CN109388617A - 一种文件时间戳可信度的判定方法及装置 - Google Patents
一种文件时间戳可信度的判定方法及装置 Download PDFInfo
- Publication number
- CN109388617A CN109388617A CN201811283492.4A CN201811283492A CN109388617A CN 109388617 A CN109388617 A CN 109388617A CN 201811283492 A CN201811283492 A CN 201811283492A CN 109388617 A CN109388617 A CN 109388617A
- Authority
- CN
- China
- Prior art keywords
- timestamp
- time stamp
- file
- confidence level
- determination method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Abstract
本发明公开了一种文件时间戳可信度的判定方法及装置,涉及电子数据取证鉴定领域。该方法包括:获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;确定所述时间戳末尾零的个数为N;当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。本发明技术方案能够有效判定文件的时间戳信息是否被篡改,可以方便地对大量文件进行检测,提高了文件电子数据的可靠性,填补了文件时间戳可信度判定方法的空白。
Description
技术领域
本发明涉及电子数据取证鉴定领域,特别涉及一种文件时间戳可信度的判定方法及装置。
背景技术
时间问题是电子数据取证的核心问题之一,也是所有鉴定分析的基础,一旦时间无法准确确定,则研判的结果的可信度会打折扣甚者完全丧失。时间的篡改,主要有两种方式,一种是修改系统时间,从而导致文件记录的时间被动错误;另一种是直接篡改文件的时间戳信息。
目前判断操作系统时间是否可信(可能被篡改),主要通过操作系统的事件日志来判断。而对于后者,即直接篡改文件的时间戳信息的情况,目前尚未有效的判定方法。
发明内容
为了克服如上所述的技术问题,本发明提出一种文件时间戳可信度的判定方法及装置,能够有效判定文件的时间戳信息是否被篡改,可以方便地对大量文件进行检测,提高了文件电子数据的可靠性,填补了文件时间戳可信度判定方法的空白。
本发明所采用的具体技术方案如下:
第一方面,本发明提出一种文件时间戳可信度的判定方法,包括:
获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;
确定所述时间戳末尾零的个数为N;
当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。
进一步地,所述获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制之前,还包括:
识别文件系统类型,确定需要处理的时间戳类型。
进一步地,所述确定所述时间戳末尾零的个数为N之前,还包括:
将待判定文件在文件系统中所记录的时间戳转换为十进制。
进一步地,所述确定所述时间戳末尾零的个数为N包括:
记T为获取待判定文件在文件系统中所记录的时间戳,
S1:设R为T对10进行取余运算的结果,即R=T%10;
S2:若R≠0,进行下一步操作,否则T=T/10,N=N+1,重新进行S1的操作;
S3:确定所述时间戳T末尾零的个数为N。
第二方面,本发明提出一种文件时间戳可信度的判定装置,包括处理器和存储器,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如第一方面所述的文件时间戳可信度的判定方法。
第三方面,本发明提出一种计算机可读存储介质,所述存储介质中存储有至少一段程序,所述至少一段程序由所述处理器执行以实现如第一方面所述的文件时间戳可信度的判定方法。
本发明提供的技术方案带来的有益效果是:
本发明首先通过获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;确定所述时间戳末尾零的个数为N;当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。这是因为在正常情况下,即文件的时间戳未被篡改的情况下,待判定文件的时间戳末尾不会有太多零,如果时间戳末尾零的位数大于某个阈值,可以判定所述待判定文件时间戳不可信。该方法能够有效判定文件的时间戳信息是否被篡改,可以方便地对大量文件进行检测,提高了文件电子数据的可靠性,填补了文件时间戳可信度判定方法的空白。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示为本发明一种文件时间戳可信度的判定方法的示意图;
图2示出了另一种文件时间戳可信度的判定方法示意图;
图3所示为一种文件时间戳可信度的判定方法的流程图;
图4所示为本发明实施例中某NTFS文件系统中的文件信息示意图;
图5所示为本发明中一种查找文件时间戳的示意图;
图6示出了本发明实施例所涉及的文件时间戳可信度的判定装置示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方案作进一步地详细描述。
一般来说,文件系统的时间精度远高于秒,认为修改过的时间戳,精度比较低,绝大多数情况下只能到秒。设某个文件系统时间戳的精度为m秒,m通常远小于1,文件时间戳十进制记录值是整秒的概率为也就是说,绝大多数情况下,时间戳末尾不会有太多零,如果时间戳末尾零的位数超过某个阈值,可以判定所述待判定文件时间戳不可信。
如图1所示为本发明一种文件时间戳可信度的判定方法的示意图,示出了该方法的具体实施步骤,包括:
需要说明的是,文件系统是操作系统用于明确存储设备或分区上的文件的方法和数据结构,即在存储设备上组织文件的方法,而不同的文件系统组织文件的方式并不一样,但是都会记录系统中文件的各种信息,其中便包括文件的时间戳。
在步骤101中,获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;
在可能的实际操作中,文件的时间戳为记录文件被创建、修改或访问等操作的时间点,而文件系统记录时间的形式通常为文件系统会以起点时间到该时间点流逝的时间来记录文件的时间戳,其中,某特定文件系统中可以记录的最早的时间值,在一种可能的实际操作中,NTFS文件系统起点时间为1601年1月1日0点0分。
在步骤102中,确定所述时间戳末尾零的个数为N;
通过步骤101获取到待判定文件在文件系统中所记录的时间戳,并转换为十进制之后,在本步骤中确定所述时间戳末尾零的个数。在一种可能的实现中,所述确定所述时间戳末尾零的个数为N包括:
记T为获取待判定文件在文件系统中所记录的时间戳,
S1:设R为T对10进行取余运算的结果,即R=T%10;
S2:若R≠0,进行下一步操作,否则T=T/10,N=N+1,重新进行S1的操作;
S3:确定所述时间戳T末尾零的个数为N。
在步骤103中,当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。
在本步骤中的预设阈值n,在一种可能的实现中,预设阈值n是根据所述文件系统类型的时间精度确定,所述预设阈值n为正整数。需要说明的是,这里的文件时间戳精度是指文件时间戳可以分辨的最小粒度。在一种更具体的实际操作中,所述文件系统为NTFS文件系统,所述文件系统类型的时间精度为100纳秒,所述预设阈值n为7,也就是说,在此种实施过程中,当通过步骤102确定得到的时间戳末尾零的个数N>=7时,待判定文件便会被判定为时间戳不可信,不能作为可信的电子数据。
需要说明的是,图1所对应的实施例所描述的文件时间戳可信度的判定方法可以通过自动获取指定文件的时间戳信息来进行判定文件时间戳的可信度,即能够自动实现步骤101至步骤103,从而实现对大量文件进行检测,提高了判定文件电子数据的可信度的效率和可靠性。
本实施例首先通过获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;确定所述时间戳末尾零的个数为N;当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。这是因为在正常情况下,即文件的时间戳未被篡改的情况下,待判定文件的时间戳末尾不会有太多零,如果时间戳末尾零的位数大于某个阈值,可以判定所述待判定文件时间戳不可信。该方法能够有效判定文件的时间戳信息是否被篡改,可以方便地对大量文件进行检测,提高了文件电子数据的可靠性,填补了文件时间戳可信度判定方法的空白。
如图2示出了另一种文件时间戳可信度的判定方法示意图,示出了该方法的具体实施步骤,包括:
在步骤200中,识别文件系统类型,确定需要处理的时间戳类型。
需要说明的是,在不同的文件系统中,时间戳的精度并不一定相同,而且,对于同类型的文件系统,不同的时间戳类型,时间戳的精度也不一定相同。因此,在执行下述步骤之前,需要先识别文件系统类型,确定需要处理的时间戳类型。
在步骤201中,获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;
在步骤202中,确定所述时间戳末尾零的个数为N;
在步骤203中,当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。
上述步骤201至步骤203同图1中的步骤101至步骤103,具体参见图1的相关实施例说明,这里便不再赘述。
如图3所示为一种文件时间戳可信度的判定方法的流程图,示出了该方法的具体实施流程,包括:
在步骤301中,识别系统文件类型,确定需要处理的时间戳类型;
在步骤302中,设置n为某个常数,设置N=0;
在步骤303中,获取某个时间戳在文件系统中的记录值;
在步骤304中,将获取到的时间戳记录值转换为十进制,记为T;
在步骤305中,设R为T对10进行取余运算的结果,即R=T%10;
在步骤306中,判断R是否等于零,若R等于零,进入步骤307,若R不等于零,进入步骤308,;
在步骤307中,若T=T/10,N=N+1;
在步骤308中,判断N是否小于n,若N<n,给出未发现该时间戳的可疑处的结论,若N>=n,给出该时间戳不可信的结论。
进一步地,为验证本发明所提技术方案的可行性,在一种可能的实际操作中,当如图3所对应的实施例中的文件系统为NTFS文件系统时,需要说明的是,NTFS文件系统文件时间戳记录格式为FILETIME,FILETIME格式时间是一串64位的16进制值,记录的是自1601年1月1日0点0分以来流逝的时间,单位为100纳秒。首先采用Bulkfilechanger、NewFileTime、Bulk Rename Utility、WinHex等工具中任意一种对文件的时间戳进行修改,使用本申请中描述的方法进行检验,均可成功判定,具体实施过程如下:
如图4所示为本发明实施例中某NTFS文件系统中的文件信息示意图,包括文件名“新建文本文档.txt”,Windows操作系统显示其创建时间为2018年8月5日17:51:36(UTC+8:00)等信息。
基于上述信息,进行以下的判定步骤:
第一步:识别文件系统为NTFS,选定该文件的创建时间;
第二步:设置n=7,N=0;
第三步:通过分析文件系统中该文件的元数据,获取该文件的创建时间的原始记录值,为01D3E456A7F44400。需要说明的是,该文件的文件记录在磁盘中的偏移量为0x31050,长度为8字节,以小端(Little-Ending)形式记录,即0044F4A756E4D301,将其转换为大端(Big-Ending)形式,即01D3E456A7F44400,如图5所示为本发明中一种查找文件时间戳的示意图;
第四步,将01D3E456A7F44400转换为十进制,即T=131699874960000000;
第五步,R=131699874960000000%10=0;
第六步,T=131699874960000000/10=13169987496000000,N=0+1=1;
易知,经过7次循环,R=6≠0,N=7;
第七步,N与n的关系满足N≥n,判断此文件的创建时间不可信。
如图6示出了本发明实施例所涉及的文件时间戳可信度的判定装置示意图,该装置主要包括处理器601、存储器602和总线603,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如上述实施例所述的文件时间戳可信度的判定方法。
处理器601包括一个或一个以上处理核心,处理器601通过总线603与存储器602相连,存储器602用于存储程序指令,处理器601执行存储器602中的程序指令时实现上述方法实施例提供的文件时间戳可信度的判定方法。
可选的,存储器602可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随时存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
本发明还提供一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由所述处理器加载并执行以实现上述方法实施例提供的文件时间戳可信度的判定方法。
可选的,本发明还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的文件时间戳可信度的判定方法。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储与一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用于以限制发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种文件时间戳可信度的判定方法,其特征在于,包括:
获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;
确定所述时间戳末尾零的个数为N;
当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。
2.根据权利要求1所述的文件时间戳可信度的判定方法,其特征在于,所述获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制之前,还包括:
识别文件系统类型,确定需要处理的时间戳类型。
3.根据权利要求2所述的文件时间戳可信度的判定方法,其特征在于,所述预设阈值n是根据所述文件系统类型的时间精度确定,所述预设阈值n为正整数。
4.根据权利要求3所述的文件时间戳可信度的判定方法,其特征在于,所述文件系统为NTFS文件系统,所述文件系统类型的时间精度为100纳秒,所述预设阈值n为7。
5.根据权利要求1所述的文件时间戳可信度的判定方法,其特征在于,所述时间戳包括:创建时间、修改时间或访问时间。
6.根据权利要求5所述的文件时间戳可信度的判定方法,其特征在于,所述确定所述时间戳末尾零的个数为N包括:
记T为获取待判定文件在文件系统中所记录的时间戳,
S1:设R为T对10进行取余运算的结果,即R=T%10;
S2:若R≠0,进行下一步操作,否则T=T/10,N=N+1,重新进行S1的操作;
S3:确定所述时间戳T末尾零的个数为N。
7.一种文件时间戳可信度的判定装置,其特征在于,包括处理器和存储器,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如权利要求1至6任一所述的文件时间戳可信度的判定方法。
8.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一段程序,所述至少一段程序由所述处理器执行以实现如权利要求1至6任一所述的文件时间戳可信度的判定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811283492.4A CN109388617B (zh) | 2018-10-31 | 2018-10-31 | 一种文件时间戳可信度的判定方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811283492.4A CN109388617B (zh) | 2018-10-31 | 2018-10-31 | 一种文件时间戳可信度的判定方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109388617A true CN109388617A (zh) | 2019-02-26 |
| CN109388617B CN109388617B (zh) | 2020-10-30 |
Family
ID=65428060
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811283492.4A Active CN109388617B (zh) | 2018-10-31 | 2018-10-31 | 一种文件时间戳可信度的判定方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109388617B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112733187A (zh) * | 2021-01-11 | 2021-04-30 | 重庆邮电大学 | 一种基于时间属性的数字取证分析鉴别方法 |
| CN113032343A (zh) * | 2021-03-23 | 2021-06-25 | 杭州安恒信息技术股份有限公司 | 一种文件修改时间可信度判定方法、装置和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101720455A (zh) * | 2007-06-08 | 2010-06-02 | 桑迪士克公司 | 具有用于改善时间估值的精确度的电路系统的存储器装置及其使用的方法 |
| CN102646259A (zh) * | 2012-02-16 | 2012-08-22 | 南京邮电大学 | 一种抗攻击的鲁棒多倍零水印方法 |
| US20160292189A1 (en) * | 2015-03-31 | 2016-10-06 | Advanced Digital Broadcast S.A. | System and method for managing content deletion |
-
2018
- 2018-10-31 CN CN201811283492.4A patent/CN109388617B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101720455A (zh) * | 2007-06-08 | 2010-06-02 | 桑迪士克公司 | 具有用于改善时间估值的精确度的电路系统的存储器装置及其使用的方法 |
| CN102646259A (zh) * | 2012-02-16 | 2012-08-22 | 南京邮电大学 | 一种抗攻击的鲁棒多倍零水印方法 |
| US20160292189A1 (en) * | 2015-03-31 | 2016-10-06 | Advanced Digital Broadcast S.A. | System and method for managing content deletion |
Non-Patent Citations (1)
| Title |
|---|
| 王玲玲: "抗合谋攻击的无可信中心门限签名方案", 《计算机系统应用》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112733187A (zh) * | 2021-01-11 | 2021-04-30 | 重庆邮电大学 | 一种基于时间属性的数字取证分析鉴别方法 |
| CN113032343A (zh) * | 2021-03-23 | 2021-06-25 | 杭州安恒信息技术股份有限公司 | 一种文件修改时间可信度判定方法、装置和存储介质 |
| CN113032343B (zh) * | 2021-03-23 | 2022-08-16 | 杭州安恒信息技术股份有限公司 | 一种文件修改时间可信度判定方法、装置和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109388617B (zh) | 2020-10-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10423474B2 (en) | Performing diagnostic tracing of an executing application to identify suspicious pointer values | |
| US20220075794A1 (en) | Similarity analyses in analytics workflows | |
| CN107808094A (zh) | 检测文件中的恶意代码的系统和方法 | |
| US10459804B2 (en) | Database rollback using WAL | |
| Kim et al. | Forensic analysis of android phone using ext4 file system journal log | |
| CN106528794B (zh) | 一种基于档案管理系统的电子文件归档方法 | |
| CN109344579A (zh) | 一种时间可信度的判定方法及装置 | |
| Geier | The differences between SSD and HDD technology regarding forensic investigations | |
| CA2816781A1 (en) | Identifying client states | |
| CN109388617A (zh) | 一种文件时间戳可信度的判定方法及装置 | |
| CN111382126B (zh) | 删除文件及阻碍文件恢复的系统和方法 | |
| CN110737892B (zh) | 一种针对apc注入的检测方法和相关装置 | |
| US11526506B2 (en) | Related file analysis | |
| Billard et al. | Making sense of unstructured flash-memory dumps | |
| CN106557572A (zh) | 一种安卓应用程序文件的提取方法及系统 | |
| JP2011158966A (ja) | 情報処理装置、情報処理方法、および情報処理プログラム | |
| US8407187B2 (en) | Validating files using a sliding window to access and correlate records in an arbitrarily large dataset | |
| US9116915B1 (en) | Incremental scan | |
| CN108140047B (zh) | 数据处理装置和方法以及数据容器结构 | |
| CN103699838A (zh) | 病毒的识别方法及设备 | |
| CN109002710A (zh) | 一种检测方法、装置及计算机可读存储介质 | |
| CN103049534A (zh) | 一种快速销毁数据库数据的方法 | |
| Park et al. | An enhanced security framework for reliable Android operating system | |
| JP2014164382A (ja) | 情報記録方法及び情報記録装置及びプログラム | |
| Guo et al. | A function oriented methodology to validate and verify forensic copy function of digital forensic tools |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |