在取证分析过程中,需要特别关注时间属性信息,文件何时被创建、修改、访问,是否是通过复制生成的,经历过什么操作。软件什么时候被下载、安装,这些关键性的时间节点,往往对案件侦破起到了决定性的作用,以下的内容,就对以上所提到的时间属性进行一个简单分析。 在NTFS文件系统下,系统将文件的所有时间属性分别存放在两个不同的属性中,为10属性($STANDARD_INFORMATION)和30属性($FILENAME),这两个属性中都保存有文件的创建、修改、访问和记录更新时间,这些时间属性在不同的属性中,变化不同,相同的操作在不同的属性中也会产生不一样的结果。下面就模拟一个文件的生成过程,来介绍时间的变化。
创建时间 首先右键新建一个word文件,将文件命名为“创建.docx”,接下来我们来使用winhex的模板来看一下,都会有哪些时间变化。
首先可以看到,有两种属性记录时间,两种属性分别都记录创建、修改、访问和记录更新时间。但不同的是,只有10属性的记录更新时间为2022/01/04 03:23:22,其它的时间均为2022/01/04 03:23:15。由于这个模板是以UTC时间解析的,因此,换算成北京时间要加8小时。10属性创建时间:03:23:15为新建word文档时间,此时还没有给文件命名,也没有回车确认。记录更新时间:03:23:22为给文件命名后,回车确定,这样就完成了一次文件创建,期间的7秒为写入文件名时间。但仅10属性中的记录更新时间被修改,30属性中的记录更新时间不变。这就是当文件创建时,时间的变化规律 修改文件名 将原文件“创建.docx”重命名为“修改.docx”。看一下时间变化规律。
可以看到,时间属性更改了两处,分别为10属性和30属性的记录更新时间,10属性的记录更新时间为真实的文件名称修改后的时间,而30属性的记录更新时间变更为文件创建时10属性记录更新对应的时间。其它时间属性保持不变。 修改时间 此时“修改.docx“中没有任何内容,将word文档添加内容后保存,使用winhex模板查看属性内容,可以看到,10属性和30属性的访问时间和记录更新时间发生改变。其中,10属性的访问时间更改为文件打开时间,记录更新时间更改为修改后的保存时间;30属性的访问时间为文件打开时间,而记录更新时间却更改为修改文件名称后保存的时间。
文件复制 将“修改.docx”文件复制为新文件“修改-副本.docx”,与原文件进行对比,可以看到,改变的时间属性包括10属性的创建时间和最后访问时间。30属性所有的时间都相同。仔细观察,可以发现,复制后的文件中10属性的创建时间要晚于修改时间和记录更新时间,修改时间为复制前文件的记录更新时间,也就是保存时间。因此,当看到有的文件创建时间晚于修改时间,一般都是通过复制得来的。
复制的文件,可以快速通过X-Ways Forensics中的描述过滤项,快速过滤出。
文件删除 将“修改-副本.docx”文件删除后,使用winhex模板查看变化,10属性唯一更改的是记录更新时间,更改的时间就是文件的删除时间,30属性的修改和记录更新时间变为删除前的保存时间。
以上就是在Windows10操作系统NTFS文件系统下对文件不同操作的创建、修改、访问、记录更新的变化,不同的系统,时间规律也不尽相同。时间可以提供很多线索,从中找到有价值的信息。 |
2020 乌海市龙华司法鉴定所 All Rights Reserved. 
