11、计算机取证中的证据查找与分析

计算机取证中的证据查找与分析

在计算机取证检查中，为了回答调查提出的问题，需要寻找能够用于得出结论的证据，这些证据有时被称为工件。下面将详细介绍一些常见工件的查找方法以及相关分析技术。

1. 安装日期

计算机的安装日期可能非常重要。例如，如果你正在查找2015年发生的某个事件的相关信息，但计算机是在2016年安装的，那么就很难找到该信息，此时可以跳过对这台计算机的检查。另外，如果嫌疑人声称在2017年刚购买这台计算机，但实际安装日期是2015年，就很容易怀疑嫌疑人有所隐瞒。

在Windows系统中，安装日期可以在注册表的SOFTWARE项中找到。使用AccessData Registry Viewer查看常见区域，InstallDate键保存着系统安装时间的值。该日期以UNIX时间戳表示，但Registry Viewer会在左下角窗格中显示转换后的时间戳，且时间戳会同时显示本地时区和UTC时间。也可以通过浏览注册表项到以下路径找到InstallDate键：Microsoft\Windows NT\CurrentVersion。

2. 时区信息

世界被划分为不同的时区，计算机的时区设置会影响显示时间和时间戳记录的时间。因此，在取证检查中，验证时区设置（以及系统时钟的正确性）非常重要。时区会产生与UTC的时间偏移，即系统时钟与UTC（有时也称为格林威治标准时间）的差异。时区有时以时区名称（如太平洋标准时间）或与UTC的偏移量（如UTC - 08:00）表示。

计算机的时区设置位于Windows注册表的SYSTEM项中，路径为：ControlSet001\Control\TimeZoneInformation。系统时钟还依