6

Вот ситуация: я уехал в отпуск на пару недель, но перед тем как уйти, я вынул жесткий диск из своего компьютера и спрятал его в другом месте. Вернувшись в понедельник и вставив жесткий диск обратно в свой компьютер, я щелкнул правой кнопкой мыши по разным файлам, чтобы увидеть их свойства. Интересно, что несколько файлов были доступны во время моего отсутствия! Я щелкнул правой кнопкой мыши по разным файлам в разных местах на жестком диске, и все эти подозрительные файлы были доступны в течение определенного промежутка времени (воскресенье, 9 января 2011 г., примерно между 18:52:16 PM - 7: 16: 25 PM) К некоторым из них обращались в одно и то же время - вплоть до самой секунды. Это заставляет меня думать, что кто-то должен был выполнить поиск на моем жестком диске для определенных типов файлов, а затем скопировал все эти файлы на другой носитель. Установка Windows 7 на этом жестком диске защищена паролем, но НЕ зашифрована, поэтому они могли бы легко поместить жесткий диск в корпус / тостер для доступа к нему с другого компьютера.

Конечно, я не щелкал правой кнопкой мыши по каждому файлу на моем компьютере, но я делал это в разных папках. Например, в одной из папок, которые я просматривал, есть файлы разных типов: .mp3,, prproj, .3gp, .mpg, .wmv, .xmp, .txt с размерами файлов от 2 КБ до 29,7 МБ (есть также подпапка в этой папке, которая содержит только файлы .jpg); однако из всех этих различных типов файлов в этой папке и ее подпапке все они были доступны (включая файлы .jpg из подпапки), ЗА ИСКЛЮЧЕНИЕМ файлов .mp3 (если есть какая-либо разница, файлы .mp3 в этой папке размер от 187 КБ до 4881 КБ). Кроме того, эта подпапка, которая содержала только файлы .jpg (точнее 48 файлов .jpg), не была доступна в течение этого времени - были доступны только файлы .jpg в ней - (между 6:57:03 PM - 6: 57: 08 PM)

Я подумал, что, возможно, это был какой-то сбой Windows, который отображал неправильную дату доступа, но затем я посмотрел на "дату создания" и "дату изменения" для всех этих файлов, а также на их даты и время создания / изменения. были на правильном месте.

Моей первой мыслью было, что кто-то положил жесткий диск в корпус / тостер и просмотрел файлы; но потом я понял, что это невозможно, потому что к нескольким файлам обращались одновременно с точностью до секунды. Так что это заставило меня подумать, что единственный способ изменить "дату доступа" мог бы быть, если бы кто-то скопировал файлы.

Есть ли вообще шанс, что это какой-то сбой Windows или что-то в этом роде, или это факт, что кто-то действительно обращался к моим файлам (и если кто-то обращался к моим файлам, я прав насчет того, что эти файлы были скопированы? )? Есть ли какая-то другая возможность того, что могло бы произойти?

Нужно ли мне использовать какие-либо инструменты судебно-медицинской экспертизы для дальнейшего изучения этого вопроса (и если да, то какие инструменты), или есть какой-то другой способ, которым я могу быть уверен в том, что произошло в этот период за день до моего возвращения? Или то, что я вижу в Windows 7 достаточно хорошо (то есть точно и правдиво)?

|источник

2 ответа2

9

Во-первых, это зависит от файловой системы на диске. Это, вероятно, NTFS (FAT хуже).

Время последнего доступа на томе NTFS не очень точное.

Это выдержка из страниц MSDN о времени файлов:

Не все файловые системы могут записывать время создания и последнего доступа, и не все файловые системы записывают их одинаково. Например, разрешение времени создания в FAT составляет 10 миллисекунд, в то время как время записи имеет разрешение 2 секунды, а время доступа - 1 день, так что это действительно дата доступа. Файловая система NTFS задерживает обновление до последнего времени доступа к файлу до 1 часа после последнего доступа.

Здесь гораздо больше информации: http://msdn.microsoft.com/en-us/library/ms724290(v=vs.85).aspx

Кроме того, отсюда: http://msdn.microsoft.com/en-us/library/aa365739(v=vs.85).aspx

ftLastAccessTime Структура FILETIME.

Для файла структура определяет, когда файл последний раз читается или записывается в.

Для каталога структура указывает, когда каталог создается.

Как для файлов, так и для каталогов указанная дата является правильной, но время дня всегда устанавливается на полночь. Если базовая файловая система не поддерживает время последнего доступа, этот элемент равен нулю.

Все это заставляет меня думать, что время последнего доступа, во-первых, довольно неточно, и, во-вторых, запись обновления этого времени на носитель может быть отложена до часа, что делает достоверность этого атрибута весьма подозрительной.

|источник
4

Я использую последние созданные метки даты и времени при установке программного обеспечения для поиска и устранения неисправностей. Это было очень точно в моих использованиях в файловых системах NTFS .

Поскольку некоторые даты были изменены, пока вас не было, я предполагаю, что это было от нескольких дней до недели, я бы сказал, что кто-то получил доступ к этим файлам.

Эти временные метки вместе с другими данными используются командами по компьютерной экспертизе для реконструкции действий пользователя на компьютере.

Опытные хакеры используют программное обеспечение для изменения этих отметок времени, чтобы скрыть свои следы при взломе компьютерных систем.

Последний доступ отключен по умолчанию в Windows 7.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .