%20%E4%BD%95%E6%99%82%E5%B7%B2%E5%AF%AB%E5%85%A5%2F%E7%87%92%E9%8C%84%EF%BC%9F.png)
有沒有一種方法/工具可以高度決定光碟寫入/燒錄的日期和時間?這是關於數據取證的,應該是一個可靠的證據。我已經嘗試過 IsoBuster,但它沒有向我顯示曲目的寫入日期/時間。
答案1
大多數光碟資料都使用ISO 9660檔案系統標準用於資訊交換的CD-ROM的捲和檔案結構, 這通用磁碟格式規範或兩者(稱為UDF橋)。
要找出哪個,您可以執行
mount
在 Linux 上,安裝光碟後可以識別光碟機的裝置檔案。
輸出範例:
/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0
這裡,設備文件是/dev/sr0.命令
disktype /dev/sr0
將顯示可用的檔案系統。如果兩者都存在,那麼分析 ISO 9660 應該會更容易。
ISO 9660
標準規定領域磁碟區建立日期和時間作為卷創建時刻的數字表示,寫入卷的第 814 到 830 個位元組主卷描述符採用以下格式:
YYYYMMDDHHMMSSCCO
在哪裡副本是厘秒和氧是距 GMT 以 15 分鐘為間隔的偏移量,儲存為 8 位元整數 (二進制補碼表示法)。
ISO 9660 不使用光碟的前 32 KiB(32,768 位元組),而上述描述符緊接在未使用的區塊之後,因此我們感興趣的是第 33,582 個位元組和後面的 16 個位元組。
這些資訊可以透過任何可以轉儲/讀取光碟上的原始資料的工具來分析。在 Linux 上,您可以使用DD轉儲圖像的相關部分和 hexdump 以正確查看最後一個位元組:
dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C
對於我的 Ubuntu 12.04 x64 LiveCD,這給出:
00000000 32 30 31 32 30 38 32 33 31 37 31 33 34 37 30 30 |2012082317134700|
00000010 00 |.|
所以圖像是創建於2012 年 8 月 23 日,格林尼治標準時間 17:13:47.00。
UDF
該標準規定了備案錄音日期和時間作為主卷創建時刻的二進位表示,寫入卷的第 376 到 387 個位元組主卷描述符採用以下格式:
TT tT YY YY MM DD HH MM SS CC BB AA
這裡,每一對是一個八位元組(位元組),即XX由兩個十六進位數組成。
TT tT是一個小尾數法16位元整數,表示時間戳記的類型和時區。12 個最低有效位元 (
TTT) 保存時區,編碼為與 UTC 的偏移量(以分鐘為單位)作為有符號整數 (二進制補碼表示法)。四個最高有效位元 (
t) 保存類型(始終1,表示當地時間)。MM、DD、HHMM、SS、 、CC和BB是AA無符號 8 位元整數,表示創建的月、日、時分、秒、厘秒、百微秒和微秒。
同樣,UDF 不使用光碟的前 32 KiB。此外,以下 32 KiB 位元組是為舊版 ISO 9660 檔案系統保留的(如果存在,可能會佔用更多空間)。
在「純」UDF 光碟上,指令
dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C
將顯示編碼的時間戳記。
出於測試目的,我使用 K3b 建立了 UDF 映像。命令的輸出dd如下
00000000 4c 1f dd 07 03 01 0f 0b 11 00 00 00 |L...........|
0000000c
分析:
0xF4C(十六進位)大於 0x800,因此為負數。從 0xF4C 剩下的 0x1000 給出十進位的 -180。這意味著時區是 UTC - 3。
0x07DD 是十進制的 2013 年(創建年份)。
其餘八位元組可以按字面意思解釋為十六進位表示形式(0x0F、0x0B 和 0x11 分別是十進位的 15、11 和 17)。
這意味著該圖像是在2013 年 3 月 1 日 15:11:17.000000 UTC - 3。
注意事項
篡改這個日期很簡單。所需要做的就是在創建映像之前更改電腦的日期。
如果映像是在實際刻錄到光碟之前建立的,則會記錄先前的時間。因此,該字段只是所有者自己創建的光碟的潛在證據。
答案2
是的,有:date屬性time就是您正在尋找的。只需更改資料夾的視圖並檢查文件的屬性即可。
一分鐘前檢查了 W7 和 Mac OS X 上的磁碟。
