由于我管辖范围内的一些案件,我经常看到法院指定的专家确定文件的创建日期。真的可以通过软件方法做到这一点吗?如果在文件创建之前使用了虚假日期,如何证明创建日期?
我知道这部分不属于超级用户,但无论如何,我也很好奇任何硬件方法是否可以起作用(任何精度 - 日/月/年)。
答案1
文件元数据(例如创建日期、上次修改时间等)通常与文件系统有关,因此可以使用各种软件工具进行修改。事实上,有些文件系统甚至不跟踪创建日期(例如,Linux 上的 ext3 跟踪 ctime,这实际上是 inode 更改时间)。跟踪的元数据也会因文件系统而异 - 有些文件系统允许跟踪上次访问时间、上次修改时间等。
更改此“创建时间”(或上次修改时间、上次访问时间等)的难易程度可能因文件系统而异,但一般来说,这些时间戳并不是 100% 可靠的。
我想在法庭环境中,一方会试图暗示上次修改时间是有效的,因为用户具有某种能力,其他文件的时间匹配等,而另一方会试图指出文件时间可以伪造。我不清楚哪一方能成功说服法官或陪审团,让他们相信可能发生的事情,除非找到某种“确凿证据”,表明时间戳不一致(例如,在同一天创建的两个文件的日期相差很大,或者文件的副本是在假定的创建日期之前通过电子邮件发送的,等等)。
我不知道有任何硬件方法可以跟踪修改。
答案2
免责声明:我不是医生
取证的第一条规则是,如果你把所有读数精确到第 N 位,它们都是可疑的,所以你总是需要建立一个合理水平来接受调查结果。是的,日期可以修改,但这需要相当老练的用户才能做到,而且他们几乎肯定需要物理访问系统才能做到这一点。
在许多情况下,计算机确实必须对某些属性做出最佳猜测。例如,如果我将文件从 SAMBA 文件服务器复制到工作站,则文件创建日期是我粘贴文件的时间,而不是最初创建文件的时间。在我的情况下,它确实保持了正确的修改时间,但情况可能并非总是如此。
使用日志文件系统时,您可能有一些证据表明文件元数据被修改或伪造,但这意味着文件系统控制着修改,但这种可能性不大。您应该始终检查备份的内容以及页面文件和 hiberfill.sys 以查找在日期信息上不一致的文件数据副本。
从长远来看,如果嫌疑人是或者以某种方式与非常熟练的技术人员或攻击者有联系,那么就要对日期产生怀疑。如果他们几乎不知道如何重建 Windows 并且不知道 Linux 是什么,那么日期很可能是正确的,除非有外部代理在起作用。
答案3
任何拥有或可以 [物理] 访问计算机的人都可以随心所欲地使用它。包括伪造创建日期文件。
专家确定该日期的唯一方法是将该文件或其副本存储在由受信任的第三方管理的其他地方。
例如,在云中的某个地方,使用云提供商的备份来检查内容。或者在 X 日期邮寄给某人,收件人知道它是在 X 日期或之前创建的。
但任何能够访问(远程或物理)计算机的人都可以更改该文件的明显创建日期。他们可能没有这样做的技能,但这不是任何法庭都会接受的。(类似于“但法官大人。我不知道枪是如何工作的。所以我不可能射杀他”)。