CN109388617B - 一种文件时间戳可信度的判定方法及装置 - Google Patents

一种文件时间戳可信度的判定方法及装置 Download PDF

Info

Publication number
CN109388617B
CN109388617B CN201811283492.4A CN201811283492A CN109388617B CN 109388617 B CN109388617 B CN 109388617B CN 201811283492 A CN201811283492 A CN 201811283492A CN 109388617 B CN109388617 B CN 109388617B
Authority
CN
China
Prior art keywords
timestamp
file
determining
file system
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811283492.4A
Other languages
English (en)
Other versions
CN109388617A (zh
Inventor
胡壮
赵庸
仲丽华
卢建斌
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xiamen Meiya Pico Information Co Ltd
Original Assignee
Xiamen Meiya Pico Information Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xiamen Meiya Pico Information Co Ltd filed Critical Xiamen Meiya Pico Information Co Ltd
Priority to CN201811283492.4A priority Critical patent/CN109388617B/zh
Publication of CN109388617A publication Critical patent/CN109388617A/zh
Application granted granted Critical
Publication of CN109388617B publication Critical patent/CN109388617B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种文件时间戳可信度的判定方法及装置,涉及电子数据取证鉴定领域。该方法包括:获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;确定所述时间戳末尾零的个数为N;当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。本发明技术方案能够有效判定文件的时间戳信息是否被篡改,可以方便地对大量文件进行检测,提高了文件电子数据的可靠性,填补了文件时间戳可信度判定方法的空白。

Description

一种文件时间戳可信度的判定方法及装置
技术领域
本发明涉及电子数据取证鉴定领域,特别涉及一种文件时间戳可信度的判定方法及装置。
背景技术
时间问题是电子数据取证的核心问题之一,也是所有鉴定分析的基础,一旦时间无法准确确定,则研判的结果的可信度会打折扣甚者完全丧失。时间的篡改,主要有两种方式,一种是修改系统时间,从而导致文件记录的时间被动错误;另一种是直接篡改文件的时间戳信息。
目前判断操作系统时间是否可信(可能被篡改),主要通过操作系统的事件日志来判断。而对于后者,即直接篡改文件的时间戳信息的情况,目前尚未有效的判定方法。
发明内容
为了克服如上所述的技术问题,本发明提出一种文件时间戳可信度的判定方法及装置,能够有效判定文件的时间戳信息是否被篡改,可以方便地对大量文件进行检测,提高了文件电子数据的可靠性,填补了文件时间戳可信度判定方法的空白。
本发明所采用的具体技术方案如下:
第一方面,本发明提出一种文件时间戳可信度的判定方法,包括:
获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;
确定所述时间戳末尾零的个数为N;
当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。
进一步地,所述获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制之前,还包括:
识别文件系统类型,确定需要处理的时间戳类型。
进一步地,所述确定所述时间戳末尾零的个数为N之前,还包括:
将待判定文件在文件系统中所记录的时间戳转换为十进制。
进一步地,所述确定所述时间戳末尾零的个数为N包括:
记T为获取待判定文件在文件系统中所记录的时间戳,
S1:设R为T对10进行取余运算的结果,即R=T%10;
S2:若R≠0,进行下一步操作,否则T=T/10,N=N+1,重新进行S1的操作;
S3:确定所述时间戳T末尾零的个数为N。
第二方面,本发明提出一种文件时间戳可信度的判定装置,包括处理器和存储器,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如第一方面所述的文件时间戳可信度的判定方法。
第三方面,本发明提出一种计算机可读存储介质,所述存储介质中存储有至少一段程序,所述至少一段程序由所述处理器执行以实现如第一方面所述的文件时间戳可信度的判定方法。
本发明提供的技术方案带来的有益效果是:
本发明首先通过获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;确定所述时间戳末尾零的个数为N;当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。这是因为在正常情况下,即文件的时间戳未被篡改的情况下,待判定文件的时间戳末尾不会有太多零,如果时间戳末尾零的位数大于某个阈值,可以判定所述待判定文件时间戳不可信。该方法能够有效判定文件的时间戳信息是否被篡改,可以方便地对大量文件进行检测,提高了文件电子数据的可靠性,填补了文件时间戳可信度判定方法的空白。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示为本发明一种文件时间戳可信度的判定方法的示意图;
图2示出了另一种文件时间戳可信度的判定方法示意图;
图3所示为一种文件时间戳可信度的判定方法的流程图;
图4所示为本发明实施例中某NTFS文件系统中的文件信息示意图;
图5所示为本发明中一种查找文件时间戳的示意图;
图6示出了本发明实施例所涉及的文件时间戳可信度的判定装置示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方案作进一步地详细描述。
一般来说,文件系统的时间精度远高于秒,认为修改过的时间戳,精度比较低,绝大多数情况下只能到秒。设某个文件系统时间戳的精度为m秒,m通常远小于1,文件时间戳十进制记录值是整秒的概率为
Figure BDA0001848529940000021
也就是说,绝大多数情况下,时间戳末尾不会有太多零,如果时间戳末尾零的位数超过某个阈值,可以判定所述待判定文件时间戳不可信。
如图1所示为本发明一种文件时间戳可信度的判定方法的示意图,示出了该方法的具体实施步骤,包括:
需要说明的是,文件系统是操作系统用于明确存储设备或分区上的文件的方法和数据结构,即在存储设备上组织文件的方法,而不同的文件系统组织文件的方式并不一样,但是都会记录系统中文件的各种信息,其中便包括文件的时间戳。
在步骤101中,获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;
在可能的实际操作中,文件的时间戳为记录文件被创建、修改或访问等操作的时间点,而文件系统记录时间的形式通常为文件系统会以起点时间到该时间点流逝的时间来记录文件的时间戳,其中,某特定文件系统中可以记录的最早的时间值,在一种可能的实际操作中,NTFS文件系统起点时间为1601年1月1日0点0分。
在步骤102中,确定所述时间戳末尾零的个数为N;
通过步骤101获取到待判定文件在文件系统中所记录的时间戳,并转换为十进制之后,在本步骤中确定所述时间戳末尾零的个数。在一种可能的实现中,所述确定所述时间戳末尾零的个数为N包括:
记T为获取待判定文件在文件系统中所记录的时间戳,
S1:设R为T对10进行取余运算的结果,即R=T%10;
S2:若R≠0,进行下一步操作,否则T=T/10,N=N+1,重新进行S1的操作;
S3:确定所述时间戳T末尾零的个数为N。
在步骤103中,当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。
在本步骤中的预设阈值n,在一种可能的实现中,预设阈值n是根据所述文件系统类型的时间精度确定,所述预设阈值n为正整数。需要说明的是,这里的文件时间戳精度是指文件时间戳可以分辨的最小粒度。在一种更具体的实际操作中,所述文件系统为NTFS文件系统,所述文件系统类型的时间精度为100纳秒,所述预设阈值n为7,也就是说,在此种实施过程中,当通过步骤102确定得到的时间戳末尾零的个数N>=7时,待判定文件便会被判定为时间戳不可信,不能作为可信的电子数据。
需要说明的是,图1所对应的实施例所描述的文件时间戳可信度的判定方法可以通过自动获取指定文件的时间戳信息来进行判定文件时间戳的可信度,即能够自动实现步骤101至步骤103,从而实现对大量文件进行检测,提高了判定文件电子数据的可信度的效率和可靠性。
本实施例首先通过获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;确定所述时间戳末尾零的个数为N;当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。这是因为在正常情况下,即文件的时间戳未被篡改的情况下,待判定文件的时间戳末尾不会有太多零,如果时间戳末尾零的位数大于某个阈值,可以判定所述待判定文件时间戳不可信。该方法能够有效判定文件的时间戳信息是否被篡改,可以方便地对大量文件进行检测,提高了文件电子数据的可靠性,填补了文件时间戳可信度判定方法的空白。
如图2示出了另一种文件时间戳可信度的判定方法示意图,示出了该方法的具体实施步骤,包括:
在步骤200中,识别文件系统类型,确定需要处理的时间戳类型。
需要说明的是,在不同的文件系统中,时间戳的精度并不一定相同,而且,对于同类型的文件系统,不同的时间戳类型,时间戳的精度也不一定相同。因此,在执行下述步骤之前,需要先识别文件系统类型,确定需要处理的时间戳类型。
在步骤201中,获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制;
在步骤202中,确定所述时间戳末尾零的个数为N;
在步骤203中,当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。
上述步骤201至步骤203同图1中的步骤101至步骤103,具体参见图1的相关实施例说明,这里便不再赘述。
如图3所示为一种文件时间戳可信度的判定方法的流程图,示出了该方法的具体实施流程,包括:
在步骤301中,识别系统文件类型,确定需要处理的时间戳类型;
在步骤302中,设置n为某个常数,设置N=0;
在步骤303中,获取某个时间戳在文件系统中的记录值;
在步骤304中,将获取到的时间戳记录值转换为十进制,记为T;
在步骤305中,设R为T对10进行取余运算的结果,即R=T%10;
在步骤306中,判断R是否等于零,若R等于零,进入步骤307,若R不等于零,进入步骤308,;
在步骤307中,若T=T/10,N=N+1;
在步骤308中,判断N是否小于n,若N<n,给出未发现该时间戳的可疑处的结论,若N>=n,给出该时间戳不可信的结论。
进一步地,为验证本发明所提技术方案的可行性,在一种可能的实际操作中,当如图3所对应的实施例中的文件系统为NTFS文件系统时,需要说明的是,NTFS文件系统文件时间戳记录格式为FILETIME,FILETIME格式时间是一串64位的16进制值,记录的是自1601年1月1日0点0分以来流逝的时间,单位为100纳秒。首先采用Bulkfilechanger、NewFileTime、Bulk Rename Utility、WinHex等工具中任意一种对文件的时间戳进行修改,使用本申请中描述的方法进行检验,均可成功判定,具体实施过程如下:
如图4所示为本发明实施例中某NTFS文件系统中的文件信息示意图,包括文件名“新建文本文档.txt”,Windows操作系统显示其创建时间为2018年8月5日17:51:36(UTC+8:00)等信息。
基于上述信息,进行以下的判定步骤:
第一步:识别文件系统为NTFS,选定该文件的创建时间;
第二步:设置n=7,N=0;
第三步:通过分析文件系统中该文件的元数据,获取该文件的创建时间的原始记录值,为01D3E456A7F44400。需要说明的是,该文件的文件记录在磁盘中的偏移量为0x31050,长度为8字节,以小端(Little-Ending)形式记录,即0044F4A756E4D301,将其转换为大端(Big-Ending)形式,即01D3E456A7F44400,如图5所示为本发明中一种查找文件时间戳的示意图;
第四步,将01D3E456A7F44400转换为十进制,即T=131699874960000000;
第五步,R=131699874960000000%10=0;
第六步,T=131699874960000000/10=13169987496000000,N=0+1=1;
易知,经过7次循环,R=6≠0,N=7;
第七步,N与n的关系满足N≥n,判断此文件的创建时间不可信。
如图6示出了本发明实施例所涉及的文件时间戳可信度的判定装置示意图,该装置主要包括处理器601、存储器602和总线603,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如上述实施例所述的文件时间戳可信度的判定方法。
处理器601包括一个或一个以上处理核心,处理器601通过总线603与存储器602相连,存储器602用于存储程序指令,处理器601执行存储器602中的程序指令时实现上述方法实施例提供的文件时间戳可信度的判定方法。
可选的,存储器602可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随时存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
本发明还提供一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由所述处理器加载并执行以实现上述方法实施例提供的文件时间戳可信度的判定方法。
可选的,本发明还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的文件时间戳可信度的判定方法。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储与一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用于以限制发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (6)

1.一种文件时间戳可信度的判定方法,其特征在于,包括:
获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制,所述时间戳包括:创建时间、修改时间或访问时间;
确定所述时间戳末尾零的个数为N,包括:
记T为获取待判定文件在文件系统中所记录的时间戳,
S1:设R为T对10进行取余运算的结果,即R=T%10;
S2:若R≠0,进行下一步操作,否则T=T/10,N=N+1,重新进行S1的操作;
S3:确定所述时间戳T末尾零的个数为N;
当所述N>=预设阈值n时,判定所述待判定文件时间戳不可信。
2.根据权利要求1所述的文件时间戳可信度的判定方法,其特征在于,所述获取待判定文件在文件系统中所记录的时间戳,并将所述时间戳转换为十进制之前,还包括:
识别文件系统类型,确定需要处理的时间戳类型。
3.根据权利要求2所述的文件时间戳可信度的判定方法,其特征在于,所述预设阈值n是根据所述文件系统类型的时间精度确定,所述预设阈值n为正整数。
4.根据权利要求3所述的文件时间戳可信度的判定方法,其特征在于,所述文件系统为NTFS文件系统,所述文件系统类型的时间精度为100纳秒,所述预设阈值n为7。
5.一种文件时间戳可信度的判定装置,其特征在于,包括处理器和存储器,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如权利要求1至4任一所述的文件时间戳可信度的判定方法。
6.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一段程序,所述至少一段程序由所述处理器执行以实现如权利要求1至4任一所述的文件时间戳可信度的判定方法。
CN201811283492.4A 2018-10-31 2018-10-31 一种文件时间戳可信度的判定方法及装置 Active CN109388617B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811283492.4A CN109388617B (zh) 2018-10-31 2018-10-31 一种文件时间戳可信度的判定方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811283492.4A CN109388617B (zh) 2018-10-31 2018-10-31 一种文件时间戳可信度的判定方法及装置

Publications (2)

Publication Number Publication Date
CN109388617A CN109388617A (zh) 2019-02-26
CN109388617B true CN109388617B (zh) 2020-10-30

Family

ID=65428060

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811283492.4A Active CN109388617B (zh) 2018-10-31 2018-10-31 一种文件时间戳可信度的判定方法及装置

Country Status (1)

Country Link
CN (1) CN109388617B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112733187B (zh) * 2021-01-11 2022-10-11 重庆邮电大学 一种基于时间属性的数字取证分析鉴别方法
CN113032343B (zh) * 2021-03-23 2022-08-16 杭州安恒信息技术股份有限公司 一种文件修改时间可信度判定方法、装置和存储介质
CN113515740B (zh) * 2021-04-23 2024-07-02 杭州安恒信息技术股份有限公司 一种Timestomp类攻击的检测方法、装置和介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101720455A (zh) * 2007-06-08 2010-06-02 桑迪士克公司 具有用于改善时间估值的精确度的电路系统的存储器装置及其使用的方法
CN102646259A (zh) * 2012-02-16 2012-08-22 南京邮电大学 一种抗攻击的鲁棒多倍零水印方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3076283B1 (en) * 2015-03-31 2019-08-14 Advanced Digital Broadcast S.A. System and method for managing content deletion

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101720455A (zh) * 2007-06-08 2010-06-02 桑迪士克公司 具有用于改善时间估值的精确度的电路系统的存储器装置及其使用的方法
CN102646259A (zh) * 2012-02-16 2012-08-22 南京邮电大学 一种抗攻击的鲁棒多倍零水印方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
抗合谋攻击的无可信中心门限签名方案;王玲玲;《计算机系统应用》;20130115;第22卷(第1期);第204-207页 *

Also Published As

Publication number Publication date
CN109388617A (zh) 2019-02-26

Similar Documents

Publication Publication Date Title
CN109388617B (zh) 一种文件时间戳可信度的判定方法及装置
CN102737205B (zh) 保护包括可编辑元数据的文件
CN110019067B (zh) 一种日志分析方法及系统
CN112769775B (zh) 一种威胁情报关联分析方法、系统、设备及计算机介质
US20220335013A1 (en) Generating readable, compressed event trace logs from raw event trace logs
US20170199889A1 (en) Method and device for identifying junk picture files
CN114760131B (zh) 一种面向返回式编程流量的特征提取方法、装置及设备
CN112988776B (zh) 文本解析规则的更新方法、装置、设备及可读存储介质
US20100082690A1 (en) System And Method For Recording Files Of Data
CN114201370B (zh) 一种网页文件监控方法及系统
CN110647507A (zh) 一种文件系统写状态确定方法、装置、电子设备及介质
CN115174519A (zh) 一种网站IPv6改造评判的方法及设备
CN108415814B (zh) 自动记录字段变化方法、应用服务器及计算机可读存储介质
CN107832021A (zh) 一种电子证据固定方法、终端设备及存储介质
Darnowski et al. Selected methods of file carving and analysis of digital storage media in computer forensics
CN111459411B (zh) 数据迁移方法、装置、设备及存储介质
CN115858483A (zh) 日志分析与管理方法、终端及计算机可读存储介质
CN109067726B (zh) 建站系统识别方法、装置、电子设备及存储介质
CN114679339B (zh) 一种物联网资产评分方法、装置、设备及介质
CN111625853A (zh) 一种快照处理方法、装置、设备及可读存储介质
CN109409040B (zh) 一种操作系统时间可信度的判定方法及装置
CN113722351B (zh) Oracle数据库访问流量中的参数还原方法及装置
CN118157910B (zh) 用于测试的钓鱼邮件的生成方法和装置、设备及介质
CN118551405B (zh) 一种数据生命周期的安全管理方法、装置及存储介质
CN113553587B (zh) 一种文件检测方法、装置、设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant