案例
隨筆
知識
聲音
其他
編者按
和系統中,在2個NTFS卷之間進行復制粘貼操作對“被復制的文件”和“粘貼操作中創建的新文件”的時間戳有什么影響?
本文作者:Phill Moore,翻譯:王中杰(最高人民檢察院司法鑒定中心)
作者案:當孩子睡著后,我認為我應該花些時間在本周的 挑戰上。我更應該去睡覺,但那是我未來的問題。
挑戰內容:
和系統中,在2個NTFS卷之間進行復制粘貼操作文件類型沒有exe,對“被復制的文件”和“粘貼操作中創建的新文件”的時間戳有什么影響?
我原本計劃對和都進行測試,但在寫下測試計劃后,我認為對Win10(1803)進行一個全面的測試更好。
我下載了一個 10虛擬機,然后創建了一個能夠加載的VHD(創建時間為2018年11月2日10時16分 AEST)。每次進行測試后,都對虛擬機進行了備份,并導出$MFT。這個卷中有一個可執行文件,一個zip壓縮包,一個文本文檔和一個docx的Word文件。
變量
我使用了各種不同的方法進行復制和粘貼,但沒有測試所有的排列組合。
1. 鍵盤復制粘貼 (ctrl c/v)
2. 鼠標右鍵復制粘貼
3. 通過功能區()進行復制粘貼
4. 通過功能區()的“復制到”進行復制 (復制到有一些預設的位置,但我使用了我自己設置的)
5. 鼠標右鍵,發送到文檔
6. 將文件拖拽到其他卷(這將進行復制)
7. 命令行復制粘貼
發現
下圖是我測試各種“復制粘貼操作”后,文件時間變化的對比表。
表格內容很多,如果要下載細致瀏覽的話,建議到我的云盤中下載,云盤下載連接:,提取密碼:ep2f。
通過表格,可以看出我所使用的所有復制粘貼方法對時間戳的變化有著一樣的效果。
復制的文件同原文件相比(重要結論):
1. 創建時間(SI/FN)被更新為進行復制操作的時間
2. 修改時間(SI)不受影響
3. 修改時間(FN)被更新為進行復制操作的時間
4. Entry 時間(SI)原文件和復制的文件一致,但被更新了(我認為這是因為我重啟了虛擬機造成的。但并不是所有的文件都發生了變化,比如zip和exe文件就沒受影響)
5. Entry 時間(FN)被更新為進行復制操作的時間
6. 訪問時間(SI), 我認為我進行測試的方法搞砸了訪問時間,但有趣的是每種方法對訪問時間的影響并不相同。比如zip文件的訪問時間中,原文件和復制的文件一致。
看起來重啟計算機會對訪問時間和Entry 時間造成一些影響,但這也有些有趣的地方:重啟計算機可能會修改這些時間戳,但在進行復制粘貼操作時這些時間戳會不會被修改是基于文件類型的。
所以,我們學到了什么
在Win10中,除了訪問時間有些異常(這也是意料之中的事),復制粘貼所造成的時間戳變化同我們以前認為的相同。有時,這些時間戳更新的很快,有時會有一些延遲。
修改時間(SI)對于所有的文件類型和操作系統來說,都不受影響。
創建時間(SI/FN)對于所有的文件類型和操作系統來說,都被更新為進行復制操作的時間。
題外話,如果有人能寫一個MFT監視器,那就太棒了。那樣你就可以選擇一個文件,隨時監控它的時間戳變化。我認為最主要的問題,是在我的測試中如何確定原文件的時間屬性變化是由操作系統造成的。
附錄
在我完成這篇文章后,我對Win7(32位)系統進行了一個簡單的測試,僅使用鼠標進行復制粘貼并記錄。
我注意到Win7和Win10的唯一不同是,在Win7中原文件的訪問時間在復制時不會被改變。除此之外,$FN的MACE時間戳和$SI的ACE時間戳都會被被更新為復制的時間,而$SI的修改時間不會發生變化。
編者注:這篇文章很技術化,不容易讀懂文件類型沒有exe,是當前電子取證在具體細節問題上的前沿了。本文對于了解文件復制操作后,時間戳的變化,具有非常高的參考性。而這一點,正是電子數據鑒定機構必須依靠和參照的,也是制定相關國家標準的重要基礎。
僅提醒一點:SI:,FN:。
請長按選擇識別圖中的二維碼并關注【信息時代的犯罪偵查】公眾號,了解犯罪手段、偵查技術、辦案心得,做到自我提升、自我救贖!