計算機文件時間屬性,你瞭解嗎?


關文件時間屬性

Sprite最近骨折在家養病,開始專心研究X-Ways Forensics 16.0。16.0的漢化已經幫助stefan做完,但x-ways 官網上還沒有公開發布。
過去寫的x-ways forensics  培訓教材有些老了,用的還是14.x的版本做的演示,一直沒有時間重寫,這次總算可以踏實專心地寫了。為了教 材,重新編制案例文件,但測試中發現對於文件時間一直沒有清楚地解釋過。其實文件時間是在司法實踐中非常重要的內容,為了更清楚地說明各種時間屬性,整理 來了一些材料供大家參考。







利用x-ways Forensics查看文件時間
從這些時間中能證明什麼?

 調查員、律師、法官們是否真正瞭解一個文件日期和時間屬性?從最早的DOS到現在的圖形化操作系統,計算機對文件時間的的記錄和解析已經非常清楚了。但是,一個文件所顯示的時間真是可以相信的嗎? 

 真實且科學的說法是,文件的時間戳並不能完全相信。這個問題最早起源於計算機的時鐘的討論。計算機時鐘的最大的問題在於其依賴於電池供電,另外就是當前計算機時間是否已被校準。通常我們都知道,計算機的時間是可以被人為修改的。此外,不同的計算機系統也會採用不同的時間記錄方法,因此文件時間也會包含不同的 類型操作系統生成的時間。鑑此,無論訴訟方或者辯護方包括裁判方,各方都應該對計算機時間以及文件時間有一個全面的瞭解。

 當 前流行的操作系統、文件系統針對文件主要記錄三個時間屬性,即:修改時間、訪問時間和創建時間。但是,這些時間信息不是完全不可干預的,用戶的不同操作行 為可能會導致某些時間信息的更改。這就出現了一個最常遇到的問題:為什麼某些文件的修改時間會早於文件創建時間。通常我們的理解都是:一個文件應該首先被 創建,然後才可能被編輯、修改,文件創建時間應該早於文件修改時間。但實際上,經常會發生文件修改時間比創建時間早的情況。


 修 改時間的是文件被最後寫入數據的時間。簡單來說,這是一個文件被用戶打開、編輯並保存時的時間,且與文件內容是否被修改沒有關係。當然也有特例,就是軟件 開發商通常將所開發軟件的文件時間設定一致。這是因為可以比較借此輕易判明某個軟件的版本。最後修改時間通常表示為一個文件的最後保存時間。


 訪 問時間是用戶或計算機系統本身對文件進行的某種操作時間,任何會可能導致文件創建時間和修改時間變化的行為都會改變文件訪問時間。最常間的行為是:文件打 印、移動、複製、查看(打開並未保存,)。此外病毒檢測、文件備份、系統維護等操作都會改變文件訪問時間。由於太多的操作都可能改變文件訪問時間,因此訪 問時間可以幫助掌握計算機系統的近期歷史行為。


 創 建時間並非僅僅表示一個文件是在何時被創建的。實際上,創建時間主要表明某個文件是什麼時候出現並保存在某個存儲介質上的。故,創建時間代表用戶或計算機 系統創建某個文件記錄的時間。通過此原理,我們可以理解為什麼複製文件會改變文件創建時間:由於用戶所複製的文件並沒有存在於即將複製的位置,因此計算機 系統會在複製位置創建了一個新的文件記錄,並賦予其當前創建時間。這樣,大家可以理解為什麼所複製文件的修改時間可能會先於創建時間。當一個文件被覆制、 或是下載的時候,發生此行為的時間通常會比原文件本身時間屬性晚。


刪 除時間是一個最難判斷的問題。我們很難從文件時間屬性來判斷某個文件到底是什麼時候被刪除的,因為計算機並不直接記錄文件的刪除時間。回收站記錄是唯一可 以記錄某個文件是什麼時間被刪除的,但前提是當該文件仍然保存在回收站之中,沒有被用戶清空時,才會發現這個文件的刪除時間。最後訪問時間能夠證明某個文 件的最後一次被計算機系統接觸過的時間,可以表明某個時間至少在該時間之前還曾經存在過,但不能證明在該時間之後發生的事情。因此,大家最好不要糾纏於文 件刪除時間這個問題。


此 外,值得大家關注的還有保存在文件內部的時間信息,也稱元數據信息。Microsoft Word 和Excel,數碼相機、手機拍攝的圖片都包含有時間屬性。這些時間信息與操作系統記錄的文件時間很有可能完全不同。一般來說,文件內部記錄的創建時間更 加準確。此外,某些應用程序還有可能保存一些其他的時間信息,例如文件打印時間。但需要注意的是,文件內部記錄的時間信息僅表示這些文件的創建和最後保存 和寫入時間,並不能說明是這些文件是何時被移動、複製和查看的。

word文件中的創建和打印時間
數碼照片中的時間屬性



最 後我們應該注意的是時區、夏令時和時鐘問題。如果一個文件是在西8區創建的,卻是被東8區的計算機進行檢驗,那麼時間檢驗結果是完全不一樣的。夏令時也應 該是一個需要注意的情況調查員應該清楚地查明計算機時區和夏令時規則,這些信息可以從Windows註冊表中分析到。計算機時鐘總是可能發生偏差,取證過 程中應準確記錄當前狀態下的計算機時間。利用系統時鐘和當前時間的時差,可以輔助判定有關文件時間的一些問題。


除 此之外,調查官還應該密切關注所有計算機中出現文件的時間關聯,以及當前案件其他事件的時間關聯。例如,如果發現某些文件的創建、修改時間非常接近,僅僅 差距幾分幾秒,那麼無論時區或者時鐘是否有差異問題,律師們都會針對創建、修改、訪問時間出現各種爭論。此時,如果能有其他的外部事件時間加以輔助,例如 某個時段恰巧在度假或參加了什麼週末活動,那麼完全可以幫助證明或否定有關時間的猜疑。


因 此說,文件時間可以在法律環節中證明一些問題,但是法官們也不應把這些時間問題作為全部的評判依據。計算機的時間戳是不會為自己證明正確與否,人是解釋問 題的根本。應該說,計算機時間很重要,它既可以被作為訴方的證據,也可以被作為辯方的依據。如何才能夠有效地利用時間信息呢,斷案者必須要真正地瞭解計算 機和文件時間屬性。

0 意見: