NTFS 檔案系統使用一種稱為 FILETIME 的 64 位元結構來儲存時間戳,這個結構記錄了自 1601 年 1 月 1 日(UTC)以來經過的 100 奈秒(0.0000001 秒)間隔數。這表示每個時間戳的最小單位為 100 奈秒,理論上在一秒內可以有 10,000,000 個不同的時間戳值。
在實際應用中,當檔案被建立或修改時,系統會自動分配一個具有高解析度的時間戳,這個時間戳的最後七位數(代表 100 奈秒的部分)通常會是一個非零的數值,反映出檔案操作的精確時間點。
在數位鑑識分析中,如果發現某個檔案的時間戳在 100 奈秒的部分全為零(例如 .0000000),表示該時間戳可能是人為設定的。有下面幾個原因:
1、自然生成的時間戳極少全為零:由於系統在建立或修改檔案時會自動分配高解析度的時間戳,因此自然生成的時間戳在 100 奈秒部分全為零的機率極低。
2、常見的時間戳修改工具的限制:許多用於修改時間戳的工具(如 Timestomp、SetMACE 等)在設定時間戳時,可能只支援到秒的精度,或是未能正確設定 100 奈秒的部分,導致該部分為預設的零值。
3、鑑識工具的檢測:專業的鑑識工具會檢查時間戳的完整性,包括其高解析度部分。如果發現異常,可能會標記該檔案為可疑。
除了檢查時間戳的高解析度部分外,鑑識專家還會比較 NTFS 檔案系統中兩個主要的時間戳屬性:
$STANDARD_INFORMATION($SI):包含檔案的建立、修改、存取和 MFT 修改時間,這些時間戳在檔案操作時會被更新。
$FILE_NAME($FN):也包含類似的時間戳,但通常只有在檔案名稱或其所在目錄變更時才會更新。
如果發現 $SI 和 $FN 中的時間戳不一致,這可能表示檔案的時間戳曾被人為修改,因為某些修改工具可能只更新了其中一個屬性。
不要亂教人,就是有人改檔案時間被告,然後被刑事局鑑定出偽造,然後官司輸了去坐牢的例子。
內文搜尋
從 APP 打開
X