Qual é a precisão das datas de criação ou modificação de arquivos?

Os metadados do arquivo (por exemplo, data de criação, última modificação, etc.) geralmente são uma questão do sistema de arquivos e podem, portanto, ser modificados usando várias ferramentas de software. Na verdade, alguns sistemas de arquivos nem mesmo rastreiam a data de criação (por exemplo, ext3 no Linux rastreia ctime, que na verdade é um tempo de mudança de inode). Os metadados rastreados também variam de sistema de arquivos para sistema de arquivos - alguns sistemas de arquivos permitirão rastrear o horário do último acesso, última modificação, etc.

A facilidade de alterar esse "horário de criação" (ou última modificação, último acesso, etc.) pode variar de sistema de arquivos para sistema de arquivos, mas em geral, esses carimbos de data e hora não são 100% confiáveis.

Eu imagino que em um ambiente de tribunal, uma parte tentaria sugerir que os horários da última modificação são bons devido ao usuário ter uma certa habilidade, outros horários de arquivo correspondentes, etc., enquanto a parte oposta tentaria apontar que os tempos de arquivo podem ser falsificado. Não está claro para mim qual lado conseguiria convencer um juiz ou júri sobre o que provavelmente aconteceu, a menos que seja encontrada uma espécie de "arma fumegante" que mostre inconsistências com os carimbos de data e hora (por exemplo, dois arquivos criados na mesma data têm datas muito diferentes, ou cópias do arquivo foram enviadas por e-mail antes da suposta data de criação, etc.).

Não conheço nenhuma metodologia de hardware para rastrear modificações.

AVISO LEGAL: IANAL

a primeira regra da ciência forense é que todas as leituras são suspeitas se você as reduzir ao enésimo, portanto, você sempre precisa estabelecer um nível de razoabilidade pelo qual aceita as descobertas. Sim, as datas podem ser modificadas, mas é necessário um usuário bastante sofisticado para fazer isso, e é quase certo que eles precisem de acesso físico ao sistema para fazer isso.

Há uma série de circunstâncias em que um computador precisa adivinhar alguns atributos. Por exemplo, se eu copiar um arquivo do meu servidor de arquivos SAMBA para minha estação de trabalho, a data de criação do arquivo será a hora em que colei o arquivo, e não a hora em que ele foi criado inicialmente. No meu caso, mantém a hora modificada correta, mas nem sempre é esse o caso.

Com sistemas de arquivos com registro em diário, você pode ter alguma evidência de que os metadados do arquivo foram modificados ou falsificados, mas isso implicaria que o sistema de arquivos estava no controle da modificação, o que é improvável. você deve sempre verificar o conteúdo dos backups e talvez o arquivo de paginação e o hiberfill.sys para procurar cópias dos dados do arquivo que discordam das informações de data.

a longo prazo, se o suspeito estiver ou estiver ligado de alguma forma a um técnico ou invasor muito qualificado, suspeite das datas. se eles mal sabem como reconstruir janelas e não sabem o que é Linux, então as datas provavelmente estão corretas, a menos que um agente externo esteja em jogo.

Quem possui ou tem acesso [físico] ao computador pode fazer dele o que quiser. Incluindo arquivos falsos com data de criação.

A única maneira de um especialista determinar com certeza tal data é se o documento ou uma cópia dele foi armazenado em outro local gerenciado por um terceiro confiável.

Por exemplo, em algum lugar na nuvem e usando os backups dos provedores de nuvem para verificar as coisas. Ou enviado para alguém na data X, onde o destinatário sabe que foi criado na data X ou antes.

Mas qualquer pessoa com acesso (remoto ou físico) a um computador pode alterar a data aparente de criação dos documentos. Eles podem não ter a habilidade para fazer isso, mas isso não é algo que qualquer tribunal aceitaria. (Semelhante a 'mas meritíssimo. Não sei como funciona uma arma. Portanto, não poderia ter atirado nele').