1

Я работаю над делом по цифровому криминалистическому расследованию (явно не реальным), и у меня есть необработанный образ (.dd) из раздела Windows (NTFS). Я должен выяснить, когда был создан конкретный файл.

С этой целью я пытаюсь найти правильный часовой пояс, который используется в системе.

До сих пор я использовал Autopsy для экспорта системного файла реестра (\system32\config\system), поскольку именно там хранится этот фрагмент информации.

Но я не могу понять, как читать этот файл. Regedit не будет работать, так как он ожидает файл .reg. Есть ли способ прочитать системный файл реестра?

РЕДАКТИРОВАТЬ:

Поэтому я попытался использовать regedit. Но это дает мне ошибку. Ошибка загрузки улья. Это все, что говорит.

1 ответ1

0

У меня есть сырой образ (.dd) из раздела Windows (NTFS). Я должен выяснить, когда был создан конкретный файл.

С этой целью я пытаюсь найти правильный часовой пояс, который используется в системе.

Не должно быть необходимости определять настроенный часовой пояс, если ваша цель просто получить время создания файла.

NTFS хранит временные метки файлов в формате UTC. UTC, в свою очередь, обладает прекрасным свойством монотонно увеличиваться и конвертироваться в любой известный часовой пояс, просто добавляя или вычитая смещение часового пояса для географического и политического местоположения субъекта в данный момент (которое вам необходимо будет установить с помощью других средств ).

Также обратите внимание, что любое значение конфигурации часового пояса, которое вы извлекаете из реестра, почти наверняка покажет текущий настроенный (на момент образа диска) часовой пояс, а не часовой пояс, настроенный во время создания файла. Если Windows не хранит какую-либо историю настроек часового пояса, последний не будет доступен через возможности операционной системы, включая глубокое копание в реестре.

Просто представьте файл и укажите, что метаданные файловой системы для рассматриваемого файла указывают на то, что когда он был создан, часы реального времени компьютера были настроены на такое-то UTC. Вы также можете заявить, что в то время другие доказательства связывают субъект с определенным местоположением, и представлять эти доказательства отдельно. Это установит местонахождение субъекта в то время, в свою очередь установив разумный местный часовой пояс для субъекта в то время, что позволит вам заявить, что в этом месте в то время UTC местное время было примерно одинаковым.

Если ваша роль заключается просто в цифровой криминалистике, я бы предложил вам просто представить время UTC, записанное в метаданных файловой системы, и позволить кому-то другому делать какую-либо интерпретацию.

Однако обратите внимание, что любой компетентный адвокат, скорее всего, быстро укажет, что метки времени метаданных файловой системы не означают, что указанное действие над файлом имело место в это конкретное реальное время. Часы компьютера в реальном времени могли быть установлены буквально на любое значение в пределах его допустимого диапазона во время действия файла, и это произвольное значение было бы записано в метаданных файловой системы.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .