13

Есть ли способ / инструмент для определения даты и времени, когда диск был записан / записан с высокой степенью достоверности? Речь идет о данных экспертизы и должно быть твердым доказательством. Я уже попробовал IsoBuster, но он не показал мне дату / время, когда трек был написан.

2 ответа2

16

В большинстве оптических дисков с данными для обмена информацией используется стандарт тома и файловой структуры компакт-диска ISO 9660, спецификация формата универсального диска или оба (так называемый мост UDF).

Чтобы узнать какой, вы можете выполнить

mount

в Linux после того, как диск был смонтирован, чтобы определить файл устройства привода оптических дисков.

Пример вывода:

/dev/sr0 /media/dennis/CDROM iso9660 ro,nosuid,nodev,uid=1000,gid=1000,iocharset=utf8,mode=0400,dmode=0500,uhelper=udisks2 0 0

Здесь файл устройства - /dev/sr0 . Команда

disktype /dev/sr0

отобразит доступные файловые системы. Если оба присутствуют, анализ ISO 9660 должен быть проще.

ISO 9660

Стандарт определяет поле « Дата и время создания тома» в виде числового представления момента создания тома, записанного в 814–830-й байт дескриптора первичного тома в следующем формате:

YYYYMMDDHHMMSSCCO

где CC - это центсекунды, а O - смещение по Гринвичу с 15-минутными интервалами, которое хранится в виде 8-разрядного целого числа (представление в виде дополнения до двух).

Первые 32 КБ (32 768 байт) диска не используются стандартом ISO 9660, и приведенный выше дескриптор сразу следует за неиспользованным блоком, поэтому нас интересует 33 582-й байт и 16 следующих.

Эта информация может быть проанализирована любым инструментом, который может записать / прочитать необработанные данные на оптическом диске. В Linux вы можете использовать dd для выгрузки соответствующей части изображения и hexdump для правильного просмотра последнего байта:

dd if=/dev/sr0 bs=1 skip=33581 count=17 | hexdump -C

Для моего Ubuntu 12.04 x64 LiveCD это дает:

00000000  32 30 31 32 30 38 32 33  31 37 31 33 34 37 30 30  |2012082317134700|
00000010  00                                                |.|

Итак, изображение было создано 23 августа 2012 года в 17:13:47.00 по Гринвичу.

UDF

Стандарт определяет поле RecordingDateandTime как двоичное представление момента создания первичного тома, записанное в 376–387-й байт дескриптора первичного тома в следующем формате:

TT tT YY YY MM DD HH MM SS CC BB AA

Здесь каждая пара представляет собой октет (байт), т. Е. XX состоит из двух шестнадцатеричных чисел.

  • TT tT - 16-разрядное целое число с прямым порядком байтов, представляющее тип и часовой пояс временной метки.

    12 младших значащих битов (TTT) содержат часовой пояс, закодированный как смещение от UTC в минутах как целое число со знаком (представление дополнения двух).

    Четыре старших значащих бита (t) содержат тип (всегда 1 , что означает местное время).

  • YY YY - это год, закодированный как 16-разрядное целое число со знаком с прямым порядком байтов (представление в виде дополнения до двух).

  • MM , DD , HH MM , SS , CC , BB и AA являются 8-разрядными целыми числами без знака, представляющими месяц, день, час, минуту, секунду, центсекунду, сотни микросекунд и микросекунды создания.

Опять же, первые 32 КБ диска не используются UDF. Кроме того, следующие 32 байта КиБ зарезервированы для устаревшей файловой системы ISO 9660 (которая может занимать больше места, если присутствует).

На "чистом" UDF-диске команда

dd if=/dev/sr0 bs=1 skip=65912 count=12 | hexdump -C

отобразит закодированную метку времени.

В целях тестирования я создал образ UDF с помощью K3b. Вывод команды dd был следующим

00000000  4c 1f dd 07 03 01 0f 0b  11 00 00 00              |L...........|
0000000c

Анализ:

  • 0xF4C (шестнадцатеричное) больше 0x800 и, следовательно, отрицательно. Отдых 0x1000 от 0xF4C дает -180 в десятичном виде. Это означает, что часовой пояс UTC - 3.

  • 0x07DD - 2013 в десятичном виде (год создания).

  • Остальные октеты можно интерпретировать буквально в их шестнадцатеричном представлении (0x0F, 0x0B и 0x11 - это 15, 11 и 17 в десятичном виде).

    Это означает, что изображение было создано 1 марта 2013 года в 15:11:17.000000 UTC + 3.

Предостережения

  • Это просто подделать эту дату. Все, что требуется, это изменить дату компьютера перед созданием изображения.

  • Если изображение создано до того, как оно будет записано на диск, будет записано прежнее время. Таким образом, поле является только потенциальным свидетельством для дисков, которые были созданы самим владельцем.

-1

Да, есть: атрибуты date и time - это то, что вы ищете. Просто измените вид папки и проверьте Свойства файла.

Минуту назад проверял один диск на W7 и Mac OS X. Смотрите скриншоты ниже ..

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .