Какова точность дат создания или изменения файлов?

Из-за некоторых судебных дел в моей юрисдикции я часто вижу экспертов, назначенных судом, определяющих дату создания документа. Можно ли это сделать с помощью программных методов? Как можно доказать дату создания, если поддельная дата была использована до создания документа?

Я знаю, что эта часть не принадлежит суперпользователю, но мне также было любопытно, будет ли работать какая-либо аппаратная методология (с точностью до дня / месяца / года).

Метаданные файлов (например, дата создания, последнее изменение и т. Д.), Как правило, относятся к файловой системе и поэтому могут быть изменены с использованием различных программных средств. Фактически, некоторые файловые системы даже не отслеживают дату создания (например, ext3 на дорожках linux ctime, что на самом деле является временем изменения inode). Отслеживаемые метаданные также будут варьироваться от файловой системы до файловой системы – некоторые файловые системы позволят отслеживать время последнего доступа, последние изменения и т. Д.

Легкость изменения этого «времени создания» (или последнего изменения, последнего доступа и т. Д.) Может отличаться от файловой системы к файловой системе, но в целом эти временные метки не на 100% надежны.

Я бы предположил, что в залах судебных заседаний одна сторона попытается предложить, чтобы последние измененные времена были хорошими из-за того, что пользователь обладал определенной способностью, другими совпадениями файлов и т. Д., В то время как противоположная сторона попыталась бы указать, что время файла может Быть фальшивым. Мне непонятно, какая сторона сумела бы убедить судью или присяжных в том, что случилось, если не будет найдено «курящее пистолет», которое показывает несоответствия с отметками времени (например, два файла, созданные в ту же дату, имеют дико меняющиеся даты, Или копии файла были отправлены по электронной почте до предполагаемой даты создания и т. Д.).

Я не знаю никаких аппаратных методологий для отслеживания изменений.

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: IANAL

Первое правило судебной экспертизы состоит в том, что все показания являются подозрительными, если вы отнесете их до Nth, поэтому вам всегда необходимо установить уровень разумности, с помощью которого вы принимаете результаты. Да, даты могут быть изменены, но для этого требуется довольно сложный пользователь, и они почти наверняка нуждаются в физическом доступе к системе для этого.

Существует ряд обстоятельств, когда компьютер действительно должен догадываться о некоторых атрибутах. Например, если я скопирую файл с моего файлового сервера SAMBA на мою рабочую станцию, дата создания файла – это время, когда я вставил файл, а не время, когда оно было первоначально создано. В моем случае он поддерживает правильное измененное время, но это может быть не всегда так.

С журнальными файловыми системами у вас могут быть некоторые доказательства того, что метаданные файлов были изменены или подделаны, но это будет означать, что файловая система контролирует эту модификацию, что маловероятно. Вы всегда должны проверять содержимое резервных копий и, возможно, файл подкачки и hiberfill.sys, чтобы искать копии данных файла, которые не согласуются с информацией о дате.

В конечном счете, если подозреваемый или каким-то образом связан с очень опытным специалистом или злоумышленником, тогда будьте подозрительны к датам. Если они едва знают, как перестраивать окна и не знают, что такое linux, то даты, скорее всего, верны, если только внешний агент не играет.

Тот, кто владеет или имеет [физический] доступ к компьютеру, может делать с ним, как ему нравится. Включение фальшивых дат созданных файлов.

Единственный способ для эксперта точно определить такую ​​дату: если документ или его копия были сохранены в другом месте в месте, управляемом доверенной третьей стороной.

Например, где-то в облаке и с помощью резервных копий облачных провайдеров, чтобы проверять вещи. Или отправлен по почте кому-то в дату X, где получатель знает, что он был создан до или до даты X.

Но любой, у кого есть доступ (удаленный или физический) к компьютеру, может изменить эту документальную видимую дату создания. У них может не быть навыка, чтобы сделать это, но это не то, что любой суд примет. (Похоже на «но твою честь, я не знаю, как работает пистолет, поэтому я не мог его застрелить»).

Interesting Posts

Получить статус строки состояния iPhone

Возrotation обещаний от действий Vuex

Как хранить DNS-кеш в случае отказа DNS-сервера?

Почему C # XmlDocument.LoadXml (строка) терпит неудачу при включении заголовка XML?

Как работает блокировка?

Перенаправление портов после NAT класса несущей?

Где программа устанавливает на linux?

распределять и инициализировать то, что они на самом деле делают

может ли value.var в dcast быть списком или иметь несколько переменных значений?

Совместное использование одного и того же `ssh-agent` между несколькими сеансами входа в систему

Проверьте, является ли значение `Any` объектом

Как просмотреть журнал того, какой процесс был запущен на каком процессоре и как долго?

У меня везде есть ОЗУ. Как я могу определить его?

Как создать самозаверяющий сертификат для доменного имени для разработки?

Почему C # не реализует индексированные свойства?

Давайте будем гением компьютера.