本发明专利技术公开了一种时间可信度的判定方法及装置,涉及电子数据取证鉴定领域,包括:S1:获取NTFS文件系统中的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;S2:比较所述MFT修改时间与所述其他时间戳;S3:若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。本发明专利技术技术方案通过对NTFS文件系统下的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳进行分析,能够有效且可靠地判定操作系统时间可信度和文件时间戳可信度,便于高效排除不可信的电子数据。
【技术实现步骤摘要】
一种时间可信度的判定方法及装置
本专利技术涉及电子数据取证鉴定领域,特别涉及一种时间可信度的判定方法及装置。
技术介绍
时间问题是电子数据取证的核心问题之一,也是所有鉴定分析的基础,一旦时间无法准确确定,则研判的结果的可信度会打折扣甚者完全丧失。时间的篡改,主要有两种方式,一种是修改系统时间,从而导致文件记录的时间被动错误;另一种是直接篡改文件的时间戳信息。对于前者,主要通过系统的日志信息来判断;而后者,操作系统层面基本没有方法判断。目前判断操作系统时间是否可信(可能被篡改),主要通过操作系统的事件日志来判断。操作系统的时间发生改变后,一般会有事件日志记录此活动,后续查找操作系统中对应的日志记录即可确定操作系统时间被更改这一活动。但是上述判定方法存在以下问题:事件日志一般无法无限记录,记录条数达到一定量时一般会循环覆盖早期的记录;系统事件日志可能主动或被动清空的情况。以上情况都会导致常规的判定方法失效,因此,现有技术中缺乏能够有效且可靠地判定操作系统时间可信度和文件时间戳可信度的方法。
技术实现思路
为了克服如上所述的技术问题,本专利技术提出一种时间可信度的判定方法及装置,通过对NTFS文件系统下的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳进行分析,能够有效且可靠地判定操作系统时间可信度和文件时间戳可信度,便于高效排除不可信的电子数据。本专利技术所采用的具体技术方案如下:第一方面,本专利技术提出一种时间可信度的判定方法,包括:S1:获取NTFS文件系统中的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;S2:比较所述MFT修改时间与所述其他时间戳;S3:若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。在一种可能的实现中,所述步骤S1包括:在元文件$MFT中查找所述待检测文件的文件记录;通过所述文件记录的相关属性信息中获取待检测文件的MFT修改时间以及所述待检测文件的其他时间戳。在一种可能的实现中,所述待检测文件的时间戳包括:所述待检测文件的创建时间、修改时间和访问时间中的一个或多个。第二方面,本专利技术提出一种时间可信度的判定装置,包括处理器和存储器,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如第一方面所述的时间可信度的判定方法。第三方面,本专利技术提出一种计算机可读存储介质,所述存储介质中存储有至少一段程序,所述至少一段程序由所述处理器执行以实现如第一方面所述的时间可信度的判定方法。本专利技术提供的技术方案带来的有益效果是:本专利技术首先通过获取待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;然后比较所述MFT修改时间与所述其他时间戳;若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。本专利技术所提技术方案通过对NTFS文件系统下的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳进行分析,能够有效且可靠地判定操作系统时间可信度和文件时间戳可信度,便于高效排除不可信的电子数据。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1示出了本专利技术的一种时间可信度的判定方法的示意图;图2所示为本专利技术一种文件记录的部分标准属性结构示意图;图3所示为本专利技术另一种时间可信度的判定方法的示意图;图4示出了本专利技术实施例所涉及的文件时间戳可信度的判定装置示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术实施方案作进一步地详细描述。容易理解的是,在NTFS文件系统中,每个文件在元文件$MFT中均有一条记录,当某个文件的MFT文件记录发生改变时,MFT修改时间就会更新。当文件的创建时间、修改时间、访问时间中的任意一个发生改变,都会导致MFT跟着变化,所以在正常情况下,文件的MFT修改时间一定不会晚于该文件的创建时间、修改时间、访问时间中的任意一个。如图1示出了本专利技术的一种时间可信度的判定方法的示意图,示出了该方法的具体实施步骤,包括:在步骤101中,获取待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;需要说明的是,所述待检测文件的时间戳除了包括MFT修改时间,还包括其他时间戳:文件创建时间、修改时间及访问时间信息。在一种可能的实现中,在元文件$MFT中查找所述待检测文件的文件记录;然后通过所述文件记录的相关属性信息中获取待检测文件的MFT修改时间以及所述待检测文件的其他时间戳。元文件$MFT(MasterFileTable,主文件表)是NTFS文件系统下最重要的一个文件,它记录着对应分区上所有文件和目录的文件名、安全属性、文件大小和存储位置等信息。$MFT由一系列文件记录组成,每条记录由记录头和属性部分组成,如图2所示为本专利技术一种文件记录的部分标准属性结构示意图,包括:除了文件创建时间、修改时间及访问时间信息,还存储有MFT记录修改时间,当该文件属性发生变化时,该MFT记录修改时间一般都会随之变化。因此,通过查找元文件$MFT中所述待检测文件的文件记录中的相关属性信息,可以获取到待检测文件的MFT修改时间以及所述待检测文件的其他时间戳。在步骤102中,比较所述MFT修改时间与所述其他时间戳;需要说明的是,用户可以仅选择文件时的创建时间、修改时间、访问时间中的一个与该文件的MFT修改时间进行比对,也可以选择多个时间与MFT修改时间进行比对。元文件$MFT的时间属性是以64位Windows文件时间格式存储的,即基于1601年1月1日00:00:00,以100纳秒递增的UTC(UniversalTimeCoordinated,协调世界时)时间格式,也可以通过相关事件解释器转换为其他形式,便于更加直观地显示。但是需要说明的是,通过步骤101获取到的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳在比较之前,应保证所有参与比较的多个时间的格式一致。在步骤103中,若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。若所述MFT修改时间早于所述其他时间戳,造成这一结果的原因有两种,可能是文件的时间戳被直接篡改过,也可能因为在某个时间点或时间段操作系统时间错误从而导致该文件时间戳被动错误。无论这一现象是由哪种原因造成的,都可以得出结论:该文件时间戳可疑且与产生上述任意时间的宿主操作系统中的一个或多个时间存在问题。容易理解的是,若MFT修改时间早于待检测文件的其他时间戳,这里的其他时间戳,可选的,还包括创建时间、访问时间、修改时间中的至少一种,则可以认为该文件的时间戳不可信,但本专利技术所提技术方案对文件的创建时间、访问时间、修改时间中的一个或多个时间中哪些是篡改的,并不做判断,这是因为通常为可靠保证待检测文件的数据完全可信,在这种情况下,该文件的数据已经不可信,没有必要再作进一步判断。进一步地,正常情况下,文件的MFT修改时间永远不可能早于创建时间、修改时本文档来自技高网...
【技术保护点】
1.一种时间可信度的判定方法,其特征在于,包括:S1:获取NTFS文件系统中的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;S2:比较所述MFT修改时间与所述其他时间戳;S3:若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。
【技术特征摘要】
1.一种时间可信度的判定方法,其特征在于,包括:S1:获取NTFS文件系统中的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;S2:比较所述MFT修改时间与所述其他时间戳;S3:若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。2.根据权利要求1所述的时间可信度的判定方法,其特征在于,所述S1包括:在元文件$MFT中查找所述待检测文件的文件记录;通过所述文件记录的相关属性信息中获取待检测文件的MFT修改时间以及所述待检测...
【专利技术属性】
技术研发人员:胡壮,连志阳,仲丽华,卢建斌,赵庸,
申请(专利权)人:厦门市美亚柏科信息股份有限公司,
类型:发明
国别省市:福建,35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。