操作创建时间修改时间访问时间
重命名或者修改属性不变不变不变
文件夹内文件变化不变更新更新
卷内移动不变不变不变
修改内容(文件夹)不变更新(NTFS)不变(FAT)更新(NTFS)不变(FAT)

时间取证判断的规律:
(1)如果修改时间等于建立时间,那么文件是原始文件,没修改和剪贴
(2)如果修改时间早于建立时间,那么文件被复制或移动过
(3)硬盘内批量文件有很近的访问时间,可能是被工具扫描过,如杀毒软件。
(4)一个文件夹内一些文件的修改时间等于创建时间或者很相近,可能是网上批量下载
(5)文件拷贝,修改时间不变,创建时间和拷贝时间一致
(6)文件下载,创建时间和开始下载时间一致,修改时间为下载结束的时间(IE下载时先下载到临时目 录内在拷贝。)
(7)解压后,创建时间是解压时间,修改时间不变(压缩前一致)

时间取证的工具一般有DCode和DateDecoder。前者是图形化的界面,易于理解,后者是终端命令,但是可以将时间与其表现形式双向解析。

文件系统创建时间

FAT分区中,如果设置卷标,在FAT表头会出现卷标记录。


  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

1-1i111e

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值