由於我管轄範圍內的一些法院案件,我經常看到法院指定的專家確定文件的創建日期。真的可以透過軟體方法做到這一點嗎?如果在建立文件之前使用了虛假日期,如何證明建立日期?
我知道這部分不屬於超級用戶,但無論如何我也很好奇是否有任何硬體方法可以工作(以任何精度 - 天/月/年)。
答案1
文件元資料(例如建立日期、最後修改時間等)通常是檔案系統的問題,因此可以使用各種軟體工具進行修改。事實上,有些檔案系統甚至不會追蹤建立日期(例如,linux 上的 ext3 追蹤 ctime,這實際上是 inode 更改時間)。追蹤的元資料也會因檔案系統而異 - 某些檔案系統將允許追蹤上次存取時間、上次修改時間等。
更改此「創建時間」(或上次修改時間、上次訪問時間等)的難易程度可能因檔案系統而異,但一般來說,這些時間戳並不是 100% 可靠。
我可以想像在法庭環境中,一方會嘗試建議最後修改時間是好的,因為使用者有一定的能力,其他文件時間匹配等,而對方會嘗試指出文件時間可以被偽造。我不清楚哪一方會成功說服法官或陪審團相信可能發生的事情,除非發現某種「確鑿證據」顯示時間戳不一致(例如,在同一日期創建的兩個文件的日期差異很大,或者文件的副本在假定的創建日期之前通過電子郵件發送,等等)。
我不知道有任何硬體方法來追蹤修改。
答案2
免責聲明:IANAL
取證的第一條規則是,如果你把所有讀數減少到第 N 個,那麼所有讀數都是可疑的,所以你總是需要建立一個合理的水平來接受調查結果。是的,可以修改日期,但是需要相當老練的用戶才能做到這一點,而且他們幾乎肯定需要對系統進行實體存取才能做到這一點。
在許多情況下,計算機確實必須對某些屬性做出最佳猜測。例如,如果我將檔案從 SAMBA 檔案伺服器複製到工作站,則檔案建立日期是我貼上該檔案的時間,而不是最初建立該檔案的時間。就我而言,它確實保持了正確的修改時間,但情況可能並不總是如此。
使用日誌檔案系統,您可能有一些證據表明文件元資料已被修改或偽造,但這意味著檔案系統控制了修改,這是不可能的。您應該始終檢查備份的內容,也許還有頁面檔案和 hiberfill.sys,以查找與日期資訊不一致的檔案資料的副本。
從長遠來看,如果嫌疑人是或以某種方式與非常熟練的技術人員或攻擊者有聯繫,那麼就對日期持懷疑態度。如果他們幾乎不知道如何重建 Windows 並且不知道 Linux 是什麼,那麼日期可能是正確的,除非有外部代理程式在起作用。
答案3
擁有或[實體]存取電腦的人都可以隨心所欲地使用它。包括偽造文件的建立日期。
專家確定此日期的唯一方法是該文件或其副本是否儲存在受信任的第三方管理的其他地方。
例如,在雲端中的某個位置,並使用雲端提供者的備份來檢查事物。或在日期 X 郵寄給某人,收件人知道該郵件是在日期 X 或之前創建的。
但任何有權存取(遠端或實體)電腦的人都可以更改該文件的明顯建立日期。他們可能沒有能力做到這一點,但這不是任何法庭都會接受的。 (類似於“但是法官大人。我不知道槍是如何工作的。因此我不可能開槍射殺他”)。