CN112733187A - 一种基于时间属性的数字取证分析鉴别方法 - Google Patents

一种基于时间属性的数字取证分析鉴别方法 Download PDF

Info

Publication number
CN112733187A
CN112733187A CN202110031814.1A CN202110031814A CN112733187A CN 112733187 A CN112733187 A CN 112733187A CN 202110031814 A CN202110031814 A CN 202110031814A CN 112733187 A CN112733187 A CN 112733187A
Authority
CN
China
Prior art keywords
time
file
rule
mft
recorded
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110031814.1A
Other languages
English (en)
Other versions
CN112733187B (zh
Inventor
陈龙
张程
董振兴
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chongqing University of Post and Telecommunications
Original Assignee
Chongqing University of Post and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chongqing University of Post and Telecommunications filed Critical Chongqing University of Post and Telecommunications
Priority to CN202110031814.1A priority Critical patent/CN112733187B/zh
Publication of CN112733187A publication Critical patent/CN112733187A/zh
Application granted granted Critical
Publication of CN112733187B publication Critical patent/CN112733187B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及一种基于时间属性的数字取证分析鉴别方法,属于信息安全领域。首先,提取电子数据并解析文件元数据包含的时间戳信息。然后,根据常见操作对文件时间戳的影响规则对文件进行基础性判断。再然后,进一步地基于$LogFile判断$MFT时间创建记录是否有被篡改的可能。接着,基于$USNjrnl判断$MFT时间修改记录是否被篡改的可能。其次,基于Prefetch files记录的时间戳判断是否有时间伪造工具使用痕迹。最后,基于Link files记录的时间戳判断$MFT时间是否被篡改。本发明有助于案件中对单一证据的不确定性进行真实性鉴别,提高取证分析结果的可信性。

Description

一种基于时间属性的数字取证分析鉴别方法
技术领域
本发明属于信息安全领域,涉及一种基于时间属性的数字取证分析鉴别方法。
背景技术
取证调查人员在调查过程中特别依赖于元数据,如时间戳。反取证技术和工具也越来越多地被用来规避数字取证的调查,比如针对时间戳的篡改。时间篡改是有意地更改硬盘驱动器、U盘、闪存卡或其他存储设备文件系统中文件或目录的创建、修改或访问的时间戳。由于时间戳对于安全事件重建和时间线创建都至关重要,因此从电子存储介质中提取的时间戳的真实性和可靠性对取证调查至关重要。由于它们的重要性,以及使用当前的开放源码工具更改时间戳相对容易的事实,这一证据的可靠性在法庭上可能会受到质疑。而另一方面,检测时间戳操作也不是那么简单的,存在着极大的不确定性。因此,进行鉴别电子数据时间属性的研究对于数字取证调查、维护网络治安具有积极的社会意义。
目前针对检测时间戳操纵技术的方法研究有限。时间戳操纵技术是修改时间戳值以使文件具有欺骗性的虚假表示。时间戳是反映文件最后一次修改、最后一次访问、创建或写入时间的元数据。这些在NTFS文件系统中被称为MACE值。对这些元数据的更改可能会在分析取证证据时造成意外的混淆和时间线的丢失。仅通过分析$MFT中的值是无法检测时间戳操纵的,需要更强大的方法。除了分析$MFT,在Windows上,检查人员还可以使用哪些工件来识别NTFS中的时间戳操纵是需要进一步深入研究的。
发明内容
有鉴于此,本发明的目的在于提供一种基于时间属性的数字取证分析鉴别方法。
为达到上述目的,本发明提供如下技术方案:
一种基于时间属性的数字取证分析鉴别方法,该方法包括以下步骤:
S1:提取相关时间信息;包括获取电子数据,并解析文件元数据包含的时间戳信息;同时,收集并验证承载该电子数据的电子设备的系统时间信息;
S2:分析文件时间信息;文件元数据中记录的$SI和$FN中的八个时间戳都小于或等于$MFT记录修改时间,并且时间戳在用户在线的系统时间范围内;若不符合当前规则,则该文件时间戳信息不可信;
S3:文件时间基础性判断;根据不同操作行为和方式对文件时间的影响规则,对文件时间信息进行可信性检查,判断文件元数据中记录的$SI和$FN中的八个时间戳是否符合规则;若不符合当前规则,则该文件时间戳信息不可信;
S4:基于$LogFile判断$MFT时间创建记录是否被篡改;根据$LogFile中所记载的日志序列号LSN判断文件创建时间是否符合条件;若不符合当前规则,则该文件时间戳信息不可信;
S5:基于$USNjrnl判断$MFT时间修改记录是否被篡改;根据$USNjrnl中所记载的属性BASIC_INFO_CHANGE信息判断文件元数据更改时间是否符合条件;若不符合当前规则,则该文件时间戳信息不可信;
S6:基于Prefetch files记录的时间戳判断$MFT时间是否被篡改;根据Prefetchfiles记录的时间篡改软件运行的时间记录是否满足条件;若不符合当前规则,则该文件时间戳信息不可信;
S7:基于Link files记录的时间戳判断$MFT时间是否被篡改;根据Link files记录的文件时间是否与当前证据的文件时间是否符合条件;若不符合当前规则,则该文件时间戳信息不可信。
可选的,所述S1中,与电子数据时间属性相关的信息包括:系统时间和文件时间;
系统时间是指以格林威治时间为基准的世界标准时间,即Windows event logs中记录的用户登录在线的系统时间;
文件时间是指操作系统记录的文件元数据$MFT中的时间属性,该时间属性记录为$STANDARD_INFORMATION属性,记为$SI,和$FILE_NAME属性,记为$FN,具体为文件修改时间m-time、文件访问时间a-time、文件创建时间c-time、$MFT记录修改时间e-time,即MACE时间;一共两个属性共计八个时间戳信息;
使用“属性-时间类别”表示相应的时间戳。
可选的,所述S2中,条件判断规则具体包括:
规则1:文件元数据中记录的$SI和$FN中的八个时间戳都在用户登录在线的系统时间范围内;
规则2:文件元数据中记录的$SI和$FN中的八个时间戳都小于或等于$MFT记录修改时间e-time。
可选的,所述S3中,条件判断规则具体包括:
规则3:$SI的$MFT记录修改时间e-time小于等于$FN的$MFT记录修改时间e-time,即:$SI-E<=$FN-E;同时$SI的文件创建时间c-time、文件修改时间m-time、文件访问时间a-time大于等于$FN的文件创建时间c-time、文件修改时间m-time、文件访问时间a-time,即:$SI-MAC>$FN-MAC;
规则4:$FN的文件创建时间c-time、文件访问时间a-time大于等于$FN的文件修改时间m-time、$MFT记录修改时间e-time,即$FN-AC>=$FN-ME。
可选的,所述S4中,条件判断规则具体包括:
规则5:$LogFile的创建时间c-time不等于$SI的文件创建时间c-time或$FN的文件创建时间c-time。
可选的,所述S5中,条件判断规则具体包括:
规则6:$USNjrnl中BASIC_INFO_CHANGE记录的时间不等于$SI的$MFT记录修改时间e-time。
可选的,所述S6中,条件判断规则具体包括:
规则7:Prefetch files中记录的时间等于$USNjrnl中BASIC_INFO_CHANGE记录的时间。
可选的,所述S7中,条件判断规则具体包括:
规则8:Link files记录的文件创建时间c-time、文件访问时间a-time、$MFT记录修改时间e-time小于等于相关文件的文件创建时间c-time、文件访问时间a-time、$MFT记录修改时间e-time。
本发明的有益效果在于:
1、本发明扩展了可用于时间戳伪造检测的已知工件。现有的方法主要集中在$MFT和$LogFile上,本发明介绍了四种现有的windows工件的新用法,用于检测NTFS中的时间戳操作。通过对数据可信性判断,可以更好地检测出文件是否被恶意篡改。
2、现有的关于时间戳鉴别规则,大多数都还是建立在对$SI和$FN两个属性值的MACE时间的判断上。但目前针对基础性操作对文件时间得影响分析还不够全面,本发明更加详细地分析了不同操作对文件时间得影响。进一步地完善了适用于多种情况下的详细规则,使得分析结果会极大地减少不确定性。
本发明的其他优点、目标和特征在某种程度上将在随后的说明书中进行阐述,并且在某种程度上,基于对下文的考察研究对本领域技术人员而言将是显而易见的,或者可以从本发明的实践中得到教导。本发明的目标和其他优点可以通过下面的说明书来实现和获得。
附图说明
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作优选的详细描述,其中:
图1为本发明流程图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
其中,附图仅用于示例性说明,表示的仅是示意图,而非实物图,不能理解为对本发明的限制;为了更好地说明本发明的实施例,附图某些部件会有省略、放大或缩小,并不代表实际产品的尺寸;对本领域技术人员来说,附图中某些公知结构及其说明可能省略是可以理解的。
本发明实施例的附图中相同或相似的标号对应相同或相似的部件;在本发明的描述中,需要理解的是,若有术语“上”、“下”、“左”、“右”、“前”、“后”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此附图中描述位置关系的用语仅用于示例性说明,不能理解为对本发明的限制,对于本领域的普通技术人员而言,可以根据具体情况理解上述术语的具体含义。
如图1所示,一种基于时间属性的数字取证分析鉴别方法的具体步骤:
步骤11:提取相关时间信息。
包括获取电子数据,并解析文件元数据包含的时间戳信息。同时,收集并验证承载该电子数据的电子设备的系统时间信息;与电子数据时间属性相关的信息包括:系统时间和文件时间。
系统时间是指以格林威治时间为基准的世界标准时间;具体应当提取Windowsevent logs中记录的用户登录在线的系统时间。
文件时间是指操作系统记录的文件元数据$MFT中的时间属性,该时间属性记录为$STANDARD_INFORMATION属性(以下简记为$SI)和$FILE_NAME属性(以下简记为$FN),具体为文件修改时间(m-time)、文件访问时间(a-time)、文件创建时间(c-time)、$MFT记录修改时间(e-time),一般称作MACE时间。一共两个属性共计八个时间戳信息。为了方便描述,以下使用“属性-时间类别”来表示相应的时间戳,如“$SI-C”。
步骤12:分析文件时间信息。
文件元数据中记录的$SI和$FN中的八个时间戳都应该小于或等于$MFT记录修改时间,并且时间戳应当在用户在线的系统时间范围内。若不符合当前规则,则该文件时间戳信息不可信;
具体地,判断文件时间信息是否符合以下规则:
规则1:文件元数据中记录的$SI和$FN中的八个时间戳都应当在用户登录在线的系统时间范围内。
规则2:文件元数据中记录的$SI和$FN中的八个时间戳都应该小于或等于$MFT记录修改时间(e-time);
步骤13:文件时间基础性判断。
根据不同操作行为和方式对文件时间的影响规则,对文件时间信息进行可信性检查,判断文件元数据中记录的$SI和$FN中的八个时间戳是否符合规则。若不符合当前规则,则该文件时间戳信息不可信;
具体地,判断文件时间信息是否符合以下规则:
规则3:$SI的$MFT记录修改时间(e-time)应当小于等于$FN的$MFT记录修改时间(e-time),即:$SI-E<=$FN-E;同时$SI的文件创建时间(c-time)、文件修改时间(m-time)、文件访问时间(a-time)应当大于等于$FN的文件创建时间(c-time)、文件修改时间(m-time)、文件访问时间(a-time),即:$SI-MAC>$FN-MAC。
规则4:$FN的文件创建时间(c-time)、文件访问时间(a-time)应当大于等于$FN的文件修改时间(m-time)、$MFT记录修改时间(e-time),即$FN-AC>=$FN-ME。
步骤14:基于$LogFile判断$MFT时间创建记录是否被篡改。
根据$LogFile中所记载的日志序列号(LSN)判断文件创建时间是否符合条件。若不符合当前规则,则该文件时间戳信息不可信;
具体地,判断文件时间信息是否符合以下规则:
规则5:$LogFile的创建时间(c-time)不等于$SI的文件创建时间(c-time)或$FN的文件创建时间(c-time)
步骤15:基于$USNjrnl判断$MFT时间修改记录是否被篡改。
根据$USNjrnl中所记载的属性BASIC_INFO_CHANGE信息判断文件元数据更改时间是否符合条件。若不符合当前规则,则该文件时间戳信息不可信;
具体地,判断文件时间信息是否符合以下规则:
规则6:$USNjrnl中BASIC_INFO_CHANGE记录的时间不等于$SI的$MFT记录修改时间(e-time)。
步骤16:基于Prefetch files记录的时间戳判断$MFT时间是否被篡改。
根据Prefetch files记录的时间篡改软件运行的时间记录是否满足条件。若不符合当前规则,则该文件时间戳信息不可信;
具体地,判断文件时间信息是否符合以下规则:
规则7:Prefetch files中记录的时间等于$USNjrnl中BASIC_INFO_CHANGE记录的时间。
步骤17:基于Link files记录的时间戳判断$MFT时间是否被篡改。
根据Link files记录的文件时间是否与当前证据的文件时间是否符合条件。若不符合当前规则,则该文件时间戳信息不可信。
具体地,判断文件时间信息是否符合以下规则:
规则8:Link files记录的文件创建时间(c-time)、文件访问时间(a-time)、$MFT记录修改时间(e-time)应当小于等于相关文件的文件创建时间(c-time)、文件访问时间(a-time)、$MFT记录修改时间(e-time)。
表1为不同操作对文件时间的影响规则。
表1不同操作对文件时间的影响规则
Figure BDA0002892651420000061
Figure BDA0002892651420000071
Figure BDA0002892651420000081
本发明中,首先,提取电子数据并解析文件元数据包含的时间戳信息。然后,根据常见操作对文件时间戳的影响规则对文件进行基础性判断。再然后,进一步地基于$LogFile判断$MFT时间创建记录是否有被篡改的可能。接着,基于$USNjrnl判断$MFT时间修改记录是否被篡改的可能。其次,基于Prefetch files记录的时间戳判断$MFT时间是否被篡改。最后,基于Link files记录的时间戳判断$MFT时间是否被篡改。本发明有助于案件中对单一证据的不确定性进行鉴别调查,提高取证分析结果的可信性。
最后说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本技术方案的宗旨和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (8)

1.一种基于时间属性的数字取证分析鉴别方法,其特征在于:该方法包括以下步骤:
S1:提取相关时间信息;包括获取电子数据,并解析文件元数据包含的时间戳信息;同时,收集并验证承载该电子数据的电子设备的系统时间信息;
S2:分析文件时间信息;文件元数据中记录的$SI和$FN中的八个时间戳都小于或等于$MFT记录修改时间,并且时间戳在用户在线的系统时间范围内;若不符合当前规则,则该文件时间戳信息不可信;
S3:文件时间基础性判断;根据不同操作行为和方式对文件时间的影响规则,对文件时间信息进行可信性检查,判断文件元数据中记录的$SI和$FN中的八个时间戳是否符合规则;若不符合当前规则,则该文件时间戳信息不可信;
S4:基于$LogFile判断$MFT时间创建记录是否被篡改;根据$LogFile中所记载的日志序列号LSN判断文件创建时间是否符合条件;若不符合当前规则,则该文件时间戳信息不可信;
S5:基于$USNjrnl判断$MFT时间修改记录是否被篡改;根据$USNjrnl中所记载的属性BASIC_INFO_CHANGE信息判断文件元数据更改时间是否符合条件;若不符合当前规则,则该文件时间戳信息不可信;
S6:基于Prefetch files记录的时间戳判断$MFT时间是否被篡改;根据Prefetchfiles记录的时间篡改软件运行的时间记录是否满足条件;若不符合当前规则,则该文件时间戳信息不可信;
S7:基于Link files记录的时间戳判断$MFT时间是否被篡改;根据Link files记录的文件时间是否与当前证据的文件时间是否符合条件;若不符合当前规则,则该文件时间戳信息不可信。
2.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S1中,与电子数据时间属性相关的信息包括:系统时间和文件时间;
系统时间是指以格林威治时间为基准的世界标准时间,即Windows event logs中记录的用户登录在线的系统时间;
文件时间是指操作系统记录的文件元数据$MFT中的时间属性,该时间属性记录为$STANDARD_INFORMATION属性,记为$SI,和$FILE_NAME属性,记为$FN,具体为文件修改时间m-time、文件访问时间a-time、文件创建时间c-time、$MFT记录修改时间e-time,即MACE时间;一共两个属性共计八个时间戳信息;
使用“属性-时间类别”表示相应的时间戳。
3.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S2中,条件判断规则具体包括:
规则1:文件元数据中记录的$SI和$FN中的八个时间戳都在用户登录在线的系统时间范围内;
规则2:文件元数据中记录的$SI和$FN中的八个时间戳都小于或等于$MFT记录修改时间e-time。
4.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S3中,条件判断规则具体包括:
规则3:$SI的$MFT记录修改时间e-time小于等于$FN的$MFT记录修改时间e-time,即:$SI-E<=$FN-E;同时$SI的文件创建时间c-time、文件修改时间m-time、文件访问时间a-time大于等于$FN的文件创建时间c-time、文件修改时间m-time、文件访问时间a-time,即:$SI-MAC>$FN-MAC;
规则4:$FN的文件创建时间c-time、文件访问时间a-time大于等于$FN的文件修改时间m-time、$MFT记录修改时间e-time,即$FN-AC>=$FN-ME。
5.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S4中,条件判断规则具体包括:
规则5:$LogFile的创建时间c-time不等于$SI的文件创建时间c-time或$FN的文件创建时间c-time。
6.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S5中,条件判断规则具体包括:
规则6:$USNjrnl中BASIC_INFO_CHANGE记录的时间不等于$SI的$MFT记录修改时间e-time。
7.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S6中,条件判断规则具体包括:
规则7:Prefetch files中记录的时间等于$USNjrnl中BASIC_INFO_CHANGE记录的时间。
8.根据权利要求1所述的一种基于时间属性的数字取证分析鉴别方法,其特征在于:所述S7中,条件判断规则具体包括:
规则8:Link files记录的文件创建时间c-time、文件访问时间a-time、$MFT记录修改时间e-time小于等于相关文件的文件创建时间c-time、文件访问时间a-time、$MFT记录修改时间e-time。
CN202110031814.1A 2021-01-11 2021-01-11 一种基于时间属性的数字取证分析鉴别方法 Active CN112733187B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110031814.1A CN112733187B (zh) 2021-01-11 2021-01-11 一种基于时间属性的数字取证分析鉴别方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110031814.1A CN112733187B (zh) 2021-01-11 2021-01-11 一种基于时间属性的数字取证分析鉴别方法

Publications (2)

Publication Number Publication Date
CN112733187A true CN112733187A (zh) 2021-04-30
CN112733187B CN112733187B (zh) 2022-10-11

Family

ID=75590193

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110031814.1A Active CN112733187B (zh) 2021-01-11 2021-01-11 一种基于时间属性的数字取证分析鉴别方法

Country Status (1)

Country Link
CN (1) CN112733187B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102194071A (zh) * 2011-05-20 2011-09-21 嘉兴云歌信息科技有限公司 基于时域的数据取证及交叉分析方法
CN102945194A (zh) * 2012-11-08 2013-02-27 珠海市彦安科技有限公司 一种efs加密文件的恢复方法及系统
US20150188715A1 (en) * 2013-12-30 2015-07-02 Palantir Technologies, Inc. Verifiable redactable audit log
CN105740103A (zh) * 2016-02-02 2016-07-06 厦门市美亚柏科信息股份有限公司 一种基于日志的ntfs删除文件恢复方法和装置
CN107808102A (zh) * 2017-11-08 2018-03-16 深圳市携网科技有限公司 一种面向审计终端的数据证据化方法
CN109344579A (zh) * 2018-11-01 2019-02-15 厦门市美亚柏科信息股份有限公司 一种时间可信度的判定方法及装置
CN109388617A (zh) * 2018-10-31 2019-02-26 厦门市美亚柏科信息股份有限公司 一种文件时间戳可信度的判定方法及装置
US20200127860A1 (en) * 2017-07-05 2020-04-23 Siemens Aktiengesellschaft Method and apparatus for generating a cryptographic time stamp for a digital document on a majority basis
CN111475465A (zh) * 2020-03-19 2020-07-31 重庆邮电大学 一种基于本体的智能家居取证方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102194071A (zh) * 2011-05-20 2011-09-21 嘉兴云歌信息科技有限公司 基于时域的数据取证及交叉分析方法
CN102945194A (zh) * 2012-11-08 2013-02-27 珠海市彦安科技有限公司 一种efs加密文件的恢复方法及系统
US20150188715A1 (en) * 2013-12-30 2015-07-02 Palantir Technologies, Inc. Verifiable redactable audit log
CN105740103A (zh) * 2016-02-02 2016-07-06 厦门市美亚柏科信息股份有限公司 一种基于日志的ntfs删除文件恢复方法和装置
US20200127860A1 (en) * 2017-07-05 2020-04-23 Siemens Aktiengesellschaft Method and apparatus for generating a cryptographic time stamp for a digital document on a majority basis
CN107808102A (zh) * 2017-11-08 2018-03-16 深圳市携网科技有限公司 一种面向审计终端的数据证据化方法
CN109388617A (zh) * 2018-10-31 2019-02-26 厦门市美亚柏科信息股份有限公司 一种文件时间戳可信度的判定方法及装置
CN109344579A (zh) * 2018-11-01 2019-02-15 厦门市美亚柏科信息股份有限公司 一种时间可信度的判定方法及装置
CN111475465A (zh) * 2020-03-19 2020-07-31 重庆邮电大学 一种基于本体的智能家居取证方法

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
YUQIANG ZHANG等: "Detecting falsified timestamp in evidence gragh via attack graph", 《网页在线公开:HTTPS://IEEEXPLORE.IEEE.ORG/STAMP/STAMP.JSP?TP=&ARNUMBER=7469152》 *
张颖: "数字图像取证技术中的鉴别方法分析", 《科技展望》 *
王健等: "基于协议验证的时间自动机取证模型", 《南京邮电大学学报(自然科学版)》 *

Also Published As

Publication number Publication date
CN112733187B (zh) 2022-10-11

Similar Documents

Publication Publication Date Title
US20070118528A1 (en) Apparatus and method for blocking phishing web page access
AU2014237406B2 (en) Method and apparatus for substitution scheme for anonymizing personally identifiable information
CN111277606B (zh) 检测模型训练方法、检测方法及装置、存储介质
CN103294671A (zh) 文档的检测方法及系统
CN114416431B (zh) 基于kvm的无代理持续性数据保护方法、系统及存储介质
CN114297448B (zh) 基于智慧防疫大数据识别的证照申办方法、系统及介质
CN113407886A (zh) 网络犯罪平台识别方法、系统、设备和计算机存储介质
JP4824750B2 (ja) 機密情報管理プログラム、方法及び装置
CN112733187B (zh) 一种基于时间属性的数字取证分析鉴别方法
CN116579008A (zh) 一种基于标识的数据追踪溯源方法
CN103139043A (zh) 一种电子邮件真实性判断方法
CN115640158A (zh) 一种基于数据库的检测分析方法及装置
CN108777621A (zh) 一种获取支付工具支付宝交易记录的方法
CN114817518A (zh) 基于大数据档案识别的证照办理方法、系统及介质
CN114091609A (zh) 一种计算机网络信息安全事件处理方法
CN106529214A (zh) 电子取证装置和应用该装置的电子取证方法
CN103139293B (zh) 一种根据痕迹类型进行编码还原的痕迹信息获取方法
CN112597498A (zh) 一种webshell的检测方法、系统、装置及可读存储介质
CN115238324B (zh) 一种基于管理使用审计安全的计算机防护系统及方法
CN117827991B (zh) 一种半结构化数据中个人标识信息识别方法与系统
CN116527303B (zh) 基于标记流量对比的工控设备信息提取方法及装置
CN113098832B (zh) 一种基于机器学习的远程缓冲区溢出攻击检测方法
KR102600770B1 (ko) 공개출처정보와 스냅샷 사이의 링크 정보를 자동으로 생성하는 공개출처정보 포렌식 시스템 및 그 동작 방법
CN118075369A (zh) 一种基于标记位的控制域网络状态数据解析方法
CN106909308A (zh) 在终端设备上进行信息擦除的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant