电子数据取证时间取证读书笔记

最新推荐文章于 2024-01-17 21:11:10 发布
最新推荐文章于 2024-01-17 21:11:10 发布
阅读量823 收藏 4
点赞数 1
分类专栏: 电子数据取证 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hintll/article/details/120228682
版权
本文是关于电子数据取证中时间取证的读书笔记,重点探讨了时间戳在文件系统(FAT/NTFS)中的表现,以及如何通过时间信息判断文件的原始性、移动或复制情况。同时,介绍了在Windows操作系统中获取安装时间、开关机时间及用户登录时间的取证方法,包括检查注册表和日志事件ID。
摘要由CSDN通过智能技术生成

电子数据取证第六章读书笔记
1.数字时间取证
保存在硬盘中或文件夹中的时间格式为时间戳的格式
注意:(1)取证设备中操作系统的时间要与标注时间同步
(2)取证工具的时间设置与被取证目标操作系统的时间偏移量保持相对一致

不同操作下文件时间的更新特点:

操作 创建时间 修改时间 访问时间
重命名 不变 不变 不变
文件夹内文件变化 不变 更新 更新
卷内移动 不变 不变 不变
跨卷移动 更新 不变 更新
复制文件 更新(如果覆盖同文件名文件则不更新) 不变(目标文件) 更新
剪贴文件 不变 不变(目标文件) 更新

文件更新规律:

操作 创建时间 修改时间 访问时间
重命名或者修改属性 不变 不变 更新
修改内容 不变 更新(NTFS)不更新(FAT) 更新(NTFS)不更新(FAT)
最低0.47元/天 解锁文章
hint=flag
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python进行时间取证
weixin_42348105的博客
05-16 331
时间概念 Coordinated universal time(UTC),1972年采用的国际时间标准。 NMI:各国指派国家级的测量机构。 取证要求: 保证时间来源于官方时间源; 保证时间没有被篡改; 证据上的踪迹,用于审计和不可否认。 时间历程: ...
获取数字时间
johndiyang的专栏
09-21 924
获取数字时间,如下面的格式:2006 09 10 23 26 56源代码如下: int TSP_GetTime(char *sTime)...{ char sBuf[TIME_SIZE+1]; time_t rTemp; struct tm *pTime; time(&rTemp); pTime=gmtime(&rTemp); strftime(sBuf,40,"%m%d%H%M%
电子取证第六章
m0_43438849的博客
12-04 248
windows系统取证 诺卡德交换原理 当两个对象接触时,物质会在这两个对象之间产生交换或者传送。 证据保全 保证数据的真实性 保证数据的完整性 固定证据 固定易丢失的证据 固定硬盘 部分文件的固定 文件系统 概念 文件系统是操作系统用于明确存储设备或分区上的文件的方法和数据结构,即在存储设备上组织文件的方法。 常见的文件系统 FAT文件系统 NTFS文件系统 ExFAT Ext 深入...
电子取证篇】电子数据鉴定基本原则
蘇小沐的电子数据取证博客
04-16 3128
电子数据取证知识库-【suy】 电子数据鉴定基本原则 1、原始性原则: ​ 电子数据鉴定应以保证检材/样本的原始性为首要原则,禁止任何不当操作对检材/样本原始状态的更改。 2、完整性原则: ​ 条件允许情况下,电子数据鉴定应首先对原始电子数据制作电子数据副本,并进行完整性校验,确保电子数据副本与原始电子数据的一致性。 3、安全性原则: ​ 电子数据鉴定原则上以电子数据副本为操作对象,检材/样本应封存妥善保管以确保安全。整个检验鉴定过程应在安全可控的环境中进行。 4、可靠性原则: ​ 电子数据鉴定所使用的技术
时间简史——计算机取证中的时间研究
dengjiang1999的专栏
04-17 2205
大连市公安局网络警察支队 刘浩阳(太阳风)     在计算机犯罪侦查取证中,时间是最基本也是最重要的数字证据。计算机取证中关于时间的证据一直都是重要而且复杂的,通过时间,可以确定可疑文件可以确定何时被建立、修改和访问。计算机犯罪案件中,时间收集方法是否正确和结果是否精确,对于案件是至关重要的。举一个例子,时间结构在当地时间和UTC时间之间是有转换过程的。如果采用的时间标准不当,时间就会出现误差,
电子数据取证读书笔记-第一章
m0_55631425的博客
09-12 894
上周开始阅读了下《电子数据取证》,按老师要求写下读书笔记 1.1网络犯罪与网络安全 信息技术是一把双刃剑,它为网民工作生活提供方便的同时,也为违法犯罪分子提供了新的犯罪领域和手段。网络犯罪每年给全球经济造成巨大损失,其中,美国、中国、日本、德国每年损失尤为严重 纵观国内外网络犯罪现状,网络犯罪活动的突出表现为: ~利用网络编造、传播虚假信息、造谣、诽谤或者传播有害信息、煽动颠覆国家政权、破坏国家主权、利用网络窃取,泄露国家秘密、情报; ~非法侵人信息系统,采取获取,修改或破坏系统功能或窃取数据信息等手段,实
电子数据取证读书笔记-第三章
m0_55631425的博客
09-19 908
电子数据的法律规则 英美法系 英美法系并没有单独的电子数据法律法规。在以前的司法实践中,电子数据可能以其他证据形式,例如书证、传闻证据出现。英美法系的特点:是证据规则数量多; 二是相关判例多。这些证据规则和判例是英美法系证据制度的有机组成部分。网络犯罪的冲击使得英美法系国家纷纷进行证据法的相关修正、解释,或者进行新的立法。 1.最佳证据规则 在英美法系,最佳证据规则(BestEvidenceRule)指的是“对于文书并以此证 明案件真实情况的证据,证据法上要求通常必须出示原件,只有没有理由怀疑副本准确性的情
2020第六届美亚杯中国电子数据取证大赛个人资格赛
ShenZ的博客
01-22 2295
2020第六届美亚杯中国电子数据取证大赛个人资格赛 这一套还不错,个人赛的检材也各个有联系,检材照片和笔录让人身临其境。 第一次用富文本编辑器,感觉好酷 目录 笔记本计算机 手机 USB 笔记本计算机 1.Alice的笔记本计算机已成功被取证并制作成镜像(ForensicImage),下列哪个是镜像的SHA-1哈希值?
电子数据取证读书笔记-第二章
m0_55631425的博客
09-12 226
计算机基础知识 个人计算机 台式机、 一体机、笔记本电脑 服务器 移动终端 计算机硬件知识 内存,(内部存储器),是CPU、显卡或者其他内置板卡可以直接寻址的存储空间,存取速度快是它最大的特点。内存主要用于暂时保存程序和数据,并与外部存储器交换数据 随着半导体技术的不断革新,ROM和RAM基本被闪存(Flash)存储器取代,闪存(CFlash)存储器是非易失性存储器,结合了ROM和RAM的长处。主流的闪存(Flash)存储器主要有两种: NOR Flash和NAND Flash。闪存(Flash)存储器现在
linux系统用户登入/登出记录系统
07-20
从linux系统中记录用户登入登出的文件中,读取数据,整理用户登入和登出的时间,和在线的时长,最后写入到oracle数据库。整个程序由客户端和服务端组成。客户端部署在客户机上,用于采集客户机上用户的登入登出信息。服务端部署在可以连接到oracle数据库的主机上,用于整理数据,和向数据库插入数据
Windows取证篇】Window日志分析基础知识(一)
最新发布
蘇小沐的电子数据取证博客
01-17 4301
Windows系统审计是对系统中有关安全的活动进行记录、检查以及审核,一般是一个独立的过程。Window自带的事件查看器并没有提供删除特定日志的功能,我们在系统审计取证分析时,可以根据案情、特定的时间点、事件ID进行取证溯源分析—【蘇小沐】
数字取证二 熟练掌握鉴证大师 了解NTFS分析、LogFile文件使用和USN日志分析
凌阳的博客
03-26 5019
任务一 选择Z01.Peter.e01镜像: 练习一:分析JMXM021-技术资料-客户名单.lnk文件,该文件被拷贝后,是否被编辑过? 练习二:分析JMXM021-技术资料-文档.lnk文件、 JMXM021-技术资料-文档.docx文件,该文件被拷贝后,是否被编辑过? 练习三:分析JMXM021-技术资料-客户名单.lnk文件,该文件被拷贝后,是否被移动过? 任务二 选择C01-CCFC-Windows XP.001镜像,使用鉴证大师: 练习一:查找Sprite编辑过的所有Offi......
论计算机取证工具软件及其检测
11-11 3265
丁丽萍1,2+,王永吉11 (中国科学院软件研究所 互联网软件技术实验室,北京,100080)2 (北京人民警察学院 警务科学研究所,北京,100029)摘要: 计算机取证工具用于计算机证据的获取、分析、传输、存档、保全和呈堂,为了确保计算机证据有较强的证明力并具备证据的可采用标准,用于计算机取证的工具软件必须进行严格的检测。本文论述了计算机取证的概念和步骤,提出了计算机取证软件工具应具备的基本功
计算机中文件访问时间是什么情况,【反计算机取证必看】Windows系统中文件时间属性的变化及影响因素.pdf...
weixin_39981360的博客
07-23 944
【反计算机取证必看】Windows系统中文件时间属性的变化及影响因素.pdf·技术交流·Windows系统中文件时间属性的变化及影响因素滕冲1,方靖然2,张国臣3(1.中国人民公安大学,北京3.公安部物证鉴定中心,北京100038)摘要: 目的 分析Windows系统中不同因素对文件时间属性的影响,总结文件时间属性的变化规律。方法律并分析各种因素的影响。结果文件时间属性的更新与系统环境、操作方...
电子数据取证技术》--读书笔记
Hilllle的博客
05-03 1105
电子数据取证技术—读书笔记电子数据取证技术》这本书对很多取证的基础知识和工具做了非常全面的讲解,作为第一套计算机犯罪侦查专业系列的教程,值得用心去读一遍 6.1 数字时间取证 取证目标的时间检查注意以下因素: 系统时间是否准确。 时区和夏时制的影响 检查时不仅要通过系统时间查看,还得查看注册表中当前时区,所对应的注册表的位置在: 计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones
读书笔记4
weixin_53955759的博客
10-04 177
6.1数字时间取证 6.1.1 取证时间校正和同步 取证设备操作系统时间与标准时间同步 取证工具的时间设置与被取证系统的时间偏移量保持相对一致 6.1.2取证目标的时间检查 1系统时间是否准确 2市区和夏时制的影响 3用户是否从新设置过时间 4进程与应用程序写入的时间戳 5取证工具和人员的影响 6.1.3时间的更新规律 操作 创建时间 修改时间 访问时间 重命名或修改属性 不变 不变 不变 文件夹内文件变化 不变 更新 更.
DMS-linux系统用户登入/登出记录系统
displayMessage的博客
07-20 1966
概述:从linux系统中记录用户登入登出的文件中,读取数据,整理用户登入和登出的时间,和在线的时长,最后写入到oracle数据库。整个程序由客户端和服务端组成。客户端部署在客户机上,用于采集客户机上用户的登入登出信息。服务端部署在可以连接到oracle数据库的主机上,用于整理数据,和向数据库插入数据。 涉及到的知识点: socket网络编程 动态库的制作 Makefile文件制作 pro...
电子数据取证:笔记本硬盘转换与分析指南
"电子数据取证办案速查手册,涵盖了从硬盘转换到现场勘查、取证步骤、BIOS进入方法以及Encase工具的使用等关键知识点。" 电子数据取证是现代执法和网络安全领域中的重要环节,特别是在处理涉及计算机犯罪的案件时。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值