本文是关于电子数据取证中时间取证的读书笔记,重点探讨了时间戳在文件系统(FAT/NTFS)中的表现,以及如何通过时间信息判断文件的原始性、移动或复制情况。同时,介绍了在Windows操作系统中获取安装时间、开关机时间及用户登录时间的取证方法,包括检查注册表和日志事件ID。
电子数据取证第六章读书笔记
1.数字时间取证
保存在硬盘中或文件夹中的时间格式为时间戳的格式
注意:(1)取证设备中操作系统的时间要与标注时间同步
(2)取证工具的时间设置与被取证目标操作系统的时间偏移量保持相对一致
不同操作下文件时间的更新特点:
| 操作 | 创建时间 | 修改时间 | 访问时间 |
|---|---|---|---|
| 重命名 | 不变 | 不变 | 不变 |
| 文件夹内文件变化 | 不变 | 更新 | 更新 |
| 卷内移动 | 不变 | 不变 | 不变 |
| 跨卷移动 | 更新 | 不变 | 更新 |
| 复制文件 | 更新(如果覆盖同文件名文件则不更新) | 不变(目标文件) | 更新 |
| 剪贴文件 | 不变 | 不变(目标文件) | 更新 |
文件更新规律:
| 操作 | 创建时间 | 修改时间 | 访问时间 |
|---|---|---|---|
| 重命名或者修改属性 | 不变 | 不变 | 更新 |
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
