对于取证人员来说,时间点永远是一个敏感的字眼,各类取证软件在功能设计时总是要把“时间轴梳理”纳入其中,也正是因为它的重要性。
在windows系统中给,通过右键点击文件,在菜单中选取“属性”命令可以打开文件的属性对话框,我们可以直接看到文件的基本属性,其中就有文件的创建时间、修改时间和访问时间这3个时间属性。
NFTS文件系统除了上述3种时间属性外,还有隐藏的文件内容修改时间属性,这个属性需要通过特别的软件进行读取,它反映了包括文件内容、权限等所有变动的时间记录。
文件的创建时间反映的是这个文件来到当前目录下的时间,但这个时间并不一定是文件初次创建的时间,因为文件创建时间也可能是通过复制的方式来到当前目录的时间。通过复制而来的文件,创建时间是晚于修改时间的;而修改时间代表了这个文件在其他目录下最后修改的时间点,创建时间则记录下该文件被复制到当前目录的时间点。
当然,只要文件创建后对内容有过修改,那么修改时间一定是晚于创建时间的,这种情况下,就不能单一地通过时间属性来判断文件是否为本地生成的了。
虽然时间属性是每个文件都有的基本属性,但在实际的调查办案过程中,优秀的取证人员往往会有意识的结合案情,收集、梳理、排序行为人现实行为、文件创建/修改/访问、邮件发送/接收等这些关键信息的时间点,并与其它各种数据痕迹(比如前几期提到的文档元数据中的文档创建者、修改者、最后一次打印时间、GPS信息,还有USB接口使用记录信息等)进行比对、归纳和分析,查找案情关联性,从而帮助发现重要线索,还原事实真相。
文:周晓鸣(星瀚反舞弊法律中心)
本文为星瀚原创,如需转载请先联系。
本文信息仅作一般性参考,不应视为对特定事项的法律意见。
合作联络:bd@ricc.com.cn
