编者按
Windows7和Windows10系统中,在2个NTFS卷之间进行复制粘贴操作对“被复制的文件”和“粘贴操作中创建的新文件”的时间戳有什么影响?
本文作者:David Cowen,翻译:王中杰(最高人民检察院司法鉴定中心)
译者注:本文是David Cowen在其博客中举办的每周挑战中,一周最佳答案,值得一读。
大家好,我收到了多个符合挑战的回答,这些回答都完成了基本挑战内容,这意味着本文中的回答是最完善的回答。
Sandor Tokesi第一次参加挑战就获得了胜利,因为他的回答中不仅对Windows7和Windows10进行了测试,同时使用了多种复制方法并对Standard Information和Filename时间戳都进行了记录。Sandor,干的漂亮!明天(18年11月4日)将会有一个新的挑战等着你们。
挑战内容:
Windows7和Windows10系统中,在2个NTFS卷之间进行复制粘贴操作对“被复制的文件”和“粘贴操作中创建的新文件”的时间戳有什么影响?
最佳回答:
**Win7、Win10中复制命令造成的时间戳变化**
我记录了Windows中进行复制操作时,原文件和新文件的MACB时间戳变化,记录了不同的复制方式(利用图形界面进行复制和利用命令行进行复制)之间的不同,也测试了在同一卷中进行复制和在不同卷中进行复制的情况。
软件工具
· Microsoft Windows 10 64-bit v10.0.17134.345
· Microsoft Windows 7 Enterprise SP1
· FTK Imager 4.2 - 创建镜像文件和保存MFT文件
· analyzeMFT.py - MFT文件解析
MACB时间戳:
NTFS卷中的文件会记录8个不同的时间戳,这些时间戳包括了
· Modified(修改时间)
· Accessed(访问时间)
· Changed (Info Entry修改时间)
· Birth(创建时间)
上述4种时间戳存储与$STANDARD_INFO和$FILE_NAME之中。
$STANDARD_INFO和$FILE_NAME的不同:
· $STANDARD_INFO: 能够被用户级进程修改,有可能被反取证工具影响。
· $FILE_NAME: 只能被系统内核修改,没有已知的反取证工具能修改它。
译者注:通常我们所说的时间戳MAC为:Modified(修改时间)、Accessed(访问时间)、Created(创建时间),还有一个时间戳在不同的取证软件中有不同的命名,在Encase中为Entry Modified,在X-ways Forensics为Record Changed(记录修改时间),他们指的都是该文件对应的MFT记录最后修改的时间。在这里我将按照答题者Sandor的写法进行翻译。
研究方法
1. 在NTFS卷中建立2个文件
2.一个文件使用图形界面、另一个文件使用命令行,复制到一个不同的目录
3.在NTFS卷中建立2个文件,进行跨卷复制测试
4.一个文件使用图形界面、另一个文件使用命令行,复制到一个不同的卷
每步操作后对变化的卷进行镜像,最终每种操作系统有5个不同的镜像文件。我提取了这些镜像文件中的$MFT文件,并使用analyzeMFT.py进行解析,提取所需的时间戳。
下面是我测试的结果(蓝色是不同的,绿色是未改变的)。
联系客服