6.1数字时间取证
6.1.1 取证时间校正和同步
取证设备操作系统时间与标准时间同步
取证工具的时间设置与被取证系统的时间偏移量保持相对一致
6.1.2取证目标的时间检查
1系统时间是否准确
2市区和夏时制的影响
3用户是否从新设置过时间
4进程与应用程序写入的时间戳
5取证工具和人员的影响
6.1.3时间的更新规律
| 操作 | 创建时间 | 修改时间 | 访问时间 |
| 重命名或修改属性 | 不变 | 不变 | 不变 |
| 文件夹内文件变化 | 不变 | 更新 | 更新 |
| 卷内移动 | 不变 | 不变 | 不变 |
| 跨卷移动 | 更新 | 不变 | 更新 |
| 复制文件 | 更新 | 不变 | 更新 |
| 剪贴文件 | 不变 | 不变 | 更新 |
6.1.4时间取证的基本判断规则
1修改时间等于建立时间,那么文件时原始文件
2修改时间早于建立时间,则文件被复制或者移动过
3硬盘上批量的文件有很近的访问时间,可能被同一个工具扫描过。
4如果一些文件的修改时间等于创建时间,并且有很近的创建或者修改时间,那么这些文件有可能时从网上下载的
5拷贝时,文件创建时间为拷贝时间
6文件下载时,文件创建时间为开始下载的时间,修改时间为下载结束的时间
7压缩文件解压时通常情况下文件创建时间为解压时间,修改 时间与压缩前一致
6.1.5文件系统创建时间
1FAT文件系统确定卷创建时间
2NTFS文件系统卷M-A-C时间
3Ext3文件系统卷M-A-C时间
4HFS+文件系统确定卷M-A-C方法
6.1.6操作系统安装时间
6.1.7开机和关机时间
1开机时间
(1)日志中的开机时间
ID=6005记录系统启动时间
ID=6006记录系统关闭时间
ID=6008记录异常关闭
(2)用户登录时间
windos用户登录时间保存在HKEY_LOCAL_MACHINESAMSAMDomainsaccountUserNames%RID%中
2关机时间
(1)系统日志中的关机时间
(2)注册表中的关机时间
