Как узнать, когда был записан/прожиг диска (DVD)?

Question 1

Большинство оптических дисков с данными используютИСО 9660стандарт файловой системыОбъем и файловая структура CD-ROM для обмена информацией,Спецификация универсального формата дискаили оба (называетсямост УДФ).

Чтобы узнать, какой именно, вы можете выполнить

mount

в Linux после монтирования диска для идентификации файла устройства оптического привода.

Пример вывода:

/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0

Здесь файл устройства — /dev/sr0. Команда

disktype /dev/sr0

отобразит доступные файловые системы. Если присутствуют обе, анализ ISO 9660 должен быть проще.

ИСО 9660

Стандарт определяет полеДата и время создания томакак числовое представление момента создания тома, записанное в байтах с 814-го по 830-йПервичный дескриптор томав следующем формате:

YYYYMMDDHHMMSSCCO

гдеССэто сантисекунды иО— это смещение относительно GMT с 15-минутными интервалами, хранящееся как 8-битное целое число (представление в виде дополнения к двум).

Первые 32 КиБ (32 768 байт) диска не используются ISO 9660, а приведенный выше дескриптор следует сразу за неиспользуемым блоком, поэтому нас интересуют 33 582-й байт и 16 последующих.

Эту информацию можно проанализировать любым инструментом, который может выгрузить/прочитать необработанные данные на оптическом диске. В Linux вы можете использоватьдддля дампа соответствующей части изображения и hexdump для правильного просмотра последнего байта:

dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C

Для моего Ubuntu 12.04 x64 LiveCD это дает:

00000000  32 30 31 32 30 38 32 33  31 37 31 33 34 37 30 30  |2012082317134700|
00000010  00                                                |.|

поэтому изображение было создано на23 августа 2012 г., 17:13:47.00 по Гринвичу.

УДФ

Стандарт определяет полеДата и время записикак двоичное представление момента создания первичного тома, записанное в 376-387-й байтПервичный дескриптор томав следующем формате:

TT tT YY YY MM DD HH MM SS CC BB AA

Здесь каждая пара представляет собой октет (байт), т.е. XXсостоит из двух шестнадцатеричных чисел.

TT tTэтопрямой порядок байтов16-битное целое число, представляющее тип и часовой пояс временной метки.

12 младших бит ( TTT) содержат часовой пояс, закодированный как смещение от UTC в минутах в виде целого числа со знаком (представление в виде дополнения к двум).

Четыре старших бита ( t) содержат тип (всегда 1, что означает местное время).
YY YYгод закодирован как знакпрямой порядок байтов16-битное целое число (представление в виде дополнения к двум).
MM, DD, HH MM, SS, и CC— беззнаковые 8-битные целые числа, представляющие месяц, день, час, минуту, секунду, сотую долю секунды, сотни микросекунд и микросекунду создания.BBAA

Опять же, первые 32 КБ диска не используются UDF. Кроме того, следующие 32 КБ зарезервированы для устаревшей файловой системы ISO 9660 (которая может занимать больше места, если присутствует).

На «чистом» UDF-диске команда

dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C

отобразит закодированную временную метку.

Для тестирования я создал UDF-образ с K3b. Вывод команды ddбыл следующим

00000000  4c 1f dd 07 03 01 0f 0b  11 00 00 00              |L...........|
0000000c

Анализ:

0xF4C (шестнадцатеричное) больше 0x800 и – поэтому – отрицательно. Остаток 0x1000 от 0xF4C дает -180 в десятичном виде. Это означает, что часовой пояс UTC - 3.
0x07DD — это 2013 в десятичном формате (год создания).
Оставшиеся октеты можно интерпретировать буквально в их шестнадцатеричном представлении (0x0F, 0x0B и 0x11 — это 15, 11 и 17 в десятичном виде).

Это означает, что изображение было создано1 марта 2013 г., 15:11:17.000000 UTC - 3.

Предостережения

Эту дату легко подделать. Все, что требуется, это изменить дату на компьютере перед созданием изображения.
Если образ создан до того, как он был фактически записан на диск, то будет записано предыдущее время. Таким образом, поле является лишь потенциальным доказательством для дисков, которые были созданы самим владельцем.

Answer

Большинство оптических дисков с данными используютИСО 9660стандарт файловой системыОбъем и файловая структура CD-ROM для обмена информацией,Спецификация универсального формата дискаили оба (называетсямост УДФ).

Чтобы узнать, какой именно, вы можете выполнить

mount

в Linux после монтирования диска для идентификации файла устройства оптического привода.

Пример вывода:

/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0

Здесь файл устройства — /dev/sr0. Команда

disktype /dev/sr0

отобразит доступные файловые системы. Если присутствуют обе, анализ ISO 9660 должен быть проще.

ИСО 9660

Стандарт определяет полеДата и время создания томакак числовое представление момента создания тома, записанное в байтах с 814-го по 830-йПервичный дескриптор томав следующем формате:

YYYYMMDDHHMMSSCCO

гдеССэто сантисекунды иО— это смещение относительно GMT с 15-минутными интервалами, хранящееся как 8-битное целое число (представление в виде дополнения к двум).

Первые 32 КиБ (32 768 байт) диска не используются ISO 9660, а приведенный выше дескриптор следует сразу за неиспользуемым блоком, поэтому нас интересуют 33 582-й байт и 16 последующих.

Эту информацию можно проанализировать любым инструментом, который может выгрузить/прочитать необработанные данные на оптическом диске. В Linux вы можете использоватьдддля дампа соответствующей части изображения и hexdump для правильного просмотра последнего байта:

dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C

Для моего Ubuntu 12.04 x64 LiveCD это дает:

00000000  32 30 31 32 30 38 32 33  31 37 31 33 34 37 30 30  |2012082317134700|
00000010  00                                                |.|

поэтому изображение было создано на23 августа 2012 г., 17:13:47.00 по Гринвичу.

УДФ

Стандарт определяет полеДата и время записикак двоичное представление момента создания первичного тома, записанное в 376-387-й байтПервичный дескриптор томав следующем формате:

TT tT YY YY MM DD HH MM SS CC BB AA

Здесь каждая пара представляет собой октет (байт), т.е. XXсостоит из двух шестнадцатеричных чисел.

TT tTэтопрямой порядок байтов16-битное целое число, представляющее тип и часовой пояс временной метки.

12 младших бит ( TTT) содержат часовой пояс, закодированный как смещение от UTC в минутах в виде целого числа со знаком (представление в виде дополнения к двум).

Четыре старших бита ( t) содержат тип (всегда 1, что означает местное время).
YY YYгод закодирован как знакпрямой порядок байтов16-битное целое число (представление в виде дополнения к двум).
MM, DD, HH MM, SS, и CC— беззнаковые 8-битные целые числа, представляющие месяц, день, час, минуту, секунду, сотую долю секунды, сотни микросекунд и микросекунду создания.BBAA

Опять же, первые 32 КБ диска не используются UDF. Кроме того, следующие 32 КБ зарезервированы для устаревшей файловой системы ISO 9660 (которая может занимать больше места, если присутствует).

На «чистом» UDF-диске команда

dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C

отобразит закодированную временную метку.

Для тестирования я создал UDF-образ с K3b. Вывод команды ddбыл следующим

00000000  4c 1f dd 07 03 01 0f 0b  11 00 00 00              |L...........|
0000000c

Анализ:

0xF4C (шестнадцатеричное) больше 0x800 и – поэтому – отрицательно. Остаток 0x1000 от 0xF4C дает -180 в десятичном виде. Это означает, что часовой пояс UTC - 3.
0x07DD — это 2013 в десятичном формате (год создания).
Оставшиеся октеты можно интерпретировать буквально в их шестнадцатеричном представлении (0x0F, 0x0B и 0x11 — это 15, 11 и 17 в десятичном виде).

Это означает, что изображение было создано1 марта 2013 г., 15:11:17.000000 UTC - 3.

Предостережения

Эту дату легко подделать. Все, что требуется, это изменить дату на компьютере перед созданием изображения.
Если образ создан до того, как он был фактически записан на диск, то будет записано предыдущее время. Таким образом, поле является лишь потенциальным доказательством для дисков, которые были созданы самим владельцем.

Question 2

Да, есть: dateи timeатрибуты — это то, что вы ищете. Просто измените вид папки и проверьте Свойства файла.

Минуту назад проверил один диск на W7 и Mac OS X. Смотрите скриншоты ниже.

введите описание изображения здесь

Answer

Да, есть: dateи timeатрибуты — это то, что вы ищете. Просто измените вид папки и проверьте Свойства файла.

Минуту назад проверил один диск на W7 и Mac OS X. Смотрите скриншоты ниже.

введите описание изображения здесь

Как узнать, когда был записан/прожиг диска (DVD)?

решение1

ИСО 9660

УДФ

Предостережения

решение2

Связанный контент