情况是这样的:我去度假了几个星期,但在离开之前,我把硬盘从电脑里拿出来藏在另一个地方。周一回来后,我把硬盘放回电脑里,右键单击不同的文件查看它们的属性。有趣的是,在我离开的这段时间里,有几个文件被访问过!我右键单击硬盘上不同位置的不同文件,所有这些可疑文件都在一定时间范围内被访问过(2011 年 1 月 9 日,星期日,大约在下午 6:52:16 - 下午 7:16:25 之间)。其中一些文件被访问的时间完全相同——精确到秒。这让我想到,一定有人在我的硬盘上搜索了某些类型的文件,然后将所有这些文件复制到其他介质上。此硬盘上的 Windows 7 安装受密码保护,但未加密,因此他们可以轻松地将硬盘放入机柜/烤面包机中,以便从另一台计算机访问它。
当然,我并没有右键单击计算机上的每个文件,但我对不同的文件夹进行了右键单击。例如,我浏览的其中一个文件夹包含不同类型的文件:.mp3、prproj、.3gp、.mpg、.wmv、.xmp、.txt,文件大小从 2 KB 到 29.7 MB 不等(此文件夹中还有一个子文件夹,其中只包含 .jpg 文件);但是,此文件夹及其子文件夹中所有这些不同类型的文件(包括子文件夹中的 .jpg 文件)都已被访问过,但 .mp3 文件除外(如果有区别的话,此文件夹中的 .mp3 文件大小从 187 KB 到 4881 KB 不等)。此外,这个仅包含 .jpg 文件(准确地说是 48 个 .jpg 文件)的子文件夹在此期间未被访问 - 只访问了其中的 .jpg 文件 -(下午 6:57:03 - 下午 6:57:08 之间)。
我认为这可能是某种 Windows 故障,显示了错误的访问日期,但随后我查看了所有这些文件的“创建日期”和“修改日期”,它们的创建/修改日期和时间都是正确的。
我首先想到的是,有人将硬盘放入机柜/烤面包机中并查看了文件;但后来我意识到这是不可能的,因为其中几个文件是在精确到秒的同一时间被访问的。所以这让我想到,唯一可能改变“访问日期”的另一种方式就是有人复制了文件。
这有可能是某种 Windows 故障吗?还是确实有人访问了我的文件(如果有人访问了我的文件,那么我说的这些文件被复制了,对吗?)?还有其他可能吗?
我是否需要使用任何类型的取证工具来进一步调查此事(如果需要,使用哪些工具),或者是否有其他方法可以确定我回来前一天的那段时间内发生了什么?或者,我在 Windows 7 上看到的内容是否足够好(即准确且真实)?
答案1
首先,这取决于驱动器上的文件系统。可能是 NTFS(FAT 更糟糕)。
NTFS 卷的上次访问时间不太准确。
这是有关文件时间的 MSDN 页面的摘录:
并非所有文件系统都能记录创建时间和上次访问时间,而且并非所有文件系统都以相同的方式记录它们。例如,FAT 上的创建时间精度为 10 毫秒,而写入时间精度为 2 秒,访问时间精度为 1 天,因此它实际上是访问日期。NTFS 文件系统将文件的上次访问时间的更新延迟最多 1 小时。
这里有更多信息:http://msdn.microsoft.com/en-us/library/ms724290(v=vs.85).aspx
此外,从这里:http://msdn.microsoft.com/en-us/library/aa365739(v=vs.85).aspx
ftLastAccessTime FILETIME 结构。
对于文件来说,该结构指定了文件最后一次被读取或写入的时间。
对于目录,该结构指定了目录的创建时间。
对于文件和目录,指定的日期都是正确的,但时间始终设置为午夜。如果底层文件系统不支持上次访问时间,则此成员为零。
所有这些使我认为,首先,最后访问时间非常不准确,其次,将该时间的更新写入媒体可能会被推迟长达一个小时,这使得该属性的可信度相当可疑。
答案2
我在对软件安装进行故障排除调查时,总是使用上次访问和创建的日期时间戳。在我使用它的过程中,它非常准确NTFS文件系统。
由于您离开后一些日期发生了变化,我推测可能是几天到一个星期的时间,我想有人确实访问了这些文件。
计算机取证团队使用这些时间戳和其他数据来重建用户在计算机上所做的事情。
经验丰富的黑客在侵入计算机系统时会使用软件来改变这些时间戳以掩盖他们的踪迹。
最后访问的是在 Windows 7 中默认禁用。