내 관할권의 일부 법원 사건으로 인해 법원이 임명한 전문가가 문서 작성 날짜를 결정하는 것을 자주 봅니다. 소프트웨어 방식을 통해 이를 수행하는 것이 실제로 가능합니까? 문서가 생성되기 전에 가짜 날짜가 사용된 경우 생성 날짜를 어떻게 증명할 수 있습니까?
나는 이 부분이 슈퍼유저에 속하지 않는다는 것을 알고 있지만 어쨌든 어떤 하드웨어 방법론이 작동할 것인지도 궁금했습니다(정확도 - 일/월/년).
답변1
파일 메타데이터(예: 생성 날짜, 마지막 수정 등)는 일반적으로 파일 시스템의 문제이므로 다양한 소프트웨어 도구를 사용하여 수정할 수 있습니다. 실제로 일부 파일 시스템은 생성 날짜조차 추적하지 않습니다(예: Linux의 ext3는 실제로 inode 변경 시간인 ctime을 추적합니다). 추적되는 메타데이터도 파일 시스템마다 다릅니다. 일부 파일 시스템에서는 마지막 액세스 시간, 마지막 수정 등을 추적할 수 있습니다.
이 "생성 시간"(또는 마지막 수정, 마지막 액세스 등) 변경의 용이성은 파일 시스템마다 다를 수 있지만 일반적으로 이러한 타임스탬프는 100% 신뢰할 수 없습니다.
법정 환경에서 한 당사자는 사용자의 특정 능력, 다른 파일 시간 일치 등으로 인해 마지막 수정 시간이 좋다고 제안하려고 시도하는 반면 상대방은 파일 시간이 위조되다. 타임스탬프와의 불일치를 보여주는 일종의 "스모킹 건"이 발견되지 않는 한(예: 동일한 날짜에 생성된 두 파일의 날짜가 크게 다르거나, 또는 파일 사본이 예상 생성일 이전에 이메일로 전송된 경우 등).
수정 사항을 추적하는 하드웨어 방법론을 알지 못합니다.
답변2
면책조항: IANAL
법의학의 첫 번째 규칙은 N번째까지 내려갈 경우 모든 판독값이 의심스럽다는 것입니다. 따라서 결과를 받아들이는 합리성 수준을 항상 설정해야 합니다. 예, 날짜를 수정할 수 있지만 이를 수행하려면 다소 정교한 사용자가 필요하며 이를 수행하려면 시스템에 물리적으로 액세스해야 하는 것이 거의 확실합니다.
컴퓨터가 일부 속성에 대해 최선의 추측을 해야 하는 상황이 많이 있습니다. 예를 들어, SAMBA 파일 서버에서 워크스테이션으로 파일을 복사하는 경우 파일 생성 날짜는 파일을 처음 생성한 시간이 아니라 파일을 붙여넣은 시간입니다. 제 경우에는 올바른 수정 시간을 유지하지만 항상 그런 것은 아닙니다.
저널링 파일 시스템을 사용하면 파일 메타데이터가 수정되었거나 위조되었다는 증거가 있을 수 있지만 이는 파일 시스템이 수정을 제어하고 있음을 암시할 수 있지만 그럴 가능성은 없습니다. 날짜 정보에 동의하지 않는 파일 데이터의 복사본을 찾으려면 항상 백업 내용과 페이지 파일 및 hiberfill.sys를 확인해야 합니다.
장기적으로 용의자가 매우 숙련된 기술자나 공격자이거나 그와 연결되어 있다면 데이트 상대를 의심해 보세요. 그들이 창을 다시 빌드하는 방법을 거의 모르고 Linux가 무엇인지 모른다면 외부 에이전트가 참여하지 않는 한 날짜가 정확할 가능성이 높습니다.
답변3
컴퓨터를 소유하거나 이에 대한 [물리적] 접근 권한이 있는 사람은 누구나 원하는 대로 컴퓨터를 사용할 수 있습니다. 위조된 날짜 생성 파일을 포함합니다.
전문가가 그러한 날짜를 확실하게 판단할 수 있는 유일한 방법은 문서 또는 문서의 사본이 신뢰할 수 있는 제3자가 관리하는 장소에 다른 곳에 저장되어 있는지 여부입니다.
예를 들어 클라우드 어딘가에 있고 해당 클라우드 공급자 백업을 사용하여 상황을 확인합니다. 또는 수신자가 X 날짜 또는 그 이전에 생성되었음을 알고 있는 X 날짜에 누군가에게 우편으로 발송됩니다.
그러나 컴퓨터에 액세스할 수 있는 사람(원격 또는 물리적)이 있는 사람은 누구나 해당 문서의 생성 날짜를 변경할 수 있습니다. 그들은 그렇게 할 기술이 없을 수도 있지만, 그것은 어느 법원에서도 받아들일 수 없는 일입니다. ('하지만 판사님. 저는 총이 어떻게 작동하는지 모릅니다. 따라서 저는 그를 쏠 수 없었습니다'와 유사합니다.)