1.一種基于時(shí)間屬性的數(shù)字取證分析鑒別方法，其特征在于：該方法包括以下步驟：

S1：提取相關(guān)時(shí)間信息；包括獲取電子數(shù)據(jù)，并解析文件元數(shù)據(jù)包含的時(shí)間戳信息；同時(shí)，收集并驗(yàn)證承載該電子數(shù)據(jù)的電子設(shè)備的系統(tǒng)時(shí)間信息；

S2：分析文件時(shí)間信息；文件元數(shù)據(jù)中記錄的$SI和$FN中的八個(gè)時(shí)間戳都小于或等于$MFT記錄修改時(shí)間，并且時(shí)間戳在用戶在線的系統(tǒng)時(shí)間范圍內(nèi)；若不符合當(dāng)前規(guī)則，則該文件時(shí)間戳信息不可信；

S3：文件時(shí)間基礎(chǔ)性判斷；根據(jù)不同操作行為和方式對(duì)文件時(shí)間的影響規(guī)則，對(duì)文件時(shí)間信息進(jìn)行可信性檢查，判斷文件元數(shù)據(jù)中記錄的$SI和$FN中的八個(gè)時(shí)間戳是否符合規(guī)則；若不符合當(dāng)前規(guī)則，則該文件時(shí)間戳信息不可信；

S4：基于$LogFile判斷$MFT時(shí)間創(chuàng)建記錄是否被篡改；根據(jù)$LogFile中所記載的日志序列號(hào)LSN判斷文件創(chuàng)建時(shí)間是否符合條件；若不符合當(dāng)前規(guī)則，則該文件時(shí)間戳信息不可信；

S5：基于$USNjrnl判斷$MFT時(shí)間修改記錄是否被篡改；根據(jù)$USNjrnl中所記載的屬性BASIC_INFO_CHANGE信息判斷文件元數(shù)據(jù)更改時(shí)間是否符合條件；若不符合當(dāng)前規(guī)則，則該文件時(shí)間戳信息不可信；

S6：基于Prefetch files記錄的時(shí)間戳判斷$MFT時(shí)間是否被篡改；根據(jù)Prefetchfiles記錄的時(shí)間篡改軟件運(yùn)行的時(shí)間記錄是否滿足條件；若不符合當(dāng)前規(guī)則，則該文件時(shí)間戳信息不可信；

S7：基于Link files記錄的時(shí)間戳判斷$MFT時(shí)間是否被篡改；根據(jù)Link files記錄的文件時(shí)間是否與當(dāng)前證據(jù)的文件時(shí)間是否符合條件；若不符合當(dāng)前規(guī)則，則該文件時(shí)間戳信息不可信；

所述S1中，與電子數(shù)據(jù)時(shí)間屬性相關(guān)的信息包括：系統(tǒng)時(shí)間和文件時(shí)間；

系統(tǒng)時(shí)間是指以格林威治時(shí)間為基準(zhǔn)的世界標(biāo)準(zhǔn)時(shí)間，即Windows event logs中記錄的用戶登錄在線的系統(tǒng)時(shí)間；

文件時(shí)間是指操作系統(tǒng)記錄的文件元數(shù)據(jù)$MFT中的時(shí)間屬性，該時(shí)間屬性記錄為$STANDARD_INFORMATION屬性，記為$SI，和$FILE_NAME屬性，記為$FN，具體為文件修改時(shí)間m-time、文件訪問(wèn)時(shí)間a-time、文件創(chuàng)建時(shí)間c-time、$MFT記錄修改時(shí)間e-time，即MACE時(shí)間；一共兩個(gè)屬性共計(jì)八個(gè)時(shí)間戳信息；

使用“屬性-時(shí)間類(lèi)別”表示相應(yīng)的時(shí)間戳。