Какова точность дат создания или изменения файлов?

Метаданные файла (например, дата создания, последнее изменение и т. д.) обычно являются вопросом файловой системы и, таким образом, могут быть изменены с помощью различных программных инструментов. Фактически, некоторые файловые системы даже не отслеживают дату создания (например, ext3 на Linux отслеживает ctime, которое на самом деле является временем изменения inode). Отслеживаемые метаданные также будут различаться от файловой системы к файловой системе - некоторые файловые системы позволяют отслеживать время последнего доступа, последнее изменение и т. д.

Легкость изменения этого «времени создания» (или последнего изменения, последнего доступа и т. д.) может различаться в зависимости от файловой системы, но в целом эти временные метки не являются на 100% надежными.

Я представляю, что в зале суда одна сторона попытается предположить, что время последнего изменения является правильным из-за того, что пользователь обладает определенными способностями, что время других файлов совпадает и т. д., в то время как противоположная сторона попытается указать, что время файлов может быть поддельным. Мне неясно, какая из сторон преуспеет в убеждении судьи или присяжных в том, что, скорее всего, произошло, если только не будет найдено своего рода «дымящееся ружье», показывающее несоответствия с временными метками (например, два файла, созданные в один и тот же день, имеют сильно различающиеся даты или копии файла были отправлены по электронной почте до предполагаемой даты создания и т. д.).

Мне не известны какие-либо аппаратные методики отслеживания изменений.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: IANAL

первое правило криминалистики заключается в том, что все показания подозрительны, если вы снизите их до N-го, поэтому вам всегда нужно установить уровень обоснованности, на котором вы принимаете выводы. Да, даты можно изменять, но для этого требуется довольно опытный пользователь, и ему почти наверняка понадобится физический доступ к системе, чтобы сделать это.

Есть ряд обстоятельств, когда компьютер должен сделать наилучшее предположение по некоторым атрибутам. Например, если я копирую файл с моего файлового сервера SAMBA на мою рабочую станцию, датой создания файла будет время, когда я вставил файл, а не время, когда он был изначально создан. В моем случае он сохраняет правильное время изменения, но это может быть не всегда так.

При использовании журналируемых файловых систем у вас могут быть некоторые доказательства того, что метаданные файла были изменены или подделаны, но это будет означать, что файловая система контролировала изменение, что маловероятно. Вам всегда следует проверять содержимое резервных копий и, возможно, pagefile и hiberfill.sys, чтобы найти копии данных файла, которые не соответствуют информации о дате.

В долгосрочной перспективе, если подозреваемый каким-то образом связан с очень опытным техником или злоумышленником, то отнеситесь с подозрением к датам. Если они едва знают, как переустанавливать Windows, и не знают, что такое Linux, то даты, скорее всего, верны, если только в игре не участвует внешний агент.

Тот, кто владеет или имеет [физический] доступ к компьютеру, может делать с ним все, что пожелает. В том числе подделывать дату создания файлов.

Единственный способ для эксперта наверняка определить такую ​​дату — это если документ или его копия хранились в другом месте, контролируемом доверенной третьей стороной.

Например, где-то в облаке, и используя резервные копии облачных провайдеров для проверки вещей. Или отправлено кому-то в дату X, где получатель знает, что оно было создано в или до даты X.

Но любой человек, имеющий доступ (удалённый или физический) к компьютеру, может изменить кажущуюся дату создания этого документа. У них может не быть навыков, чтобы сделать это, но это не то, что любой суд примет. (Похоже на 'но ваша честь. Я не знаю, как работает оружие. Поэтому я не мог застрелить его').