Wie finde ich heraus, wann eine Disc (DVD) beschrieben/gebrannt wurde?

Question 1

Die meisten optischen Datenträger verwenden dieISO 9660DateisystemstandardVolumen und Dateistruktur der CD-ROM zum Informationsaustausch, DieUniversal Disk Format-Spezifikationoder beides (ein sogenannterUDF-Brücke).

Um das herauszufinden, führen Sie bitte folgendes aus:

mount

unter Linux, nachdem die Disc gemountet wurde, um die Gerätedatei des optischen Laufwerks zu identifizieren.

Beispielausgabe:

/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0

Hier ist die Gerätedatei /dev/sr0. Der Befehl

disktype /dev/sr0

zeigt die verfügbaren Dateisysteme an. Wenn beide vorhanden sind, sollte die Analyse des ISO 9660-Dateisystems einfacher sein.

ISO 9660

Der Standard spezifiziert das FeldDatum und Uhrzeit der Volume-Erstellungals numerische Darstellung des Zeitpunkts der Erstellung des Datenträgers, geschrieben in das 814. bis 830. Byte desPrimärer Datenträgerdeskriptorim folgenden Format:

YYYYMMDDHHMMSSCCO

WoCCsind Centisekunden undÖist die Abweichung von GMT in 15-Minuten-Intervallen, gespeichert als 8-Bit-Ganzzahl (Zweierkomplementdarstellung).

Die ersten 32 KiB (32.768 Bytes) der Festplatte werden von ISO 9660 nicht verwendet und der obige Deskriptor folgt unmittelbar auf den nicht verwendeten Block. Daher sind wir am 33.582. Byte und den folgenden 16 Bytes interessiert.

Diese Informationen können mit jedem Tool analysiert werden, das die Rohdaten auf der optischen Disc ausgeben/lesen kann. Unter Linux können Sie verwendenddum den relevanten Teil des Bildes zu dumpen und einen Hexdump durchzuführen, um das letzte Byte richtig anzuzeigen:

dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C

Für meine Ubuntu 12.04 x64 LiveCD ergibt dies:

00000000  32 30 31 32 30 38 32 33  31 37 31 33 34 37 30 30  |2012082317134700|
00000010  00                                                |.|

Das Bild entstand also am23. August 2012, 17:13:47.00 GMT.

UDF

Der Standard spezifiziert die eingereichtenAufnahmedatum und -zeitals binäre Darstellung des Zeitpunkts der Erstellung des primären Datenträgers, geschrieben in das 376. bis 387. Byte desPrimärer Datenträgerdeskriptorim folgenden Format:

TT tT YY YY MM DD HH MM SS CC BB AA

Dabei ist jedes Paar ein Oktett (Byte), also XXaus zwei Hexadezimalzahlen zusammengesetzt.

TT tTist einLittle-Endian-Übersetzung16-Bit-Ganzzahl, die den Typ und die Zeitzone des Zeitstempels darstellt.

Die 12 niederwertigsten Bits ( TTT) enthalten die Zeitzone, kodiert als Offset von UTC in Minuten als vorzeichenbehaftete Ganzzahl (Zweierkomplementdarstellung).

Die vier höchstwertigen Bits ( t) enthalten den Typ (immer 1, d. h. Ortszeit).
YY YYist das Jahr, das als vorzeichenbehafteteLittle-Endian-Übersetzung16-Bit-Ganzzahl (Zweierkomplementdarstellung).
MM, DD, HH MM, SS, CC, BBund AAsind vorzeichenlose 8-Bit-Ganzzahlen, die den Monat, den Tag, die Stunde, die Minute, die Sekunde, die Hundertstelsekunde, die Hundertmikrosekunden und die Mikrosekunde der Erstellung darstellen.

Auch hier werden die ersten 32 KiB der Festplatte nicht von UDF verwendet. Darüber hinaus sind die folgenden 32 KiB für ein älteres ISO 9660-Dateisystem reserviert (das, falls vorhanden, möglicherweise mehr Speicherplatz beansprucht).

Auf einer "reinen" UDF-Platte der Befehl

dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C

zeigt den codierten Zeitstempel an.

Zu Testzwecken habe ich mit K3b ein UDF-Image erstellt. Die Ausgabe des ddBefehls war die folgende

00000000  4c 1f dd 07 03 01 0f 0b  11 00 00 00              |L...........|
0000000c

Analyse:

0xF4C (hexadezimal) ist größer als 0x800 und daher negativ. Wenn man 0x1000 von 0xF4C addiert, erhält man dezimal -180. Das bedeutet, dass die Zeitzone UTC -3 ist.
0x07DD ist 2013 in Dezimalzahlen (das Erstellungsjahr).
Die verbleibenden Oktette können wörtlich in ihrer hexadezimalen Darstellung interpretiert werden (0x0F, 0x0B und 0x11 sind 15, 11 und 17 in Dezimalzahlen).

Das bedeutet, dass das Bild erstellt wurde am1. März 2013, 15:11:17.000000 UTC - 3.

Vorbehalte

Dieses Datum lässt sich ganz einfach manipulieren. Dazu muss lediglich das Datum des Computers vor der Erstellung des Images geändert werden.
Wenn das Image vor dem eigentlichen Brennen auf die Disc erstellt wird, wird der frühere Zeitpunkt aufgezeichnet. Das Feld ist daher nur ein potenzieller Beweis für Discs, die vom Besitzer selbst erstellt wurden.

Answer

Die meisten optischen Datenträger verwenden dieISO 9660DateisystemstandardVolumen und Dateistruktur der CD-ROM zum Informationsaustausch, DieUniversal Disk Format-Spezifikationoder beides (ein sogenannterUDF-Brücke).

Um das herauszufinden, führen Sie bitte folgendes aus:

mount

unter Linux, nachdem die Disc gemountet wurde, um die Gerätedatei des optischen Laufwerks zu identifizieren.

Beispielausgabe:

/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0

Hier ist die Gerätedatei /dev/sr0. Der Befehl

disktype /dev/sr0

zeigt die verfügbaren Dateisysteme an. Wenn beide vorhanden sind, sollte die Analyse des ISO 9660-Dateisystems einfacher sein.

ISO 9660

Der Standard spezifiziert das FeldDatum und Uhrzeit der Volume-Erstellungals numerische Darstellung des Zeitpunkts der Erstellung des Datenträgers, geschrieben in das 814. bis 830. Byte desPrimärer Datenträgerdeskriptorim folgenden Format:

YYYYMMDDHHMMSSCCO

WoCCsind Centisekunden undÖist die Abweichung von GMT in 15-Minuten-Intervallen, gespeichert als 8-Bit-Ganzzahl (Zweierkomplementdarstellung).

Die ersten 32 KiB (32.768 Bytes) der Festplatte werden von ISO 9660 nicht verwendet und der obige Deskriptor folgt unmittelbar auf den nicht verwendeten Block. Daher sind wir am 33.582. Byte und den folgenden 16 Bytes interessiert.

Diese Informationen können mit jedem Tool analysiert werden, das die Rohdaten auf der optischen Disc ausgeben/lesen kann. Unter Linux können Sie verwendenddum den relevanten Teil des Bildes zu dumpen und einen Hexdump durchzuführen, um das letzte Byte richtig anzuzeigen:

dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C

Für meine Ubuntu 12.04 x64 LiveCD ergibt dies:

00000000  32 30 31 32 30 38 32 33  31 37 31 33 34 37 30 30  |2012082317134700|
00000010  00                                                |.|

Das Bild entstand also am23. August 2012, 17:13:47.00 GMT.

UDF

Der Standard spezifiziert die eingereichtenAufnahmedatum und -zeitals binäre Darstellung des Zeitpunkts der Erstellung des primären Datenträgers, geschrieben in das 376. bis 387. Byte desPrimärer Datenträgerdeskriptorim folgenden Format:

TT tT YY YY MM DD HH MM SS CC BB AA

Dabei ist jedes Paar ein Oktett (Byte), also XXaus zwei Hexadezimalzahlen zusammengesetzt.

TT tTist einLittle-Endian-Übersetzung16-Bit-Ganzzahl, die den Typ und die Zeitzone des Zeitstempels darstellt.

Die 12 niederwertigsten Bits ( TTT) enthalten die Zeitzone, kodiert als Offset von UTC in Minuten als vorzeichenbehaftete Ganzzahl (Zweierkomplementdarstellung).

Die vier höchstwertigen Bits ( t) enthalten den Typ (immer 1, d. h. Ortszeit).
YY YYist das Jahr, das als vorzeichenbehafteteLittle-Endian-Übersetzung16-Bit-Ganzzahl (Zweierkomplementdarstellung).
MM, DD, HH MM, SS, CC, BBund AAsind vorzeichenlose 8-Bit-Ganzzahlen, die den Monat, den Tag, die Stunde, die Minute, die Sekunde, die Hundertstelsekunde, die Hundertmikrosekunden und die Mikrosekunde der Erstellung darstellen.

Auch hier werden die ersten 32 KiB der Festplatte nicht von UDF verwendet. Darüber hinaus sind die folgenden 32 KiB für ein älteres ISO 9660-Dateisystem reserviert (das, falls vorhanden, möglicherweise mehr Speicherplatz beansprucht).

Auf einer "reinen" UDF-Platte der Befehl

dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C

zeigt den codierten Zeitstempel an.

Zu Testzwecken habe ich mit K3b ein UDF-Image erstellt. Die Ausgabe des ddBefehls war die folgende

00000000  4c 1f dd 07 03 01 0f 0b  11 00 00 00              |L...........|
0000000c

Analyse:

0xF4C (hexadezimal) ist größer als 0x800 und daher negativ. Wenn man 0x1000 von 0xF4C addiert, erhält man dezimal -180. Das bedeutet, dass die Zeitzone UTC -3 ist.
0x07DD ist 2013 in Dezimalzahlen (das Erstellungsjahr).
Die verbleibenden Oktette können wörtlich in ihrer hexadezimalen Darstellung interpretiert werden (0x0F, 0x0B und 0x11 sind 15, 11 und 17 in Dezimalzahlen).

Das bedeutet, dass das Bild erstellt wurde am1. März 2013, 15:11:17.000000 UTC - 3.

Vorbehalte

Dieses Datum lässt sich ganz einfach manipulieren. Dazu muss lediglich das Datum des Computers vor der Erstellung des Images geändert werden.
Wenn das Image vor dem eigentlichen Brennen auf die Disc erstellt wird, wird der frühere Zeitpunkt aufgezeichnet. Das Feld ist daher nur ein potenzieller Beweis für Discs, die vom Besitzer selbst erstellt wurden.

Question 2

Ja, das gibt es: dateund timeAttribute sind das, wonach Sie suchen. Ändern Sie einfach die Ansicht des Ordners und überprüfen Sie die Eigenschaften der Datei.

Habe vor einer Minute eine Festplatte sowohl unter W7 als auch unter Mac OS X geprüft. Siehe Screenshots unten.

Bildbeschreibung hier eingeben

Answer

Ja, das gibt es: dateund timeAttribute sind das, wonach Sie suchen. Ändern Sie einfach die Ansicht des Ordners und überprüfen Sie die Eigenschaften der Datei.

Habe vor einer Minute eine Festplatte sowohl unter W7 als auch unter Mac OS X geprüft. Siehe Screenshots unten.

Bildbeschreibung hier eingeben

Wie finde ich heraus, wann eine Disc (DVD) beschrieben/gebrannt wurde?

Antwort1

ISO 9660

UDF

Vorbehalte

Antwort2

verwandte Informationen