CN109409040B - 一种操作系统时间可信度的判定方法及装置 - Google Patents
一种操作系统时间可信度的判定方法及装置 Download PDFInfo
- Publication number
- CN109409040B CN109409040B CN201811283483.5A CN201811283483A CN109409040B CN 109409040 B CN109409040 B CN 109409040B CN 201811283483 A CN201811283483 A CN 201811283483A CN 109409040 B CN109409040 B CN 109409040B
- Authority
- CN
- China
- Prior art keywords
- operating system
- attribute
- system time
- time
- elements
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000008859 change Effects 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 8
- 230000000694 effects Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/16—Program or content traceability, e.g. by watermarking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3495—Performance evaluation by tracing or monitoring for systems
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Security & Cryptography (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种操作系统时间可信度的判定方法及装置,涉及电子数据取证鉴定领域。该方法包括:选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和y,所述属性x和y是与所述操作系统时间相关的属性,所述集合A中的元素总数量大于等于2;分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。该方法能够可靠地判定操作系统时间是否被篡改,特别是在无法通过事件日志来进行判定的情况下仍然有效。
Description
技术领域
本发明涉及电子数据取证鉴定领域,特别涉及一种操作系统时间可信度的判定方法及装置。
背景技术
时间问题是电子数据取证的核心问题之一,也是所有鉴定分析的基础,一旦时间无法准确确定,则研判的结果的可信度会打折扣甚者完全丧失。时间的篡改,主要有两种方式,一种是修改系统时间,从而导致文件记录的时间被动错误;另一种是直接篡改文件的时间戳信息。
目前判断操作系统时间是否可信(可能被篡改),主要通过操作系统的事件日志来判断。操作系统的时间发生改变后,一般会有事件日志记录此活动,后续查找操作系统中对应的日志记录即可确定操作系统时间被更改这一活动。
但是上述判定方法存在以下问题:事件日志一般无法无限记录,记录条数达到一定量时一般会循环覆盖早期的记录;系统事件日志可能主动或被动清空的情况,以上情况都会导致常规的判定方法失效。
发明内容
为了克服如上所述的技术问题,本发明提出一种操作系统时间可信度的判定方法及装置,能够可靠地判定操作系统时间是否被篡改,特别是在无法通过事件日志来进行判定的情况下仍然有效。
本发明所采用的具体技术方案如下:
第一方面,本发明提出一种操作系统时间可信度的判定方法,包括:
选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和y,所述属性x和y是与所述操作系统时间相关的属性,所述集合A中的元素总数量大于等于2;
分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;
比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。
进一步地,所述属性x是与操作系统时间直接相关的属性,所述属性y是与操作系统时间间接相关的属性。
进一步地,所述属性x和y满足:
所述属性x为操作系统生成该集合A中各元素时的时间值,所述属性y为自增的序列号;
所述集合A中各元素的所述x属性和y属性的值均各不相同。
进一步地,所述属性y为自增的序列号,所述序列号是不连续的。
进一步地,所述集合A为更新序列号码日志,所述属性x和属性y分别对应该日志中每条记录中的发生更改时的时间和自增的序列号。
第二方面,本发明提出一种操作系统时间可信度的判定装置,包括处理器和存储器,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如第一方面所述的操作系统时间可信度的判定方法。
第三发明,本发明提出一种计算机可读存储介质,所述存储介质中存储有至少一段程序,所述至少一段程序由所述处理器执行以实现如第一方面所述的操作系统时间可信度的判定方法。
本发明提供的技术方案带来的有益效果是:
本发明首先通过选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和y,所述集合A中的元素总数量大于等于2;然后分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;最后比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。该方法能够可靠地判定操作系统时间是否被篡改,特别是在无法通过事件日志来进行判定的情况下仍然有效。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1所示为本发明一种操作系统时间可信度的判定方法实施例示意图;
图2所示为本发明另一种操作系统时间可信度的判定方法实施例示意图;
图3所示为本发明又一种操作系统时间可信度的判定方法实施例示意图;
图4示出了本发明实施例所涉及的操作系统时间可信度的判定装置示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方案作进一步地详细描述。
如图1所示为本发明一种操作系统时间可信度的判定方法实施例示意图,示出了该方法的具体实施步骤,包括:
在步骤101中,选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和y,所述属性x和y是与所述操作系统时间相关的属性,所述集合A中的元素总数量大于等于2;
需要说明的是,在实际操作中,所述集合A中的元素总数量应大于等于2,否则,A1和A2的比较结果将始终无法区别操作系统时间是否被篡改过。
进一步地,所述属性x是与操作系统时间直接相关的属性,可选的,可以是操作系统时间,所述属性y是与操作系统时间间接相关的属性,可选的,可以是与操作系统时间增减性相同的序列。
在步骤102中,分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;
在一种可能的实现中,对于不同集合A中的元素,所述属性x和y的增减性相同,分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2,需要说明的是,所述集合A为无序集合,这里的排序列表A1和A2为有序列表,A1和A2中的元素可以包含属性x和y,也可以仅包含属性x和y中的一个。
在步骤103中,比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。
在一种可能的实现中,对于有序列表A1和A2中的元素可以包含属性x和y,也可以仅包含属性x和y中的一个时,逐一比较两个列表中的各个元素是否相同来判定A1是否等于A2,进而判定操作系统时间是否可信,若A1不等于A2,则判定操作系统时间不可信。
本发明首先通过选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和y;然后分别根据所述属性x和y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;最后比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。该方法能够可靠地判定操作系统时间是否被篡改,特别是在无法通过事件日志来进行判定的情况下仍然有效。
在一种可能的实现中,Windows操作系统中事件日志由大量evt文件(Windows XP)或evtx文件(Windows Vista及之后版本)组成,下文统称事件日志文件。事件日志文件由若干条事件日志记录组成,每条记录都保存着本条记录产生时操作系统时间及唯一编号。同一个事件日志文件中,该唯一编号是递增的,下一条事件日志记录的编号永远比上一条记录大1,分别对应了图1所对应实施例中的属性x和属性y。
如图2所示为本发明另一种操作系统时间可信度的判定方法实施例示意图,示出了该方法的具体实施步骤,包括:
在步骤201中,选定上述事件日志文件为与操作系统时间相关的集合A,所述事件日志文件包括本条记录产生时操作系统时间及自增编号;
在步骤202中,分别根据本条记录产生时操作系统时间及唯一编号对所述上述事件日志文件中的所有记录进行排序,得到排序列表A1和A2;
在步骤203中,比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。
本实施例首先通过选定与操作系统时间相关的事件日志文件,所述事件日志文件中的元素至少包含本条记录产生时操作系统时间及唯一编号;然后分别根据所述本条记录产生时操作系统时间及唯一编号对所述事件日志文件中的所有记录进行排序,得到排序列表A1和A2;最后比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。该方法能够根据事件日志文件的记录情况,可靠地判定操作系统时间是否被篡改,特别是在无法通过事件日志来进行判定的情况下仍然有效。
在一种可能的实现中,NTFS文件系统从3.0版本(随Windows 2000操作系统推出)开始,增加了USN日志(Update Sequence Number Journal,更新序列号码日志)功能。USN日志记录了该卷中所有文件的改动记录,每条记录都包括一个自增(但不一定连续)的序列号和发生更改时的时间,分别对应了图1所对应实施例中的属性x和属性y。
如图3所示为本发明又一种操作系统时间可信度的判定方法实施例示意图,示出了该方法的具体实施步骤,包括:
在步骤301中,选定上述USN日志为与操作系统时间相关的集合A,所述USN日志中的每条记录包括一个自增的序列号和记录发生更改时的时间;
在步骤302中,分别根据自增的序列号和记录发生更改时的时间对所述上述USN日志中的所有记录进行排序,得到排序列表A1和A2;
在步骤303中,比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。
本实施例首先通过选定与操作系统时间相关的USN日志(Update SequenceNumber Journal,更新序列号码日志),所述USN日志中的元素至少包含一个自增的序列号和记录发生更改时的时间;然后分别根据所述一个自增的序列号和记录发生更改时的时间对所述USN日志中的所有记录进行排序,得到排序列表A1和A2;最后比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。该方法能够根据USN日志的记录情况,可靠地判定操作系统时间是否被篡改,特别是在无法通过事件日志来进行判定的情况下仍然有效。
如图4示出了本发明实施例所涉及的操作系统时间可信度的判定装置示意图,该装置主要包括处理器401、存储器402和总线403,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如上述实施例所述的操作系统时间可信度的判定方法。
处理器401包括一个或一个以上处理核心,处理器401通过总线403与存储器402相连,存储器402用于存储程序指令,处理器401执行存储器402中的程序指令时实现上述方法实施例提供的操作系统时间可信度的判定方法。
可选的,存储器402可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随时存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。
本发明还提供一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集由所述处理器加载并执行以实现上述方法实施例提供的操作系统时间可信度的判定方法。
可选的,本发明还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述各方面所述的操作系统时间可信度的判定方法。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储与一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用于以限制发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (6)
1.一种操作系统时间可信度的判定方法,其特征在于,包括:
选定与操作系统时间相关的集合A,所述集合A中的元素至少包含两个不同的属性x和属性y,所述属性x是与操作系统时间直接相关的属性,所述属性y是与操作系统时间间接相关的属性,具体的,所述属性x为操作系统生成该集合A中各元素时的时间值,所述属性y为自增的序列号,所述集合A中的元素总数量大于等于2,且所述集合A中各元素的所述属性x和属性y的值均各不相同;
分别根据所述属性x和属性y对所述集合A中的所有元素进行排序,得到排序列表A1和A2;
比较所述A1和A2,若A1不等于A2,则判定操作系统时间不可信。
2.根据权利要求1所述的操作系统时间可信度的判定方法,其特征在于,所述序列号是不连续的。
3.根据权利要求2所述的操作系统时间可信度的判定方法,其特征在于,所述集合A为更新序列号码日志,所述属性x和属性y分别对应该日志中每条记录中的发生更改时的时间和自增的序列号。
4.根据权利要求2所述的操作系统时间可信度的判定方法,其特征在于,所述集合A为事件日志文件,所述属性x和属性y分别对应该日志中本条记录产生时操作系统时间及自增编号。
5.一种操作系统时间可信度的判定装置,其特征在于,包括处理器和存储器,所述存储器存储有至少一段程序,所述程序由所述处理器执行以实现如权利要求1至4任一所述的操作系统时间可信度的判定方法。
6.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一段程序,所述至少一段程序由处理器执行以实现如权利要求1至4任一所述的操作系统时间可信度的判定方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811283483.5A CN109409040B (zh) | 2018-10-31 | 2018-10-31 | 一种操作系统时间可信度的判定方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811283483.5A CN109409040B (zh) | 2018-10-31 | 2018-10-31 | 一种操作系统时间可信度的判定方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109409040A CN109409040A (zh) | 2019-03-01 |
CN109409040B true CN109409040B (zh) | 2020-09-11 |
Family
ID=65470727
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811283483.5A Active CN109409040B (zh) | 2018-10-31 | 2018-10-31 | 一种操作系统时间可信度的判定方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109409040B (zh) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000194679A (ja) * | 1998-12-28 | 2000-07-14 | Nec Corp | 時刻同期システム |
CA2775799A1 (en) * | 2001-03-08 | 2002-09-26 | Sony Corporation | Data recorder |
JP4125169B2 (ja) * | 2003-04-02 | 2008-07-30 | キヤノン株式会社 | ログ取得方法 |
CN104935465B (zh) * | 2015-06-17 | 2019-01-01 | 北京京东尚科信息技术有限公司 | 客户端应用程序的日志产生方法和装置以及服务器、介质 |
CN105656590B (zh) * | 2015-12-30 | 2019-03-08 | 天维尔信息科技股份有限公司 | 实现时间同步的方法、装置和系统 |
-
2018
- 2018-10-31 CN CN201811283483.5A patent/CN109409040B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN109409040A (zh) | 2019-03-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200382302A1 (en) | Security privilege escalation exploit detection and mitigation | |
CN108446407B (zh) | 基于区块链的数据库审计方法和装置 | |
CN110300984B (zh) | 改变在区块链中记录的智能合约 | |
CN107341401B (zh) | 一种基于机器学习的恶意应用监测方法和设备 | |
US8621278B2 (en) | System and method for automated solution of functionality problems in computer systems | |
US20060010337A1 (en) | Management system and management method | |
US20170169223A1 (en) | Detection system and method thereof | |
US20120296878A1 (en) | File set consistency verification system, file set consistency verification method, and file set consistency verification program | |
US20100050257A1 (en) | Confirmation method of api by the information at call-stack | |
US10063409B2 (en) | Management of computing machines with dynamic update of applicability rules | |
US20230205755A1 (en) | Methods and systems for improved search for data loss prevention | |
AU2019371545B9 (en) | Management system, acquisition device and management method | |
US9684781B2 (en) | Determine authorization of a software product based on a first and second authorization item | |
CN106529281A (zh) | 一种可执行文件处理方法及装置 | |
JP7411902B1 (ja) | 情報処理装置、情報処理装置の制御方法及びプログラム | |
US11526506B2 (en) | Related file analysis | |
CN109409040B (zh) | 一种操作系统时间可信度的判定方法及装置 | |
CN116094849B (zh) | 应用访问鉴权方法、装置、计算机设备和存储介质 | |
US20080281777A1 (en) | Complex datastore with bitmap checking | |
CN105278993B (zh) | 一种基于Linux系统的驱动模块升级方法及装置 | |
US11381602B2 (en) | Security design planning support device | |
CN111460436A (zh) | 一种基于区块链的非结构化数据操作方法和系统 | |
CN112306823B (zh) | 磁盘管理方法、系统、设备及计算机可读存储介质 | |
CN112463071B (zh) | 一种选择性清除非易失存储的方法及装置 | |
CN115185426B (zh) | 树形控件的数据处理方法、装置及计算设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |