本发明专利技术公开了一种操作系统时间可信度的判定方法及装置,涉及电子数据取证鉴定领域。该方法包括:选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和y,所述属性x和y是与所述操作系统时间相关的属性,所述集合A中的元素总数量大于等于2;分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。该方法能够可靠地判定操作系统时间是否被篡改,特别是在无法通过事件日志来进行判定的情况下仍然有效。
【技术实现步骤摘要】
一种操作系统时间可信度的判定方法及装置
本专利技术涉及电子数据取证鉴定领域,特别涉及一种操作系统时间可信度的判定方法及装置。
技术介绍
时间问题是电子数据取证的核心问题之一,也是所有鉴定分析的基础,一旦时间无法准确确定,则研判的结果的可信度会打折扣甚者完全丧失。时间的篡改,主要有两种方式,一种是修改系统时间,从而导致文件记录的时间被动错误;另一种是直接篡改文件的时间戳信息。目前判断操作系统时间是否可信(可能被篡改),主要通过操作系统的事件日志来判断。操作系统的时间发生改变后,一般会有事件日志记录此活动,后续查找操作系统中对应的日志记录即可确定操作系统时间被更改这一活动。但是上述判定方法存在以下问题:事件日志一般无法无限记录,记录条数达到一定量时一般会循环覆盖早期的记录;系统事件日志可能主动或被动清空的情况,以上情况都会导致常规的判定方法失效。
技术实现思路
为了克服如上所述的技术问题,本专利技术提出一种操作系统时间可信度的判定方法及装置,能够可靠地判定操作系统时间是否被篡改,特别是在无法通过事件日志来进行判定的情况下仍然有效。本专利技术所采用的具体技术方案如下:第一方面,本专利技术提出一种操作系统时间可信度的判定方法,包括:选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和y,所述属性x和y是与所述操作系统时间相关的属性,所述集合A中的元素总数量大于等于2;分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。进一步地,所述属性x是与操作系统时间直接相关的属性,所述属性y是与操作系统时间间接相关的属性。进一步地,所述属性x和y满足:所述属性x为操作系统生成该集合A中各元素时的时间值,所述属性y为自增的序列号;所述集合A中各元素的所述x属性和y属性的值均各不相同。进一步地,所述属性y为自增的序列号,所述序列号是不连续的。进一步地,所述集合A为更新序列号码日志,所述属性x和属性y分别对应该日志中每条记录中的发生更改时的时间和自增的序列号。第二方面,本专利技术提出一种操作系统时间可信度的判定装置,包括处理器和存储器,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如第一方面所述的操作系统时间可信度的判定方法。第三专利技术,本专利技术提出一种计算机可读存储介质,所述存储介质中存储有至少一段程序,所述至少一段程序由所述处理器执行以实现如第一方面所述的操作系统时间可信度的判定方法。本专利技术提供的技术方案带来的有益效果是:本专利技术首先通过选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和y,所述集合A中的元素总数量大于等于2;然后分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;最后比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。该方法能够可靠地判定操作系统时间是否被篡改,特别是在无法通过事件日志来进行判定的情况下仍然有效。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1所示为本专利技术一种操作系统时间可信度的判定方法实施例示意图;图2所示为本专利技术另一种操作系统时间可信度的判定方法实施例示意图;图3所示为本专利技术又一种操作系统时间可信度的判定方法实施例示意图;图4示出了本专利技术实施例所涉及的操作系统时间可信度的判定装置示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术实施方案作进一步地详细描述。如图1所示为本专利技术一种操作系统时间可信度的判定方法实施例示意图,示出了该方法的具体实施步骤,包括:在步骤101中,选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和y,所述属性x和y是与所述操作系统时间相关的属性,所述集合A中的元素总数量大于等于2;需要说明的是,在实际操作中,所述集合A中的元素总数量应大于等于2,否则,A1和A2的比较结果将始终无法区别操作系统时间是否被篡改过。进一步地,所述属性x是与操作系统时间直接相关的属性,可选的,可以是操作系统时间,所述属性y是与操作系统时间间接相关的属性,可选的,可以是与操作系统时间增减性相同的序列。在步骤102中,分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;在一种可能的实现中,对于不同集合A中的元素,所述属性x和y的增减性相同,分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2,需要说明的是,所述集合A为无序集合,这里的排序列表A1和A2为有序列表,A1和A2中的元素可以包含属性x和y,也可以仅包含属性x和y中的一个。在步骤103中,比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。在一种可能的实现中,对于有序列表A1和A2中的元素可以包含属性x和y,也可以仅包含属性x和y中的一个时,逐一比较两个列表中的各个元素是否相同来判定A1是否等于A2,进而判定操作系统时间是否可信,若A1不等于A2,则判定操作系统时间不可信。需要说明的是,如果操作系统时间一直准确,即未被篡改过时间,则满足则y1<y2或则y1>y2,也就是说,所述集合A中各元素的所述x属性和y属性的值均各不相同。本专利技术首先通过选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和y;然后分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;最后比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。该方法能够可靠地判定操作系统时间是否被篡改,特别是在无法通过事件日志来进行判定的情况下仍然有效。在一种可能的实现中,Windows操作系统中事件日志由大量evt文件(WindowsXP)或evtx文件(WindowsVista及之后版本)组成,下文统称事件日志文件。事件日志文件由若干条事件日志记录组成,每条记录都保存着本条记录产生时操作系统时间及唯一编号。同一个事件日志文件中,该唯一编号是递增的,下一条事件日志记录的编号永远比上一条记录大1,分别对应了图1所对应实施例中的属性x和属性y。如图2所示为本专利技术另一种操作系统时间可信度的判定方法实施例示意图,示出了该方法的具体实施步骤,包括:在步骤201中,选定上述事件日志文件为与操作系统时间相关的集合A,所述事件日志文件包括本条记录产生时操作系统时间及自增编号;在步骤202中,分别根据本条记录产生时操作系统时间及唯一编号对所述上述事件日志文件中的所有记录进行排序,得到排序列表A1和A2;在步骤203中,比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。本实施例首先通过选定与操作系统时间相关的事件日志文件,所述事件日志文件中的元素至少包含本条记录产生时操作系统时间及唯一编号;然后分别根据所述本条记录产生时操作系统时间及唯一编号对所述事件日志文件中的所有记录进行排序,得到排序列表A1和A2;最后比较所述A1和A本文档来自技高网...
【技术保护点】
1.一种操作系统时间可信度的判定方法,其特征在于,包括:选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和y,所述属性x和y是与所述操作系统时间相关的属性,所述集合A中的元素总数量大于等于2;分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。
【技术特征摘要】
1.一种操作系统时间可信度的判定方法,其特征在于,包括:选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和y,所述属性x和y是与所述操作系统时间相关的属性,所述集合A中的元素总数量大于等于2;分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。2.根据权利要求1所述的操作系统时间可信度的判定方法,其特征在于,所述属性x和y满足:所述属性x是与操作系统时间直接相关的属性,所述属性y是与操作系统时间间接相关的属性。3.根据权利要求2所述的操作系统时间可信度的判定方法,其特征在于,所述属性x和y满足:所述属性x为操作系统生成该集合A中各元素时的时间值,所述属性y为自增的序列号;所述集合A中各元素的所述x属性和y属性的值均各不相同。4.根据权利要求3所述的操作系统时间...
【专利技术属性】
技术研发人员:胡壮,赵庸,卢建斌,范鑫,
申请(专利权)人:厦门市美亚柏科信息股份有限公司,
类型:发明
国别省市:福建,35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。