电子数据取证第六章读书笔记
1.数字时间取证
保存在硬盘中或文件夹中的时间格式为时间戳的格式
注意:(1)取证设备中操作系统的时间要与标注时间同步
(2)取证工具的时间设置与被取证目标操作系统的时间偏移量保持相对一致
不同操作下文件时间的更新特点:
| 操作 | 创建时间 | 修改时间 | 访问时间 |
|---|---|---|---|
| 重命名 | 不变 | 不变 | 不变 |
| 文件夹内文件变化 | 不变 | 更新 | 更新 |
| 卷内移动 | 不变 | 不变 | 不变 |
| 跨卷移动 | 更新 | 不变 | 更新 |
| 复制文件 | 更新(如果覆盖同文件名文件则不更新) | 不变(目标文件) | 更新 |
| 剪贴文件 | 不变 | 不变(目标文件) | 更新 |
文件更新规律:
| 操作 | 创建时间 | 修改时间 | 访问时间 |
|---|---|---|---|
| 重命名或者修改属性 | 不变 | 不变 | 更新 |
| 修改内容 | 不变 | 更新(NTFS)不更新(FAT) | 更新(NTFS)不更新(FAT) |
FAT/NTFS都是文件系统
FAT32是Windows 95 OSR2版推出兼容16位和32位文件系统。
NTFS也就是Windows NT的文件系统。
时间取证的原则:
1.如果修改时间等于建立时间,那么文件是原始文件
2.如果修改时间早于建立时间,那么文件被复制或者移动过
3.如果在硬盘上批量的文件具有很近的访问时间,这些文件极有可能被同一个工具软件扫描过,如杀毒软件
操作系统安装时间:
windows操作系统的初始安装日期时间保存在注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion的InstallDate键中
时间以C\UNIX时间戳的时间格式时间格式存储
开关机的时间取证:
从日志中查看开关机时间
事件ID=6005记录日志启动时间即可以理解为开机时间
事件ID=6006记录日志停止时间即可以理解为关机时间
用户登录时间取证:
windows操作系统的用户登录信息保存在
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中
在这个键位中找到用户名然后再去
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users这个键位中找到对应的二进制数据然后就可以查看登录时间