一种文件时间戳可信度的判定方法及装置制造方法及图纸

本发明专利技术公开了一种文件时间戳可信度的判定方法及装置，涉及电子数据取证鉴定领域。该方法包括：获取待判定文件在文件系统中所记录的时间戳，并将所述时间戳转换为十进制；确定所述时间戳末尾零的个数为N；当所述N>＝预设阈值n时，判定所述待判定文件时间戳不可信。本发明专利技术技术方案能够有效判定文件的时间戳信息是否被篡改，可以方便地对大量文件进行检测，提高了文件电子数据的可靠性，填补了文件时间戳可信度判定方法的空白。

A Method and Device for Determining the Reliability of Document Timestamp

The invention discloses a method and a device for determining the credibility of a document timestamp, which relates to the field of electronic data forensics and identification. The method includes: acquiring the time stamp recorded in the file system by the file to be determined and converting the time stamp into decimal system; determining the number of the zero at the end of the time stamp as N; and deciding that the time stamp of the file to be determined is not credible when the N >= preset threshold n. The technical scheme of the invention can effectively determine whether the time stamp information of a document has been tampered with, can conveniently detect a large number of documents, improves the reliability of electronic data of documents, and fills in the blank of the method for determining the time stamp reliability of documents.

【技术实现步骤摘要】
一种文件时间戳可信度的判定方法及装置
本专利技术涉及电子数据取证鉴定领域，特别涉及一种文件时间戳可信度的判定方法及装置。
技术介绍
时间问题是电子数据取证的核心问题之一，也是所有鉴定分析的基础，一旦时间无法准确确定，则研判的结果的可信度会打折扣甚者完全丧失。时间的篡改，主要有两种方式，一种是修改系统时间，从而导致文件记录的时间被动错误；另一种是直接篡改文件的时间戳信息。目前判断操作系统时间是否可信(可能被篡改)，主要通过操作系统的事件日志来判断。而对于后者，即直接篡改文件的时间戳信息的情况，目前尚未有效的判定方法。
技术实现思路
为了克服如上所述的技术问题，本专利技术提出一种文件时间戳可信度的判定方法及装置，能够有效判定文件的时间戳信息是否被篡改，可以方便地对大量文件进行检测，提高了文件电子数据的可靠性，填补了文件时间戳可信度判定方法的空白。本专利技术所采用的具体技术方案如下：第一方面，本专利技术提出一种文件时间戳可信度的判定方法，包括：获取待判定文件在文件系统中所记录的时间戳，并将所述时间戳转换为十进制；确定所述时间戳末尾零的个数为N；当所述N>＝预设阈值n时，判定所述待判定文件时间戳不可信。进一步地，所述获取待判定文件在文件系统中所记录的时间戳，并将所述时间戳转换为十进制之前，还包括：识别文件系统类型，确定需要处理的时间戳类型。进一步地，所述确定所述时间戳末尾零的个数为N之前，还包括：将待判定文件在文件系统中所记录的时间戳转换为十进制。进一步地，所述确定所述时间戳末尾零的个数为N包括：记T为获取待判定文件在文件系统中所记录的时间戳，S1：设R为T对10进行取余运算的结果，即R＝T％10；S2：若R≠0，进行下一步操作，否则T＝T/10，N＝N+1，重新进行S1的操作；S3：确定所述时间戳T末尾零的个数为N。第二方面，本专利技术提出一种文件时间戳可信度的判定装置，包括处理器和存储器，所述存储器存储有至少一段程序，所述程序由所述处理器执行以实现如第一方面所述的文件时间戳可信度的判定方法。第三方面，本专利技术提出一种计算机可读存储介质，所述存储介质中存储有至少一段程序，所述至少一段程序由所述处理器执行以实现如第一方面所述的文件时间戳可信度的判定方法。本专利技术提供的技术方案带来的有益效果是：本专利技术首先通过获取待判定文件在文件系统中所记录的时间戳，并将所述时间戳转换为十进制；确定所述时间戳末尾零的个数为N；当所述N>＝预设阈值n时，判定所述待判定文件时间戳不可信。这是因为在正常情况下，即文件的时间戳未被篡改的情况下，待判定文件的时间戳末尾不会有太多零，如果时间戳末尾零的位数大于某个阈值，可以判定所述待判定文件时间戳不可信。该方法能够有效判定文件的时间戳信息是否被篡改，可以方便地对大量文件进行检测，提高了文件电子数据的可靠性，填补了文件时间戳可信度判定方法的空白。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1所示为本专利技术一种文件时间戳可信度的判定方法的示意图；图2示出了另一种文件时间戳可信度的判定方法示意图；图3所示为一种文件时间戳可信度的判定方法的流程图；图4所示为本专利技术实施例中某NTFS文件系统中的文件信息示意图；图5所示为本专利技术中一种查找文件时间戳的示意图；图6示出了本专利技术实施例所涉及的文件时间戳可信度的判定装置示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合附图对本专利技术实施方案作进一步地详细描述。一般来说，文件系统的时间精度远高于秒，认为修改过的时间戳，精度比较低，绝大多数情况下只能到秒。设某个文件系统时间戳的精度为m秒，m通常远小于1，文件时间戳十进制记录值是整秒的概率为也就是说，绝大多数情况下，时间戳末尾不会有太多零，如果时间戳末尾零的位数超过某个阈值，可以判定所述待判定文件时间戳不可信。如图1所示为本专利技术一种文件时间戳可信度的判定方法的示意图，示出了该方法的具体实施步骤，包括：需要说明的是，文件系统是操作系统用于明确存储设备或分区上的文件的方法和数据结构，即在存储设备上组织文件的方法，而不同的文件系统组织文件的方式并不一样，但是都会记录系统中文件的各种信息，其中便包括文件的时间戳。在步骤101中，获取待判定文件在文件系统中所记录的时间戳，并将所述时间戳转换为十进制；在可能的实际操作中，文件的时间戳为记录文件被创建、修改或访问等操作的时间点，而文件系统记录时间的形式通常为文件系统会以起点时间到该时间点流逝的时间来记录文件的时间戳，其中，某特定文件系统中可以记录的最早的时间值，在一种可能的实际操作中，NTFS文件系统起点时间为1601年1月1日0点0分。在步骤102中，确定所述时间戳末尾零的个数为N；通过步骤101获取到待判定文件在文件系统中所记录的时间戳，并转换为十进制之后，在本步骤中确定所述时间戳末尾零的个数。在一种可能的实现中，所述确定所述时间戳末尾零的个数为N包括：记T为获取待判定文件在文件系统中所记录的时间戳，S1：设R为T对10进行取余运算的结果，即R＝T％10；S2：若R≠0，进行下一步操作，否则T＝T/10，N＝N+1，重新进行S1的操作；S3：确定所述时间戳T末尾零的个数为N。在步骤103中，当所述N>＝预设阈值n时，判定所述待判定文件时间戳不可信。在本步骤中的预设阈值n，在一种可能的实现中，预设阈值n是根据所述文件系统类型的时间精度确定，所述预设阈值n为正整数。需要说明的是，这里的文件时间戳精度是指文件时间戳可以分辨的最小粒度。在一种更具体的实际操作中，所述文件系统为NTFS文件系统，所述文件系统类型的时间精度为100纳秒，所述预设阈值n为7，也就是说，在此种实施过程中，当通过步骤102确定得到的时间戳末尾零的个数N>＝7时，待判定文件便会被判定为时间戳不可信，不能作为可信的电子数据。需要说明的是，图1所对应的实施例所描述的文件时间戳可信度的判定方法可以通过自动获取指定文件的时间戳信息来进行判定文件时间戳的可信度，即能够自动实现步骤101至步骤103，从而实现对大量文件进行检测，提高了判定文件电子数据的可信度的效率和可靠性。本实施例首先通过获取待判定文件在文件系统中所记录的时间戳，并将所述时间戳转换为十进制；确定所述时间戳末尾零的个数为N；当所述N>＝预设阈值n时，判定所述待判定文件时间戳不可信。这是因为在正常情况下，即文件的时间戳未被篡改的情况下，待判定文件的时间戳末尾不会有太多零，如果时间戳末尾零的位数大于某个阈值，可以判定所述待判定文件时间戳不可信。该方法能够有效判定文件的时间戳信息是否被篡改，可以方便地对大量文件进行检测，提高了文件电子数据的可靠性，填补了文件时间戳可信度判定方法的空白。如图2示出了另一种文件时间戳可信度的判定方法示意图，示出了该方法的具体实施步骤，包括：在步骤200中，识别文件系统类型，确定需要处理的时间戳类型。需要说明的是，在不同的文件系统中，时间戳的精度并不一定相同，而且，对于同类型的文件系统，不同的时间戳类型，时间本文档来自技高网...

【技术保护点】
1.一种文件时间戳可信度的判定方法，其特征在于，包括：获取待判定文件在文件系统中所记录的时间戳，并将所述时间戳转换为十进制；确定所述时间戳末尾零的个数为N；当所述N>＝预设阈值n时，判定所述待判定文件时间戳不可信。

【技术特征摘要】
1.一种文件时间戳可信度的判定方法，其特征在于，包括：获取待判定文件在文件系统中所记录的时间戳，并将所述时间戳转换为十进制；确定所述时间戳末尾零的个数为N；当所述N>＝预设阈值n时，判定所述待判定文件时间戳不可信。2.根据权利要求1所述的文件时间戳可信度的判定方法，其特征在于，所述获取待判定文件在文件系统中所记录的时间戳，并将所述时间戳转换为十进制之前，还包括：识别文件系统类型，确定需要处理的时间戳类型。3.根据权利要求2所述的文件时间戳可信度的判定方法，其特征在于，所述预设阈值n是根据所述文件系统类型的时间精度确定，所述预设阈值n为正整数。4.根据权利要求3所述的文件时间戳可信度的判定方法，其特征在于，所述文件系统为NTFS文件系统，所述文件系统类型的时间精度为100纳秒，所述预设阈值n为7。5.根据权利要求1所述的文件时间戳可信...

【专利技术属性】
技术研发人员：胡壮，赵庸，仲丽华，卢建斌，
申请(专利权)人：厦门市美亚柏科信息股份有限公司，
类型：发明
国别省市：福建,35