电子数据取证学习笔记-3

书接上回，在介绍完文件数据的逻辑恢复和物理修复原理之后，下面开始为您展示数据分析中关于时间的基本知识。

8、数据分析

8.1 时间的基本知识

计算机中，确认时间时，通常包含两部分：日期和时间，而且这两者始终是保存在一起的。

1、时间概念

GMT（格林威治平均时）时间：平太阳时就是指经修订后的视太阳时。在本初子午线（英国格林威治子午线）上的平太阳时被确定为格林威治平时（GMT）。
UTC是协调世界时英文缩写，由于地球每天的自转是有些不规则的，而且正在缓慢减速。UTC相当于本初子午线（即经度0度）上的平均太阳时，UTC的本质强调的是比GMT更为精确的世界时间标准，不过对于大部分应用来说，GMT与UTC的功能与精确度是没有区别的。
国际原子时（TAI）：国际计量局（BIPM）根据世界20多个国家的实验室的100多台原子钟提供的数据进行处理，得出“国际时间标准”称为国际原子时（TAI）。国际原子时（TAI）的准确度为每日数纳秒，而协调世界时（UTC）的准确度为每日数毫秒。计算机中，一般不用国际原子时（TAI）表示时间，多采用GMT和UTC时间基准。国际原子时（TAI）仅在网络校时中起到一定作用。

夏时制（简称D.S.T）：是指夏天太阳升起的比较早时，将时钟拨快一小时，以提早日光的使用，在英国则称为夏令时间。
本地时间：本地时间就是所在地的时间，本地时间基于GMT/UTC，计算了本地所在时区偏差和夏时制所得出的时间。

2、时间定义

系统时间定义：系统时间以CMOS时间作为基准，CMOS（互补金属氧化物）是板载的半导体芯片。从某种意义上来讲，CMOS时间是所有时间的来源，操作系统读取CMOS时间作为系统时间，文件在创建、修改、访问的时候，创建、修改、访问时间是根据系统时间进行修正和存储的。
系统时间在Windwos中以128bit长度存储。分为8部分，每部分为16bit。
存储格式：

系统时间在写入文件时将转化为文件时间。

时区偏移

在Windows NT/2000/XP系统中，由注册表的HKEY_Local_Machine\SYSTEM\Select中的Current键值来确定HKEY_Local_Machine\SYSTEM\ControlSet00#(#=Current减值，一般为1或2)\Control\TimeZoneInformation下的键值为当前用户配置。

计算系统时区偏移时，要首先确定HKEY_Local_Machine/System/Current ControlSet/Control/TimeZoneInformation/Bias。Bias是相对于GMT时间的负偏移量，以分钟数计。而ActiveTimeBias是实行夏时制的时间偏移（少60分钟）。计算当地时间的公示为Local Time = UTC-ActiveTimeBias。

文件时间

属性时间的格式和存储方式根据系统而异。在某些文件中，文件中还会有内嵌时间。从证据力上，由于内嵌时间不为人知，内嵌时间的证据力要大于属性时间。属性时间和内嵌时间统一被称为文件时间。

文件时间主要格式

32位Windows/Dos文件时间格式

32位Windows/Dos时间格式被存储于32bit（4字节）二进制数据格式内。适用于大部分FAT文件系统的DOS函数调用，FAT文件系统目录项中的文件创建，修改，访问的时间就是这种数据结构。

创建时间除了32位的时间表示外，还有1个字节(8bit)保存有1/100秒的数值；
修改时间是正常的32位的时间表示；
根据FAT的设计，访问时间只保存日期，不保存时间。
32位Windows/Dos时间显示的秒只能为偶数（以2s为间隔）
MS-DOS：wFatDate wFatTime的时间格式。这种时间格式是将32位Windows/Dos时间进行了转化。将32位分为两个部分，分别是wFatDate存放日月年，wFatTime存放秒分钟小时。MS-DOS：wFatDate+wFatTime（将32位Windows/Dos时间格式高16位和低16位置换。在DCode中MS-DOS 32bit Hex Value和MS-DOS：wFatDate wFatTime 就是这个关系）

MS-DOS：wFatDate wFatTime在快捷方式文件（LNK）中的LinkTargetListID中出现。

64位Windows/FILETIME文件时间格式

64位的Windows/FILETIME文件时间格式是基于1601年1月1日00:00:00，以100ns（1ns=10-9s）递增的UTC时间格式。这种格式应用于NTFS格式文件系统中的NTFS Master File Table（MFT），存储文件建立时间，最后修改时间，最后访问时间和MFT记录最后修改时间，它们存储的是GMT/UTC时间。
64位的Windows/FILETIME文件时间还保存在日志文件、缩略图文件和快捷方式文件等多种文件中。
64位的Windows/FILETIME文件时间格式为8个字节长，通常最后一位是01H。

C/Unix文件时间格式

C/Unix时间，或称POSIX时间，是Unix或类Unix系统使用的时间表示方式。是从协调世界时（UTC）1970年1月1日0时0分0秒起至现在的总秒数（不包括闰秒）
C/Unix时间在Unix系统中和网络传输中很常见。Java和Win32可执行程序也使用这个时间。Windows存储在注册表中国呢的开机时间也是使用C/Unix时间格式。C/Unix时间用于UFS1、UFS2、Ext2、Ext3、Ext4文件系统。
C/Unix时间可以使用dcode，也可以在线解析，但是要注意字节顺序。

HFS和HFS+文件时间格式

早期的苹果计算机采用MFS文件系统，又称分层文件系统。苹果Mac文件系统（HFS和HFS+）的时间存储于32bit（4字节）二进制中，基于1904年1月1日00:00:00，以秒递增（不包括闰秒）。能表示的最大值是格林威治时间2040年2月6日06:28:15 GMT。HFS和HFS+的时间格式不包括闰秒，但包括闰年。
HSF和HSF+文件系统的卷头和目录中包含有时间，其中HFS均以本地时间标准来存储，而HFS+卷头的创建时间以本地时间标准、其他时间以GMT/UTC时间标准存储，这是因为HFS+文件系统中以创建时间作为软件的统一标识，如果以GMT/UTC时间格式存储，会被时区干扰。目录中的时间都以GMT/UTC时间标准来存储。

HFS+的目录是保存文件夹和文件的属性的区域，因此也包含了相应的时间。这些时间是以HFS+文件时间格式保存的。

ISO9660/UDF时间

ISO9660文件系统应用于CD-ROM中；UDF文件系统应用于DVD中。
ISO9660有4个时间，包括创建时间、修改时间、有效时间和过期时间。
UDF与ISO9660类似，但是没有修改时间。
ISO9660/UDF时间都为17个字节长度。

GSM/UMTS时间格式

GSM/UMTS的短信使用PDU编码来传输数据。短信中包含有时间戳，时间戳长度为7个字节。

时间戳的前1-6个字节使用BCD编码，每个字节分为两部分，为0x00-0x03（最高有效位）和0x04-0x07（最低有效位）。第7个字节的0x00-0x02（最高有效位）和0x04-0x07（最低有效位）补位组成时区偏移，以UTC为基准，15分钟为递增计数，0x03代表偏移方向（0为正；1为负）

Windows时间属性

当文件被建立、修改和访问的时候，Windows系统就会在文件系统中记录时间。FAT时间格式则是基于当地时间以32位Windows/Dos文件时间格式存储。NTFS文件系统基于GMT/UTC时间，以64位Windows/FILETIME文件时间格式存储。
M-A-C时间为修改时间、访问时间、创建时间的简称。
M-A-C时间在FAT文件系统中以32位Windows/Dos时间格式存储。在NTFS文件系统中是以64位Windows/FILETIME时间格式存储。

创建时间

文件或目录第一次被创建或者写到硬盘上的时间。

修改时间

应用软件对文件内容作最后修改的时间（打开文件，任何方式编辑，然后写回硬盘）。

Accessed Time，A时间

某种操作最后施加于文件上的时间，包括查看属性、复制、用查看器查看、应用程序打开或打印，几乎所有的操作都会重置这个时间（包括资源管理器，但DIR命令不会）。

节点修改时间（E时间，ENTRY MODIFIED）

NTFS使用数据流来存储数据，在文件任何属性和内容变化时，相应的数据流就被改变。
在文件系统中，数据流相应的也有一个修改时间，称为节点修改时间（E时间）。NTFS的时间也被称为M-A-C-E时间。
文件的最后访问时间的更新间隔被设置成最近的一天（FAT）或最近的一小时（NTFS），最后访问时间不是精确时间，不能作为证据使用。