У меня есть сырой образ (.dd) из раздела Windows (NTFS). Я должен выяснить, когда был создан конкретный файл.
С этой целью я пытаюсь найти правильный часовой пояс, который используется в системе.
Не должно быть необходимости определять настроенный часовой пояс, если ваша цель просто получить время создания файла.
NTFS хранит временные метки файлов в формате UTC. UTC, в свою очередь, обладает прекрасным свойством монотонно увеличиваться и конвертироваться в любой известный часовой пояс, просто добавляя или вычитая смещение часового пояса для географического и политического местоположения субъекта в данный момент (которое вам необходимо будет установить с помощью других средств ).
Также обратите внимание, что любое значение конфигурации часового пояса, которое вы извлекаете из реестра, почти наверняка покажет текущий настроенный (на момент образа диска) часовой пояс, а не часовой пояс, настроенный во время создания файла. Если Windows не хранит какую-либо историю настроек часового пояса, последний не будет доступен через возможности операционной системы, включая глубокое копание в реестре.
Просто представьте файл и укажите, что метаданные файловой системы для рассматриваемого файла указывают на то, что когда он был создан, часы реального времени компьютера были настроены на такое-то UTC. Вы также можете заявить, что в то время другие доказательства связывают субъект с определенным местоположением, и представлять эти доказательства отдельно. Это установит местонахождение субъекта в то время, в свою очередь установив разумный местный часовой пояс для субъекта в то время, что позволит вам заявить, что в этом месте в то время UTC местное время было примерно одинаковым.
Если ваша роль заключается просто в цифровой криминалистике, я бы предложил вам просто представить время UTC, записанное в метаданных файловой системы, и позволить кому-то другому делать какую-либо интерпретацию.
Однако обратите внимание, что любой компетентный адвокат, скорее всего, быстро укажет, что метки времени метаданных файловой системы не означают, что указанное действие над файлом имело место в это конкретное реальное время. Часы компьютера в реальном времени могли быть установлены буквально на любое значение в пределах его допустимого диапазона во время действия файла, и это произвольное значение было бы записано в метаданных файловой системы.