目录
实验目的及要求
了解时间取证的内容及方法
实验原理
1)时间是进行其他取证的基础,确定时间是电子数据取证重要的不可或缺的环节;时间本身也是重要的数据,保存在硬盘或文件中的时间可以作为证据来确定行为和后果。
2)计算机的开关机都是一个过程,这是一个时间段而不是一个时间点。单纯的一个开关机时间戳会受到多种因素的影响,因此需要利用不同的时间戳来验证开关机的状态是否正常,开关机的时间是否合理,这些能否作为证据使用。
实验环境
Windows Server 2008
实验过程(实验步骤、记录、数据、分析)
一、时间取证的基本判断规则
1.1 如果修改时间等于建立时间,那么文件是原始文件,既没有被修改过也没有被剪切。
1.2 如果修改时间早于建立时间,则文件被复制或移动过。
1.3 如果在硬盘上批量的文件具有很近的访问时间,这些文件极有可能被同一个工具软件扫描过,如杀毒软件。如果在一个文件夹中的一些图像和视频文件有很近的访问时间,并且没有其他的图像和视频文件具有相似的访问时间,则这些图像和视频文件极有可能被一个
最低0.47元/天 解锁文章
371
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
