电⼦数据取证技术应⽤--时间取证概述.docVIP

时间取证概述

【实验目的】

1)了解时间取证的内容及方法

【实验原理】

1)时间是进行其他取证的基础，确定时间是电子数据取证重要的不可或缺的环节；时间本身也是重要的数据，保存在硬盘或文件中的时间可以作为证据来确定行为和后果。

2)计算机的开关机都是一个过程，这是一个时间段而不是一个时间点。单纯的一个开关机时间戳会受到多种因素的影响，因此需要利用不同的时间戳来验证开关机的状态是否正常，开关机的时间是否合理，这些能否作为证据使用。

【实验环境】

WindowsServer2008

【实验步骤】

一、时间取证的基本判断规则

1.1如果修改时间等于建立时间，那么文件是原始文件，既没有被修改也没有被剪切。

1.2如果修改时间早于建立时间，则文件被复制或移动过。

1.3如果在硬盘上批量的文件具有很近的访问时间，这些文件极有可能被同一个工具软件扫描过，如杀毒软件。如果在一个文件夹中的一些图像和视频文件有很近的访问时间，并且没有其他的图像和视频文件具有相似的访问时间，则这些图像和视频文件极有可能被一个图像和视频预览工具访问或者打开过，例如用Windows资源管理器以缩略图的方式查看。

1.4在一个文件夹中，如果一些文件的修改时间等于创建时间，并且有很近的创建时间或者修改时间，那么这些文件有可能是从网上批量下载的。

1.5文件拷贝的时候，文件创建时间为拷贝的时间，文件修改时间与源