目录
实验目的及要求
了解时间取证的内容及方法
实验原理
1)时间是进行其他取证的基础,确定时间是电子数据取证重要的不可或缺的环节;时间本身也是重要的数据,保存在硬盘或文件中的时间可以作为证据来确定行为和后果。
2)计算机的开关机都是一个过程,这是一个时间段而不是一个时间点。单纯的一个开关机时间戳会受到多种因素的影响,因此需要利用不同的时间戳来验证开关机的状态是否正常,开关机的时间是否合理,这些能否作为证据使用。
实验环境
Windows Server 2008
实验过程(实验步骤、记录、数据、分析)
一、时间取证的基本判断规则
1.1 如果修改时间等于建立时间,那么文件是原始文件,既没有被修改过也没有被剪切。
1.2 如果修改时间早于建立时间,则文件被复制或移动过。
1.3 如果在硬盘上批量的文件具有很近的访问时间,这些文件极有可能被同一个工具软件扫描过,如杀毒软件。如果在一个文件夹中的一些图像和视频文件有很近的访问时间,并且没有其他的图像和视频文件具有相似的访问时间,则这些图像和视频文件极有可能被一个图像和视频预览工具访问或者打开过
最低0.47元/天 解锁文章
377
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
