CN109344579A - 一种时间可信度的判定方法及装置 - Google Patents
一种时间可信度的判定方法及装置 Download PDFInfo
- Publication number
- CN109344579A CN109344579A CN201811292831.5A CN201811292831A CN109344579A CN 109344579 A CN109344579 A CN 109344579A CN 201811292831 A CN201811292831 A CN 201811292831A CN 109344579 A CN109344579 A CN 109344579A
- Authority
- CN
- China
- Prior art keywords
- file
- time
- detected
- mft
- confidence level
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000004048 modification Effects 0.000 claims abstract description 53
- 238000012986 modification Methods 0.000 claims abstract description 53
- 238000010586 diagram Methods 0.000 description 8
- 230000008901 benefit Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/16—Program or content traceability, e.g. by watermarking
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种时间可信度的判定方法及装置,涉及电子数据取证鉴定领域,包括:S1:获取NTFS文件系统中的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;S2:比较所述MFT修改时间与所述其他时间戳;S3:若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。本发明技术方案通过对NTFS文件系统下的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳进行分析,能够有效且可靠地判定操作系统时间可信度和文件时间戳可信度,便于高效排除不可信的电子数据。
Description
技术领域
本发明涉及电子数据取证鉴定领域,特别涉及一种时间可信度的判定方法及装置。
背景技术
时间问题是电子数据取证的核心问题之一,也是所有鉴定分析的基础,一旦时间无法准确确定,则研判的结果的可信度会打折扣甚者完全丧失。时间的篡改,主要有两种方式,一种是修改系统时间,从而导致文件记录的时间被动错误;另一种是直接篡改文件的时间戳信息。对于前者,主要通过系统的日志信息来判断;而后者,操作系统层面基本没有方法判断。
目前判断操作系统时间是否可信(可能被篡改),主要通过操作系统的事件日志来判断。操作系统的时间发生改变后,一般会有事件日志记录此活动,后续查找操作系统中对应的日志记录即可确定操作系统时间被更改这一活动。但是上述判定方法存在以下问题:事件日志一般无法无限记录,记录条数达到一定量时一般会循环覆盖早期的记录;系统事件日志可能主动或被动清空的情况。以上情况都会导致常规的判定方法失效,因此,现有技术中缺乏能够有效且可靠地判定操作系统时间可信度和文件时间戳可信度的方法。
发明内容
为了克服如上所述的技术问题,本发明提出一种时间可信度的判定方法及装置,通过对NTFS文件系统下的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳进行分析,能够有效且可靠地判定操作系统时间可信度和文件时间戳可信度,便于高效排除不可信的电子数据。
本发明所采用的具体技术方案如下:
第一方面,本发明提出一种时间可信度的判定方法,包括:
S1:获取NTFS文件系统中的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;
S2:比较所述MFT修改时间与所述其他时间戳;
S3:若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。
在一种可能的实现中,所述步骤S1包括:
在元文件$MFT中查找所述待检测文件的文件记录;
通过所述文件记录的相关属性信息中获取待检测文件的MFT修改时间以及所述待检测文件的其他时间戳。
在一种可能的实现中,所述待检测文件的时间戳包括:所述待检测文件的创建时间、修改时间和访问时间中的一个或多个。
第二方面,本发明提出一种时间可信度的判定装置,包括处理器和存储器,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如第一方面所述的时间可信度的判定方法。
第三方面,本发明提出一种计算机可读存储介质,所述存储介质中存储有至少一段程序,所述至少一段程序由所述处理器执行以实现如第一方面所述的时间可信度的判定方法。
本发明提供的技术方案带来的有益效果是:
本发明首先通过获取待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;然后比较所述MFT修改时间与所述其他时间戳;若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。本发明所提技术方案通过对NTFS文件系统下的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳进行分析,能够有效且可靠地判定操作系统时间可信度和文件时间戳可信度,便于高效排除不可信的电子数据。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明的一种时间可信度的判定方法的示意图;
图2所示为本发明一种文件记录的部分标准属性结构示意图;
图3所示为本发明另一种时间可信度的判定方法的示意图;
图4示出了本发明实施例所涉及的文件时间戳可信度的判定装置示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方案作进一步地详细描述。
容易理解的是,在NTFS文件系统中,每个文件在元文件$MFT中均有一条记录,当某个文件的MFT文件记录发生改变时,MFT修改时间就会更新。当文件的创建时间、修改时间、访问时间中的任意一个发生改变,都会导致MFT跟着变化,所以在正常情况下,文件的MFT修改时间一定不会晚于该文件的创建时间、修改时间、访问时间中的任意一个。
如图1示出了本发明的一种时间可信度的判定方法的示意图,示出了该方法的具体实施步骤,包括:
在步骤101中,获取待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;
需要说明的是,所述待检测文件的时间戳除了包括MFT修改时间,还包括其他时间戳:文件创建时间、修改时间及访问时间信息。
在一种可能的实现中,在元文件$MFT中查找所述待检测文件的文件记录;然后通过所述文件记录的相关属性信息中获取待检测文件的MFT修改时间以及所述待检测文件的其他时间戳。元文件$MFT(Master File Table,主文件表)是NTFS文件系统下最重要的一个文件,它记录着对应分区上所有文件和目录的文件名、安全属性、文件大小和存储位置等信息。$MFT由一系列文件记录组成,每条记录由记录头和属性部分组成,如图2所示为本发明一种文件记录的部分标准属性结构示意图,包括:除了文件创建时间、修改时间及访问时间信息,还存储有MFT记录修改时间,当该文件属性发生变化时,该MFT记录修改时间一般都会随之变化。因此,通过查找元文件$MFT中所述待检测文件的文件记录中的相关属性信息,可以获取到待检测文件的MFT修改时间以及所述待检测文件的其他时间戳。
在步骤102中,比较所述MFT修改时间与所述其他时间戳;
需要说明的是,用户可以仅选择文件时的创建时间、修改时间、访问时间中的一个与该文件的MFT修改时间进行比对,也可以选择多个时间与MFT修改时间进行比对。
元文件$MFT的时间属性是以64位Windows文件时间格式存储的,即基于1601年1月1日00:00:00,以100纳秒递增的UTC(Universal Time Coordinated,协调世界时)时间格式,也可以通过相关事件解释器转换为其他形式,便于更加直观地显示。但是需要说明的是,通过步骤101获取到的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳在比较之前,应保证所有参与比较的多个时间的格式一致。
在步骤103中,若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。
若所述MFT修改时间早于所述其他时间戳,造成这一结果的原因有两种,可能是文件的时间戳被直接篡改过,也可能因为在某个时间点或时间段操作系统时间错误从而导致该文件时间戳被动错误。无论这一现象是由哪种原因造成的,都可以得出结论:该文件时间戳可疑且与产生上述任意时间的宿主操作系统中的一个或多个时间存在问题。
容易理解的是,若MFT修改时间早于待检测文件的其他时间戳,这里的其他时间戳,可选的,还包括创建时间、访问时间、修改时间中的至少一种,则可以认为该文件的时间戳不可信,但本发明所提技术方案对文件的创建时间、访问时间、修改时间中的一个或多个时间中哪些是篡改的,并不做判断,这是因为通常为可靠保证待检测文件的数据完全可信,在这种情况下,该文件的数据已经不可信,没有必要再作进一步判断。
进一步地,正常情况下,文件的MFT修改时间永远不可能早于创建时间、修改时间、访问时间中的任意一个或多个,而一旦出现MFT修改时间早于创建时间、修改时间、访问时间中的任意一个或多个的情况,则必定出现过操作系统时间“回退”的情况。系统时间“回退”有三种可能:①之前操作系统时间是正确的,后来系统时间往回调了;②之前操作系统时间比正确的时间快,后来系统时间往回调了,且回调后的时间是正确的;③之前操作系统时间比正确的时间快,后来系统时间往回调了,且回调后的时间是错误的。无论这一现象是由哪种原因造成的,都可以得出结论:操作系统时间不可信。
另外,如果存在多个操作系统对该文件进行操作过,则这些操作系统时间都不可信,这些操作系统中至少有一个时间是错误的,但具体地,这些操作系统中具体哪些有问题在本发明所提技术方案中不做判断。
因此,在本步骤103中若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。
本发明首先通过获取待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;然后比较所述MFT修改时间与所述其他时间戳;若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。本发明所提技术方案通过对NTFS文件系统下的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳进行分析,能够有效且可靠地判定操作系统时间可信度和文件时间戳可信度,便于高效排除不可信的电子数据。
由于图1所对应的步骤101至103是针对NTFS文件系统进行的时间可信度的判定,在此之前,还可以识别所述待检测文件所在的文件系统类型,若该文件系统类型为NTFS文件系统,才进行步骤101至步骤103,这样能够进一步提高判定效率。
如图3所示为本发明另一种时间可信度的判定方法的示意图,示出了该方法的具体实施步骤,包括:
在步骤300中,识别所述待检测文件所在的文件系统类型;
在步骤301中,判断所述文件系统类型是否为NTFS系统,若是,则进入所述步骤S1,否则,结束对所述待检测文件的判定;
在步骤302中,获取NTFS文件系统中的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;
在步骤303中,比较所述MFT修改时间与所述其他时间戳;
在步骤304中,若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。
上述步骤302至步骤304同图1中对应的步骤101至步骤103,具体内容参见相应部分的说明,此处不再赘述。
如图4示出了本发明实施例所涉及的文件时间戳可信度的判定装置示意图,该装置主要包括处理器401、存储器402和总线403,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如上述实施例所述的文件时间戳可信度的判定方法。
处理器401包括一个或一个以上处理核心,处理器401通过总线403与存储器402相连,存储器402用于存储程序指令,处理器401执行存储器402中的程序指令时实现上述方法实施例提供的文件时间戳可信度的判定方法。
可选的,存储器402可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随时存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
本发明还提供一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由所述处理器加载并执行以实现上述方法实施例提供的文件时间戳可信度的判定方法。
可选的,本发明还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的文件时间戳可信度的判定方法。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储与一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用于以限制发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种时间可信度的判定方法,其特征在于,包括:
S1:获取NTFS文件系统中的待检测文件的MFT修改时间以及所述待检测文件的其他时间戳;
S2:比较所述MFT修改时间与所述其他时间戳;
S3:若所述MFT修改时间早于所述其他时间戳,则判定所述待检测文件的时间戳不可信且操作过所述待检测文件的操作系统的时间也不可信。
2.根据权利要求1所述的时间可信度的判定方法,其特征在于,所述S1包括:
在元文件$MFT中查找所述待检测文件的文件记录;
通过所述文件记录的相关属性信息中获取待检测文件的MFT修改时间以及所述待检测文件的其他时间戳。
3.根据权利要求1或2任一所述的时间可信度的判定方法,其特征在于,所述待检测文件的其他时间戳包括:所述待检测文件的创建时间、修改时间和访问时间中的一个或多个。
4.一种时间可信度的判定装置,其特征在于,包括处理器和存储器,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如权利要求1至3任一所述的时间可信度的判定方法。
5.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一段程序,所述至少一段程序由所述处理器执行以实现如权利要求1至3任一所述的时间可信度的判定方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811292831.5A CN109344579A (zh) | 2018-11-01 | 2018-11-01 | 一种时间可信度的判定方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811292831.5A CN109344579A (zh) | 2018-11-01 | 2018-11-01 | 一种时间可信度的判定方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109344579A true CN109344579A (zh) | 2019-02-15 |
Family
ID=65312844
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811292831.5A Pending CN109344579A (zh) | 2018-11-01 | 2018-11-01 | 一种时间可信度的判定方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109344579A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111131200A (zh) * | 2019-12-11 | 2020-05-08 | 新华三大数据技术有限公司 | 网络安全性检测方法及装置 |
CN111611577A (zh) * | 2020-05-22 | 2020-09-01 | 北京金山云网络技术有限公司 | 鉴权方法、装置、系统、电子设备及计算机可读存储介质 |
CN112733187A (zh) * | 2021-01-11 | 2021-04-30 | 重庆邮电大学 | 一种基于时间属性的数字取证分析鉴别方法 |
CN113032343A (zh) * | 2021-03-23 | 2021-06-25 | 杭州安恒信息技术股份有限公司 | 一种文件修改时间可信度判定方法、装置和存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007150447A (ja) * | 2005-11-24 | 2007-06-14 | Murata Mach Ltd | 電子文書管理装置および電子文書管理プログラム |
CN102194071A (zh) * | 2011-05-20 | 2011-09-21 | 嘉兴云歌信息科技有限公司 | 基于时域的数据取证及交叉分析方法 |
CN103139043A (zh) * | 2011-11-25 | 2013-06-05 | 司法部司法鉴定科学技术研究所 | 一种电子邮件真实性判断方法 |
CN104268461A (zh) * | 2014-09-16 | 2015-01-07 | 华为技术有限公司 | 一种可信度量方法及装置 |
-
2018
- 2018-11-01 CN CN201811292831.5A patent/CN109344579A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007150447A (ja) * | 2005-11-24 | 2007-06-14 | Murata Mach Ltd | 電子文書管理装置および電子文書管理プログラム |
CN102194071A (zh) * | 2011-05-20 | 2011-09-21 | 嘉兴云歌信息科技有限公司 | 基于时域的数据取证及交叉分析方法 |
CN103139043A (zh) * | 2011-11-25 | 2013-06-05 | 司法部司法鉴定科学技术研究所 | 一种电子邮件真实性判断方法 |
CN104268461A (zh) * | 2014-09-16 | 2015-01-07 | 华为技术有限公司 | 一种可信度量方法及装置 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111131200A (zh) * | 2019-12-11 | 2020-05-08 | 新华三大数据技术有限公司 | 网络安全性检测方法及装置 |
CN111131200B (zh) * | 2019-12-11 | 2022-06-28 | 新华三大数据技术有限公司 | 网络安全性检测方法及装置 |
CN111611577A (zh) * | 2020-05-22 | 2020-09-01 | 北京金山云网络技术有限公司 | 鉴权方法、装置、系统、电子设备及计算机可读存储介质 |
CN111611577B (zh) * | 2020-05-22 | 2023-10-03 | 北京金山云网络技术有限公司 | 鉴权方法、装置、系统、电子设备及计算机可读存储介质 |
CN112733187A (zh) * | 2021-01-11 | 2021-04-30 | 重庆邮电大学 | 一种基于时间属性的数字取证分析鉴别方法 |
CN113032343A (zh) * | 2021-03-23 | 2021-06-25 | 杭州安恒信息技术股份有限公司 | 一种文件修改时间可信度判定方法、装置和存储介质 |
CN113032343B (zh) * | 2021-03-23 | 2022-08-16 | 杭州安恒信息技术股份有限公司 | 一种文件修改时间可信度判定方法、装置和存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109344579A (zh) | 一种时间可信度的判定方法及装置 | |
US9262390B2 (en) | Methods and systems for annotating electronic documents | |
US10459804B2 (en) | Database rollback using WAL | |
CN107729558B (zh) | 文件系统碎片整理的方法、系统、装置及计算机存储介质 | |
CN100498796C (zh) | 逻辑日志生成方法、数据库备份/恢复方法与系统 | |
US8346729B2 (en) | Business-semantic-aware information lifecycle management | |
US9262473B2 (en) | Trail log analysis system, medium storing trail log analysis program, and trail log analysis method | |
US20060004839A1 (en) | Method and system for data processing with data replication for the same | |
EP3438845A1 (en) | Data updating method and device for a distributed database system | |
CN109426604A (zh) | 代码开发的监控方法及设备 | |
JP2009251853A (ja) | メモリデータベース、メモリデータベースシステム及びメモリデータベース更新方法 | |
CN105446825A (zh) | 数据库测试方法及装置 | |
CN104899114A (zh) | 一种固态硬盘上的连续时间数据保护方法 | |
Casey | Digital stratigraphy: contextual analysis of file system traces in forensic science | |
EP3149588B1 (en) | System and method for recording the beginning and ending of job level activity in a mainframe computing environment | |
CN108170766B (zh) | 一种保证数据库一致性的cdp备份与恢复方法 | |
CN109388617A (zh) | 一种文件时间戳可信度的判定方法及装置 | |
CN105653385B (zh) | 一种车载录像方法 | |
CN109690485B (zh) | 基于数据结构的垃圾回收方法、计算机及存储介质 | |
CN106557572A (zh) | 一种安卓应用程序文件的提取方法及系统 | |
CN110471623B (zh) | 硬盘文件写入方法、装置、计算机设备和存储介质 | |
KR102123616B1 (ko) | 충돌 페이지 리스트를 이용한 병렬 저널링 방법 및 그 장치 | |
CN108140047B (zh) | 数据处理装置和方法以及数据容器结构 | |
Cho | An intuitive computer forensic method by timestamp changing patterns | |
JP2014164382A (ja) | 情報記録方法及び情報記録装置及びプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190215 |