Из-за некоторых судебных дел в моей юрисдикции я часто вижу назначенных судом экспертов, определяющих дату создания документа. Реально ли это сделать программными методами? Как можно доказать дату создания, если поддельная дата использовалась до создания документа?
Я знаю, что эта часть не принадлежит суперпользователю, но в любом случае мне было бы любопытно, сработает ли какая-либо аппаратная методология (с любой точностью - день / месяц / год).
Файловые метаданные (например, дата создания, последнее изменение и т.д.), Как правило, зависят от файловой системы и поэтому могут быть изменены с использованием различных программных средств. Фактически, некоторые файловые системы даже не отслеживают дату создания (например, ext3 на linux отслеживает ctime, что на самом деле является временем изменения inode). Отслеживаемые метаданные также будут различаться в зависимости от файловой системы - некоторые файловые системы позволяют отслеживать время последнего доступа, последнего изменения и т.д.
Простота изменения этого "времени создания" (или последнего изменения, последнего доступа и т.д.) Может варьироваться от файловой системы к файловой системе, но в целом эти временные метки не являются надежными на 100%.
Я полагаю, что в обстановке зала суда одна сторона попыталась бы предположить, что последние измененные времена являются хорошими из-за того, что пользователь обладает определенной способностью, другим временем сопоставления файлов и т.д., В то время как противная сторона попыталась бы указать, что времена файлов могут быть подделанным. Мне неясно, какой стороне удастся убедить судью или присяжных в том, что, скорее всего, произошло, если не будет найдено своего рода "дымящийся пистолет", который показывает несоответствия с временными метками (например, два файла, созданные в одну и ту же дату, имеют дико изменяющиеся даты, или копии файла были отправлены по электронной почте до предполагаемой даты создания и т. д.).
Мне не известны какие-либо аппаратные методологии для отслеживания изменений.
Любой, кто владеет или имеет [физический] доступ к компьютеру, может обращаться с ним по своему усмотрению. В том числе фиктивная дата создания файлов.
Единственный способ для эксперта точно определить такую дату - это если документ или его копия хранились где-то еще в месте, управляемом доверенной третьей стороной.
Например, где-то в облаке, и с помощью этого провайдера облачных резервных копий для проверки. Или по почте кому-то на дату X, когда получатель знает, что он был создан на дату X или раньше.
Но любой, у кого есть доступ (удаленный или физический) к компьютеру, может изменить эту документальную дату создания. Они могут не иметь навыка, чтобы сделать это, но это не то, что любой суд принял бы. (Похоже на 'но ваша честь. Я не знаю, как работает пистолет. Таким образом, я не мог его застрелить ».
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: IANAL
первое правило судебной экспертизы заключается в том, что все показания являются подозрительными, если вы сводите их к N-му, поэтому вам всегда нужно устанавливать уровень разумности, с помощью которого вы принимаете выводы. Да, даты могут быть изменены, но для этого требуется достаточно искушенный пользователь, и ему почти наверняка нужен физический доступ к системе.
Существует ряд обстоятельств, когда компьютеру приходится делать наилучшие предположения по некоторым атрибутам. Например, если я скопирую файл со своего файлового сервера SAMBA на свою рабочую станцию, дата создания файла - это время, когда я вставил файл, а не время, когда он был изначально создан. В моем случае он поддерживает правильное время изменения, но это не всегда так.
При ведении журнала файловых систем у вас могут быть некоторые доказательства того, что метаданные файла были изменены или фальсифицированы, но это будет означать, что файловая система контролировала изменение, что маловероятно. Вы всегда должны проверять содержимое резервных копий и, возможно, файл подкачки и hiberfill.sys, чтобы искать копии данных файла, которые не согласуются с информацией о дате.
в конечном счете, если подозреваемый связан или как-то связан с очень опытным техником или злоумышленником, то следует с подозрением относиться к датам. если они едва знают, как восстановить Windows и не знают, что такое linux, тогда даты, скорее всего, верны, если в игре не задействован внешний агент.
